"Ідея офіційної електронної пошти - приклад непрофесіоналізму" - думка спеціалістів з кібербезпеки
В колонці для AIN.UA директор Berezha Security Костянтин Корсун розповів, чому офіційна електронна адреса - погана ідея.
Наразі, цифровізація є аналогом того, що у минулому столітті називали словом "прогрес" - природній розвиток суспільства, його прагнення до полегшення життя, щоб зробити його більш комфортним. Мінцифри з таким же успіхом можна було б назвати "міністерством прогресу" або ж "агенцією з розвитку сходу сонця".
Але неправильно, коли примусовою та недолугою цифровізацією підміняють ті аспекти життя, без яких людські стосунки втрачають сенс. Щоб прогрес був не заради покращення життя людей, а просто заради якогось руху, нехай і беззмістовного.
"Офіційна електронна адреса - класичний випадок непрофесіоналізму. Сире та некомпетентне рішення, розроблене не фахівцями, а тими, у кого замало знань та здорового глузду."
Можливо, з точки зору чиновника, така електронна адреса - це хороше та ефективне рішення. З її появою зникне необхідність відправляти відповідь на запит рекомендованим листом з повідомленням, не потрібно ловити призовника по потягах, не потрібно вимагати підпису і т.д. Натиснувши кнопку "Відправити", вважається, що адресат все отримав. Але це лише імітація виконання своєї роботи.
"Люди, які це придумали, не розуміють як технічно працює електронна пошта та ризики кібербезпеки. Або ж свідомо усе це ігнорують."
Якщо сильно спрощувати, то електронна пошта – це передача бітів та байтів інформації між поштовими серверами у інтернеті. У когось є поштові сервери у власній серверній, у когось - безкоштовні, від всесвітньо-відомих компаній; якісь з них захищені шифруваннням, якісь - нічим і ніяк не захищені; чиїсь сервери уважно слідкують за своїми клієнтами та передають дані спецслужбам. І таких дуже різних серверів, на різних платформах та з різними протоколами - сила силенна.
Більшість поштових серверів не повідомляють відправника про факт отримання чи не отримання повідомлення. Тобто, якщо такої електронної адреси не існує - daemon миттєво про це повідомить. Але якщо адреса існує і повідомлення формально доставлено, але отримувач з якихось причин його не відкрив, то сервер просто не має можливості знати про це, і, відповідно, повідомити про це відправника.
В отримувача у цей момент може просто не бути інтернету, або повідомлення відкрила жінка/дитина/сусід/кіт і закрили як нецікаве. Може статись й таке, що повідомлення прочитали хакери й видалили його. Або навпаки - відправник відкрив і прочитав, але на суді він має повне право сказати, що нічого не бачив. До того ж, кожний може забути пароль, а через неправильно налаштовані спам-фільтри повідомлення не буде прочитане зовсім.
"В усіх цих випадках чиновник вважатиме інформацію доставленою та врученою прямо в руки, хоча в реальності - вірогідність не висока."
-
Не варто забувати й про технічні збої. Навіть у цифровізований час - це масове явище в усіх без виключення розвинутих країнах. При збоях частина інформації може загубиться безслідно, і ніхто потім не може пояснити як це сталося.
-
Офіційна електронна пошта відкриває широке поле для кібершахраїв. З нібито "офіційного" email будуть розсилатися фішингові листи, в яких буде написано "перевірено в державному реєстрі". І отримувач такого листа не матиме змогу перевірити чи це дійсно так.
-
Окремо скажу про "крім домена .ru", на який заборонено реєструвати email. Законопроект оминув інші домени, які контролюються росіянами - ".su" (soviet union) та ".рф". У мережі безліч таких офіційних доменів. І ніхто достеменно не знає і не знатиме чи вже контролюються вони росіянами, чи ще ні.
-
Усі офіційні електронні адреси будуть внесені до ще одного державного реєстру, який не захищається. Самі керівники Мінцифри неодноразово визнавали, що захист державних реєстрів не витримує жодної критики.
-
Не виключено, що "захисники" офіційного реєстру будуть торгувати базою email, як це відбувається з іншими державними реєстрами та базами даних.
Нагадаємо, що українцям хочуть надавати офіційні електронні пошти разом з паспортами
