Dziennikarze przechwycili pocztę elektroniczną ABW, policji, CBA, straży miejskiej i MF za pomocą cybersquattingu. Po prostu zarejestrowali grupę domen zbliżonych do domen rządowych w stylu mofnetgov.pl. W rezultacie pomyłek osób wysyłających pocztę do tych instytucji otrzymali kilkadziesiąt listów zawierających potencjalnie wrazliwe informacje. Proste i skuteczne.

Problem wynika, jak mi się wydaje, głównie z dość schizofrenicznego stosunku sektora publicznego do poczty elektronicznej. Z jednej strony jest używana powszechnie, z drugiej nikt nie traktuje jej poważnie. Typowy obieg dokumentu wygląda więc tak: najpierw wersję roboczą przesyła się pocztą elektroniczną, potem to samo faksem (żeby miało "jakąś" moc prawną), a potem jeszcze raz na papierze i pocztą tradycyjną (bo tylko to ma rzeczywiste poważanie). Jak pokazuje powyższy eksperyment, brak sensownej polityki administracji wobec poczty elektronicznej odbija się czkawką. A organy odpowiedzialne za bezpieczeństwo państwa tradycyjnie skupiają się na ryzykach osobliwych i egzotycznych, z tendencją do ignorowania ryzyk ogromnych i realnych.

Problem można rozwiązać na wiele sposobów. Od strony technicznej to proste - pocztę można wysyłać do adresatów z katalogu LDAP, co zagwarantuje poprawność adresu email oraz przy okazji np. szyfrowanie poczty. Urzędy powinny częściej korzystać z ePUAP, który zapewnia ważność pism na takim samym poziomie jak korespondencja tradycyjna. Można też pójśc za przykładem Włochów, Niemców czy Duńczyków i uruchomić certyfikowaną pocztę elektroniczną. Każde z tych rozwiazań ma jednak tę szczególnę cechę, że ma nikłe szanse powodzenia w Polsce do szpiku kości resortowej.

Natomiast ABW co do zasady ma rację, że nie da się zarejestrować "prewencyjnie" wszystkich możliwych kombinacji błędnie wpisanych domen rządowych. W ogóle za dość bezsensowne marnowanie pieniędzy uważam też modną wśród dużych firm praktykę rejestrowania swojej nazwy we wszystkich możliwych TLD, gdzie popadnie (a tych jest obecnie około 300). Nie da się zabezpieczyć wszystkich potencjalnych adresów odbiorcy, trzeba po prostu zadbać o poprawność adresowania.