Publicystyka - ngo.pl

Wdrożenie Krajowego Systemu e-Faktur (KSeF) to krok milowy w automatyzacji procesów finansowych organizacji pozarządowych. Niestety, każda rewolucja technologiczna przyciąga uwagę cyberprzestępców. Obecnie jednym z najbardziej subtelnych zagrożeń staje się tzw. quishing (phishing oparty na kodach QR). Ponieważ oficjalne wizualizacje faktur z KSeF (np. w plikach PDF lub na wydrukach) muszą zawierać unikalny kod QR umożliwiający ich weryfikację, oszuści zaczęli masowo podszywać się pod kontrahentów. Przesyłają oni fałszywe faktury, w których zaszyty kod prowadzi do złośliwych stron internetowych. Ponieważ ludzkie oko nie jest w stanie zweryfikować zawartości kodu przed jego zeskanowaniem, nieostrożny krok może skończyć się zainfekowaniem telefonu lub kradzieżą danych logowania do bankowości elektronicznej fundacji czy stowarzyszenia.

Obrona przed wyłudzeniami tego typu nie wymaga zakupu drogich systemów IT. Skuteczność zabezpieczeń opiera się przede wszystkim na procedurach i świadomości zespołu. Warto wdrożyć trzy proste zasady:

Złota zasada KSeF: Należy pamiętać, że w nowym systemie prawnym oryginałem dokumentu jest ustrukturyzowany plik XML znajdujący się w rządowym repozytorium. Wizualizacja PDF przesłana e-mailem ma charakter wyłącznie pomocniczy.

Korzystanie z bezpiecznych skanerów: Zamiast domyślnej aplikacji aparatu w smartfonie, warto wyposażyć telefony służbowe w bezpłatne, dedykowane aplikacje skanujące od renomowanych firm branży cyberbezpieczeństwa (np. Trend Micro Mobile Security). Narzędzia te sprawdzają link w bazie zagrożeń zanim przeglądarka podejmie próbę jego otwarcia.

Weryfikacja struktury linku (URL): Prawdziwy kod QR wygenerowany przez systemy Ministerstwa Finansów kieruje wyłącznie do oficjalnych domen rządowych kończących się bezpośrednio na .mf.gov.pl (np. ksef.mf.gov.pl/…). Wykorzystanie skróconych odnośników (np. bit.ly) lub domen imitujących rządowe (ksef-weryfikacja.pl) to natychmiastowa czerwona flaga.

Dla organizacji dążących do maksymalnego uszczelnienia swoich procesów, optymalnym rozwiązaniem jest całkowita rezygnacja ze skanowania kodów z załączników mailowych. Najlepszą barierą ochronną jest integracja systemów finansowo-księgowych organizacji bezpośrednio z API KSeF. Pobieranie faktur za pomocą oficjalnego tokena bezpośrednio z serwerów rządowych daje stuprocentową gwarancję autentyczności dokumentów. Dodatkową, niewidoczną dla użytkownika „siatką asekuracyjną” jest wdrożenie filtrowania DNS na poziomie sieci biurowej (np. za pomocą darmowych narzędzi takich jak Cloudflare Gateway czy NextDNS). W przypadku, gdy pracownik lub wolontariusz przypadkowo zeskanuje fałszywy kod, serwer DNS automatycznie zablokuje połączenie ze złośliwą domeną.

Cyberprzestępcy najczęściej wykorzystują naszą rutynę, pośpiech i dążenie do wygody. Skanowanie kodu QR wydaje się szybsze niż logowanie do ministerialnego systemu. W Fundacji Fabian Digital stoimy na stanowisku, że najlepszą tarczą dla sektora NGO jest kultura ograniczonego zaufania do niespodziewanych e-maili i dokumentów finansowych. W sytuacjach wątpliwych najbezpieczniejszą ścieżką jest manualne przepisanie numeru identyfikacyjnego faktury i zweryfikowanie go bezpośrednio w oficjalnej, rządowej Aplikacji Podatnika. Ochrona zasobów cyfrowych to w gruncie rzeczy ochrona środków, które zamiast trafiać w ręce oszustów, powinny realizować cele statutowe naszych organizacji.