До парламенту надійшов законопроект №3860 про присвоєння юридичним і фізичним особам офіційної електcронної пошти. На неї представники держорганів зможуть надсилати листи, які вважатимуться офіційно врученими. Директор Berezha Security Костянтин Корсун розповів, чому офіційна електронна адреса — погана ідея.

Наразі, цифровізація є аналогом того, що у минулому столітті називали словом «прогрес» — природній розвиток суспільства, його прагнення до полегшення життя, щоб зробити його більш комфортним. Мінцифри з таким же успіхом можна було б назвати «міністерством прогресу» або ж «агенцією з розвитку сходу сонця».

Але неправильно, коли примусовою та недолугою цифровізацією підміняють ті аспекти життя, без яких людські стосунки втрачають сенс. Щоб прогрес був не заради покращення життя людей, а просто заради якогось руху, нехай і беззмістовного.

Офіційна електронна адреса — класичний випадок непрофесіоналізму. Сире та некомпетентне рішення, розроблене не фахівцями, а тими, у кого замало знань та здорового глузду.

Можливо, з точки зору чиновника, така електронна адреса — це хороше та ефективне рішення. З її появою зникне необхідність відправляти відповідь на запит рекомендованим листом з повідомленням, не потрібно ловити призовника по потягах, не потрібно вимагати підпису і т.д. Натиснувши кнопку «Відправити», вважається, що адресат все отримав. Але це лише імітація виконання своєї роботи.

Люди, які це придумали, не розуміють як технічно працює електронна пошта та ризики кібербезпеки. Або ж свідомо усе це ігнорують.

Якщо сильно спрощувати, то електронна пошта – це передача бітів та байтів інформації між поштовими серверами у інтернеті. У когось є поштові сервери у власній серверній, у когось – безкоштовні, від всесвітньо-відомих компаній; якісь з них захищені шифруваннням, якісь – нічим і ніяк не захищені; чиїсь сервери уважно слідкують за своїми клієнтами та передають дані спецслужбам. І таких дуже різних серверів, на різних платформах та з різними протоколами – сила силенна.

1. Більшість поштових серверів не повідомляють відправника про факт отримання чи не отримання повідомлення. Тобто, якщо такої електронної адреси не існує – daemon миттєво про це повідомить. Але якщо адреса існує і повідомлення формально доставлено, але отримувач з якихось причин його не відкрив, то сервер просто не має можливості знати про це, і, відповідно, повідомити про це відправника.
2. В отримувача у цей момент може просто не бути інтернету, або повідомлення відкрила жінка/дитина/сусід/кіт і закрили як нецікаве. Може статись й таке, що повідомлення прочитали хакери й видалили його. Або навпаки — відправник відкрив і прочитав, але на суді він має повне право сказати, що нічого не бачив. До того ж, кожний може забути пароль, а через неправильно налаштовані спам-фільтри повідомлення не буде прочитане зовсім.

В усіх цих випадках чиновник вважатиме інформацію доставленою та врученою прямо в руки, хоча в реальності — вірогідність не висока.

1. Не варто забувати й про технічні збої. Навіть у цифровізований час — це масове явище в усіх без виключення розвинутих країнах. При збоях частина інформації може загубиться безслідно, і ніхто потім не може пояснити як це сталося.
2. Офіційна електронна пошта відкриває широке поле для кібершахраїв. З нібито «офіційного» email будуть розсилатися фішингові листи, в яких буде написано «перевірено в державному реєстрі». І отримувач такого листа не матиме змогу перевірити чи це дійсно так.
3. Окремо скажу про «крім домена .ru», на який заборонено реєструвати email. Законопроект оминув інші домени, які контролюються росіянами — «.su» (soviet union) та «.рф». У мережі безліч таких офіційних доменів. І ніхто достеменно не знає і не знатиме чи вже контролюються вони росіянами, чи ще ні.
4. Усі офіційні електронні адреси будуть внесені до ще одного державного реєстру, який не захищається. Самі керівники Мінцифри неодноразово визнавали, що захист державних реєстрів не витримує жодної критики.
5. Не виключено, що «захисники» офіційного реєстру будуть торгувати базою email, як це відбувається з іншими державними реєстрами та базами даних.