KSeF bezpieczeństwo i cyberbezpieczeństwo

KSeF gromadzi ogromną ilość danych o transakcjach gospodarczych, co czyni system atrakcyjnym celem dla cyberprzestępców. Poznaj zagrożenia: quishing (oszustwa z wykorzystaniem kodów QR), wycieki danych, fałszowanie kodów QR. Dowiedz się, jak chronić się przed atakami.

Co musisz wiedzieć

Krajowy System e-Faktur (KSeF) gromadzi na bieżąco informacje o wszystkich transakcjach w Polsce, w tym dane o dostawach do zakładów zbrojeniowych, zakupach sprzętu dla policji i wojska. Centralizacja wrażliwych danych gospodarczych czyni system atrakcyjnym celem dla obcych wywiadów i hakerów.

Kody QR są coraz częściej wykorzystywane w fakturach elektronicznych, ale mogą stać się narzędziem dla cyberprzestępców stosujących tzw. quishing – oszustwa polegające na wykorzystaniu kodów QR do przekierowywania użytkowników na fałszywe strony internetowe lub instalowania złośliwego oprogramowania.

W testowym serwisie KSeF można zalogować się, podając NIP dowolnej firmy w Polsce (bez hasła czy innych danych uwierzytelniających) i uzyskać dostęp do danych, na których testowała ona fakturowanie. Jeśli testowała na danych produkcyjnych, to dostęp do danych produkcyjnych jest możliwy.

Tokeny i dane do logowania do MCU powinny być traktowane z taką samą uwagą jak dane logowania do bankowości elektronicznej. Nie należy ich udostępniać osobom nieupoważnionym i zachować szczególną czujność wobec prób wyłudzenia dostępu do tokenów.

Aplikacje Ministerstwa Finansów nie wysyłają powiadomień o fakturach ze względów bezpieczeństwa, aby uniknąć potencjalnych wyłudzeń. Podatnik nigdy nie dostanie powiadomienia z Ministerstwa Finansów o tym, że otrzymał fakturę.

Instrukcja krok po kroku

1. Ostrożność przy skanowaniu kodów QR

Skanuj tylko kody pochodzące z zaufanych źródeł i zwracaj uwagę na autentyczność stron, na które jesteś przekierowywany. Kody weryfikujące QR dedykowane dla KSeF nie będą prowadziły do płatności za fakturę – jeśli po zeskanowaniu kodu QR zobaczysz komunikat, aby opłacić fakturę, zachowaj czujność.

2. Weryfikacja faktur

Sprawdzaj autentyczność otrzymywanych faktur, zwłaszcza tych zawierających kody QR, aby uniknąć potencjalnych oszustw. Poprawnie wygenerowany kod QR ma przekierować użytkownika do systemu, do źródła, czyli do faktury w KSeF.

3. Bezpieczeństwo tokenów i certyfikatów

Tokeny i dane do logowania do MCU powinny być traktowane z taką samą uwagą jak dane logowania do bankowości elektronicznej. Nie należy ich udostępniać osobom nieupoważnionym i zachować szczególną czujność wobec prób wyłudzenia dostępu do tokenów.

4. Używanie danych testowych

W środowisku testowym KSeF nie należy używać prawdziwych danych (np. realnych NIP, PESEL, danych kontrahentów, kwot). Zalecane są dane fikcyjne, bo testy są widoczne dla innych użytkowników. Jeśli nieświadomie umieściłeś dane rzeczywiste w środowisku testowym, zgłoś ten fakt telefonicznie do konsultanta KAS lub za pomocą Formularza zgłoszeniowego KSeF.

5. Aktualizacja oprogramowania

Korzystaj z aktualnych wersji oprogramowania do obsługi KSeF, które zawierają najnowsze poprawki bezpieczeństwa. Regularnie aktualizuj systemy i aplikacje.

Najczęstsze problemy i rozwiązania

Czy kody QR w fakturach KSeF są bezpieczne?

Kody QR mogą stać się narzędziem dla cyberprzestępców stosujących quishing. Skanuj tylko kody pochodzące z zaufanych źródeł. Kody weryfikujące QR dedykowane dla KSeF nie będą prowadziły do płatności za fakturę – jeśli po zeskanowaniu zobaczysz komunikat, aby opłacić fakturę, zachowaj czujność.

Czy mogę używać prawdziwych danych w środowisku testowym?

Nie, w środowisku testowym KSeF nie należy używać prawdziwych danych (np. realnych NIP, PESEL, danych kontrahentów, kwot). Zalecane są dane fikcyjne, bo testy są widoczne dla innych użytkowników. Jeśli nieświadomie umieściłeś dane rzeczywiste, zgłoś ten fakt do KAS.

Czy Ministerstwo Finansów wysyła powiadomienia o fakturach?

Nie, aplikacje Ministerstwa Finansów nie wysyłają powiadomień o fakturach ze względów bezpieczeństwa, aby uniknąć potencjalnych wyłudzeń. Podatnik nigdy nie dostanie powiadomienia z Ministerstwa Finansów o tym, że otrzymał fakturę.

Jak chronić tokeny KSeF?

Tokeny i dane do logowania do MCU powinny być traktowane z taką samą uwagą jak dane logowania do bankowości elektronicznej. Nie należy ich udostępniać osobom nieupoważnionym i zachować szczególną czujność wobec prób wyłudzenia dostępu do tokenów.

Zagrożenia związane z kodami QR i quishingiem

Kody QR są coraz częściej wykorzystywane w różnych obszarach, w tym w fakturach elektronicznych. Niestety, mogą one stać się narzędziem dla cyberprzestępców stosujących tzw. quishing – oszustwa polegające na wykorzystaniu kodów QR do przekierowywania użytkowników na fałszywe strony internetowe lub instalowania złośliwego oprogramowania. CERT Polska ostrzega przed tego typu zagrożeniami, zwracając uwagę na konieczność ostrożności przy skanowaniu nieznanych kodów QR. Kody weryfikujące QR dedykowane dla KSeF nie będą prowadziły do płatności za fakturę – jeśli po zeskanowaniu kodu QR zobaczysz komunikat, aby opłacić fakturę, powinieneś zachować czujność.

Ryzyko wycieku danych produkcyjnych

W testowym serwisie KSeF można zalogować się, podając NIP dowolnej firmy w Polsce (bez hasła czy innych danych uwierzytelniających) i uzyskać dostęp do danych, na których testowała ona fakturowanie. Jeśli testowała na danych produkcyjnych, to dostęp do danych produkcyjnych jest możliwy. Ministerstwo Finansów podkreśla, że w środowisku testowym nie należy używać prawdziwych danych (np. realnych NIP, PESEL, danych kontrahentów, kwot). Zalecane są dane fikcyjne, bo testy są widoczne dla innych użytkowników. Firma, która nieświadomie umieściła dane rzeczywiste w środowisku testowym, powinna zgłosić ten fakt telefonicznie do konsultanta Krajowej Administracji Skarbowej lub za pomocą Formularza zgłoszeniowego KSeF – dane mogą zostać usunięte ręcznie przez Ministerstwo.

Bezpieczeństwo tokenów i certyfikatów

Tokeny i dane do logowania do MCU powinny być traktowane z taką samą uwagą jak dane logowania do bankowości elektronicznej. Nie należy ich udostępniać osobom nieupoważnionym i zachować szczególną czujność wobec prób wyłudzenia dostępu do tokenów. Tokeny powinny być traktowane jak dane szczególnie wrażliwe. Certyfikaty KSeF zawierają dane osobowe lub firmowe, dlatego ważne jest ich odpowiednie zabezpieczenie i nieudostępnianie osobom nieupoważnionym.

Brak powiadomień jako zabezpieczenie

Aplikacje Ministerstwa Finansów nie wysyłają powiadomień o fakturach ze względów bezpieczeństwa. Gdyby aplikacja wysyłała powiadomienia, mogłoby to zostać wykorzystane do potencjalnych wyłudzeń. Podatnik nigdy nie dostanie powiadomienia z Ministerstwa Finansów o tym, że otrzymał fakturę. Podatnicy, którzy chcą otrzymywać powiadomienia, mogą skorzystać z programów komercyjnych.

Testy bezpieczeństwa systemu

Ministerstwo Finansów potwierdza, że testy penetracyjne są wykonywane od początku prac nad systemem KSeF 2.0 w trybie ciągłym. Testom poddawane są wszystkie komponenty systemu. System KSeF 2.0 informuje poprzez Aplikację Podatnika użytkowników o historii sesji – w historii sesji istnieje możliwość sprawdzenia szczegółów wysyłki faktur.

Centralizacja danych i ryzyko ataków

KSeF gromadzi na bieżąco informacje o wszystkich transakcjach w Polsce, w tym dane o dostawach do zakładów zbrojeniowych, zakupach sprzętu dla policji i wojska. Centralizacja wrażliwych danych gospodarczych czyni system atrakcyjnym celem dla obcych wywiadów i hakerów. Ewentualny atak na KSeF i jego blokada może sparaliżować całą gospodarkę. Eksperci podkreślają konieczność wzmocnienia zabezpieczeń systemu oraz zaangażowania służb odpowiedzialnych za cyberbezpieczeństwo, takich jak Agencja Bezpieczeństwa Wewnętrznego (ABW), w proces weryfikacji i nadzoru nad KSeF.

FAQ

Czy kody QR w fakturach KSeF są bezpieczne?

Kody QR mogą stać się narzędziem dla cyberprzestępców stosujących quishing. Skanuj tylko kody pochodzące z zaufanych źródeł. Kody weryfikujące QR dedykowane dla KSeF nie będą prowadziły do płatności za fakturę – jeśli po zeskanowaniu zobaczysz komunikat, aby opłacić fakturę, zachowaj czujność.

Czy mogę używać prawdziwych danych w środowisku testowym?

Nie, w środowisku testowym KSeF nie należy używać prawdziwych danych (np. realnych NIP, PESEL, danych kontrahentów, kwot). Zalecane są dane fikcyjne, bo testy są widoczne dla innych użytkowników. Jeśli nieświadomie umieściłeś dane rzeczywiste, zgłoś ten fakt do KAS.

Czy Ministerstwo Finansów wysyła powiadomienia o fakturach?

Nie, aplikacje Ministerstwa Finansów nie wysyłają powiadomień o fakturach ze względów bezpieczeństwa, aby uniknąć potencjalnych wyłudzeń. Podatnik nigdy nie dostanie powiadomienia z Ministerstwa Finansów o tym, że otrzymał fakturę.

Jak chronić tokeny KSeF?

Tokeny i dane do logowania do MCU powinny być traktowane z taką samą uwagą jak dane logowania do bankowości elektronicznej. Nie należy ich udostępniać osobom nieupoważnionym i zachować szczególną czujność wobec prób wyłudzenia dostępu do tokenów.

Co to jest quishing?

Quishing to oszustwo polegające na wykorzystaniu kodów QR do przekierowywania użytkowników na fałszywe strony internetowe lub instalowania złośliwego oprogramowania. CERT Polska ostrzega przed tego typu zagrożeniami.

Co zrobić, jeśli użyłem prawdziwych danych w środowisku testowym?

Jeśli nieświadomie umieściłeś dane rzeczywiste w środowisku testowym, zgłoś ten fakt telefonicznie do konsultanta Krajowej Administracji Skarbowej lub za pomocą Formularza zgłoszeniowego KSeF. Dane mogą zostać usunięte ręcznie przez Ministerstwo.

Powiązane tematy

Dalsze korzystanie z tej witryny oznacza akceptację Polityki prywatności . Używamy plików cookie, aby zapewnić najlepszą jakość korzystania z naszej witryny internetowej. Przeczytaj naszą Politykę plików cookie .
Akceptuj Odrzuć