«Ідея офіційної електронної пошти — приклад непрофесіоналізму» — думка спеціалістів з кібербезпеки

8154
1

До парламенту надійшов законопроект №3860 про присвоєння юридичним і фізичним особам офіційної електронної пошти. На неї представники держорганів зможуть надсилати листи, які вважатимуться офіційно врученими.

В колонці для AIN.UA директор Berezha Security Костянтин Корсун розповів, чому офіційна електронна адреса — погана ідея.


Наразі, цифровізація є аналогом того, що у минулому столітті називали словом «прогрес» — природній розвиток суспільства, його прагнення до полегшення життя, щоб зробити його більш комфортним. Мінцифри з таким же успіхом можна було б назвати «міністерством прогресу» або ж «агенцією з розвитку сходу сонця».

Але неправильно, коли примусовою та недолугою цифровізацією підміняють ті аспекти життя, без яких людські стосунки втрачають сенс. Щоб прогрес був не заради покращення життя людей, а просто заради якогось руху, нехай і беззмістовного.

Офіційна електронна адреса — класичний випадок непрофесіоналізму. Сире та некомпетентне рішення, розроблене не фахівцями, а тими, у кого замало знань та здорового глузду.

Можливо, з точки зору чиновника, така електронна адреса — це хороше та ефективне рішення. З її появою зникне необхідність відправляти відповідь на запит рекомендованим листом з повідомленням, не потрібно ловити призовника по потягах, не потрібно вимагати підпису і т.д. Натиснувши кнопку «Відправити», вважається, що адресат все отримав. Але це лише імітація виконання своєї роботи.

Люди, які це придумали, не розуміють як технічно працює електронна пошта та ризики кібербезпеки. Або ж свідомо усе це ігнорують.

Якщо сильно спрощувати, то електронна пошта – це передача бітів та байтів інформації між поштовими серверами у інтернеті. У когось є поштові сервери у власній серверній, у когось – безкоштовні, від всесвітньо-відомих компаній; якісь з них захищені шифруваннням, якісь – нічим і ніяк не захищені; чиїсь сервери уважно слідкують за своїми клієнтами та передають дані спецслужбам. І таких дуже різних серверів, на різних платформах та з різними протоколами – сила силенна.

  • Більшість поштових серверів не повідомляють відправника про факт отримання чи не отримання повідомлення. Тобто, якщо такої електронної адреси не існує – daemon миттєво про це повідомить. Але якщо адреса існує і повідомлення формально доставлено, але отримувач з якихось причин його не відкрив, то сервер просто не має можливості знати про це, і, відповідно, повідомити про це відправника.
  • В отримувача у цей момент може просто не бути інтернету, або повідомлення відкрила жінка/дитина/сусід/кіт і закрили як нецікаве. Може статись й таке, що повідомлення прочитали хакери й видалили його. Або навпаки — відправник відкрив і прочитав, але на суді він має повне право сказати, що нічого не бачив. До того ж, кожний може забути пароль, а через неправильно налаштовані спам-фільтри повідомлення не буде прочитане зовсім.

В усіх цих випадках чиновник вважатиме інформацію доставленою та врученою прямо в руки, хоча в реальності — вірогідність не висока.

  • Не варто забувати й про технічні збої. Навіть у цифровізований час — це масове явище в усіх без виключення розвинутих країнах. При збоях частина інформації може загубиться безслідно, і ніхто потім не може пояснити як це сталося.
  • Офіційна електронна пошта відкриває широке поле для кібершахраїв. З нібито «офіційного» email будуть розсилатися фішингові листи, в яких буде написано «перевірено в державному реєстрі». І отримувач такого листа не матиме змогу перевірити чи це дійсно так.
  • Окремо скажу про «крім домена .ru», на який заборонено реєструвати email. Законопроект оминув інші домени, які контролюються росіянами — «.su» (soviet union) та «.рф». У мережі безліч таких офіційних доменів. І ніхто достеменно не знає і не знатиме чи вже контролюються вони росіянами, чи ще ні.
  • Усі офіційні електронні адреси будуть внесені до ще одного державного реєстру, який не захищається. Самі керівники Мінцифри неодноразово визнавали, що захист державних реєстрів не витримує жодної критики.
  • Не виключено, що «захисники» офіційного реєстру будуть торгувати базою email, як це відбувається з іншими державними реєстрами та базами даних.

Автор: Костянтин Корсун, директор Berezha Security

Оставить комментарий

Комментарии | 1

Поиск