А поки USAID думає, що робити з програмою кібер-допомоги Україні, розкажу про цікавий законопроект

А поки USAID думає, що робити з програмою кібер-допомоги Україні, розкажу про цікавий законопроект

А поки USAID думає, що робити з програмою кібер-допомоги Україні, розкажу про цікавий законопроект про так звані “офіційні електронні адреси”. Попереджаю про TL;DR.

Я не проти цифровізації як такої. Наразі це є аналогом того, що у минулому столітті називали словом “прогрес”. Природній розвиток суспільства, його прагнення до полегшення життя, щоб зробити його більш комфортним. Мінцифри з таким же успіхом можна було б назвати “міністерством прогресу” або ж “агенцією з розвитку сходу сонця”.
Але я проти, щоб примусовою та недолугою цифровізацією підміняли ті аспекти життя, без яких людські стосунки втрачають сенс. Щоб прогрес був не заради покращення життя людей, а просто заради якогось двіжа, руху, кіпішу, нехай і беззмістовного.

Ось і з цими “офіційними електронними адресами” так само.
Класичний випадок непрофесіоналізму. Сире та некомпетентне рішення, розроблене не фахівцями, а якимись хайпожерами, у яких забагато влади, але замало знань та здорового глузду.

Ні, з точки зору чиновника це суперське рішення: не треба відправляти відповідь на запит рекомендованим листом з повідомленням, не треба ловити призовника по потягах, не треба вимагати підпису ось тут і тут. Натиснув собі кнопочку Send – і вільний, справа зроблена. Вважається, що адресат все отримав.
Але це лише імітація виконання своєї роботи.
Люди, які це придумали, не розбираються
А) як технічно працює електронна пошта;
і Б) не розуміють ризики кібербезпеки.
Або ж свідомо усе це ігнорують.

Якщо сильно спрощувати, то по суті, електронна пошта – це передача бітів та байтів інформації між поштовими серверами десь у глибинах величезного Інтернету. У когось свої власні поштові сервери у власній серверній, у когось – безкоштовні від всесвітньо-відомих компаній; якісь з них захищені шифруваннням, якісь – нічим і ніяк не захищені; чиїсь сервери уважні слідують за своїми клієнтам та передають дані спецслужбам, а чиїсь – посилають правоохоронців під три чорти. І таких дуже різних серверів, на різних платформах та з різними протоколами – сила силенна.
І більшість поштових серверів не повідомляють відправника про факт отримання чи не отримання повідомлення. Тобто, якщо такої електронної адреси не існує – daemon миттєво про це повідомить. Але якщо адреса існує, і повідомлення формально-технічно доставлено, але отримувач з якихось причин його не відкрив, то сервер просто не має можливості знати про це, і, відповідно, розакати відправнику. Фізично не може.
Ну, гайнув отримувач світ за очі в гори, де нема інтернету. Або повідомлення відкрила жінка/дитина/сусід/кіт отримувача і закрили як нецікаве. Або повідомлення прочитали хакери і видалили його тихенько. Або відправник відкрив і прочитав, але на суді буде кляснися-божитися, що у цей час спав п’яний у ванній.

А банальне «забув пароль»?
Або криво налаштований спам-фільтр?
Або щось наклацав у налаштуваннях кривими ручками?
В усіх цих випадках чиновник вважатиме інформацію доставленою та врученою прямо в руки, хоча в реальності отримувач ані сном, ані духом.

А ще технічні збої. Так, навіть зараз, у наш цифровізований час, це масове явище в усіх без виключення просунутих країнах. А при збоях частина інформації запросто губиться безслідно, і ніхто потім не може пояснити як це сталося. Спробуйте для початку добитися якоїсь внятної відповіді від того ж Gmail.

А ще такі «офіційні email» відкривають широке поле для кібер-шахраїв. З нібито «офіційного» email будуть розсилатися фішингові листи, в яких буде красиво написано «перевірено в державному реєстрі». І як законослухняний отримувач такого листа матиме змогу перевірити чи це дійсно так? А ніяк.

Окремо скажу про «крім домена .ru», на який заборононе реєструвати «офіційний email”. Це просто смішно.
Очевидно, що генії державного маркетингу не в курсі, що за порєбріком, крім домена .ru офіційно використовуються домени .su (soviet union) та .рф
Але під контролем як самого Кремля, так і їх посіпак по всьому світу працюють сотні чи навіть тисячі офіційних доменів. І ніхто достеменно не знає і не знатиме чи вже контролюються вони росіянами, чи ще ні.

Усі офіційні електронні адреси будуть внесені до ще одного державного реєстру, бо наші чиновники обожнюють плодити нові й нові реєстри. Які захищаються так само ефективно, як домофон захищає від квартирних злодіїв. І це у кращому випадку. Самі керівники Мінцифри неодноразово визнавали, що захист державних реєстрів не витримує жодної критики.

А ще цей реєстр буде перманентно «висіти», як постійно «висить» реєстр судових рішень.
А ще «захисники» офіційного реєстру будуть вовсю торгувати базою даних «офіційних email”, як це відбувається з іншими державними реєстрами та базами даних.
А ще той реєстр зламають хакери і будуть у ньому тихенько щось підправляти у своїх злочинних цілях, як це було з «чорними нотаріусами».
І як завжди, ніхто ні за що не відповідатиме.

Ідею з «офіційними електронними адресами» не врятує навіть ЕЦП (електронний цифровий підпис), або як його зараз накивають КЕП (кваліфікований електронний підпис). Тому що самого по собі ЕЦП/КЕП цілком достатньо для автентифікації користувача, без всяких «офіційних реєстрів» і внесення якихось email до якогось реєстру абсолютно нічого не покращує.
Хоча й сам по собі ЕЦП/КЕП не панацея: офіційний користувач можу відійти і залишити комп’ютер без нагляду і цим скористається інша людина, до його ноутбуку можуть отримати доступ ті самі хакери, легальний користувач може загубити лаптоп з КЕП в таксі, людину можуть примусити відправити email, і таких ситуацій може бути безліч.
ЕЦП/КЕП є ефективною зброєю захисту, але з обмеженим радіусом ураження супротивника.

Ось чому вся ця ідея з офіційними електронними адресами схожа на черговий геніальний винахід вічного двигуна. На сцену вистрибує розмальований клоун і верещить про вирішення усіх проблем. За півгодини усе дійство закінчується, клоун тихо зникає за кулісами, публіка розчаровано розходиться в очікуванні нових кумедних перфомансів.

Можна створювати скільки завгодно офіційних реєстрів та реєстри реєстрів, над ними – реєстр наглядачів за реєстрами. А потім ще реєстр контролерів за наглядачами реєстрів.
Але якщо люди не довіряють владі, а влада цілком на це заслуговує, то ця безкінечна та беззмістовна гра може тривати вічно. Але без жодного шансу на виграш з обох сторін.

Кастровану версію цього допису розміщено на AIN.ua https://cutt.ly/IsMTgwy і я не певен, що це мені до вподоби. Але штош, нехай вже буде.

Костянтин Корсун

Голова Ради Громадської організації Українська група інформаційної безпеки, директор компанії з кібербезпеки Berezha Security.