«Очередная «попытка контролировать интернет». Что не так?»

Сетевые СМИ о национальном сертификате безопасности

«Операторы связи просят жителей столицы установить сертификаты безопасности на свои электронные устройства» — «В связи с участившимися случаями хищения персональных и учетных данных, а также денежных средств с банковских счетов казахстанцев, был внедрен сертификат безопасности, который станет эффективным инструментом защиты информационного пространства страны от хакеров, интернет-мошенников и иных видов киберугроз», — говорится в сообщении, размещенном на официальном сайте Kcell.

Накануне о «проведении технических работ» предупредило министерство цифрового развития, инноваций и аэрокосмической промышленности.

«В настоящее время уполномоченными органами совместно с операторами связи в городе Нур-Султан проводятся технические работы, направленные на усиление защиты граждан, государственных органов и частных компаний от хакерских атак, интернет-мошенников и иных видов киберугроз. В случае возникновения проблем с доступом к отдельным интернет-ресурсам, рекомендуем проверить регистрацию ваших мобильных устройств (сотовых телефонов и планшетов), установить сертификат безопасности (размещен на сайтах операторов связи) или обратиться в call-center вашего оператора связи», — говорилось в сообщении министерства.

Эмиль ШАМСУТДИНОВ — «Национальный сертификат безопасности как очередная «попытка контролировать интернет». Что не так?» — Сертификат безопасности – это ключ шифрования информации, передаваемой между пользователями и интернет-сервисом. Практически все публичные страницы в интернете используют тот или иной публичный сертификат. В каждом устройстве по умолчанию вшиты десятки сертификатов безопасности, подобных тому, который вам прислали операторы связи. Представители властей поясняют, что казахстанский от зарубежных отличается только происхождением.

Ваш браузер, используя сертификат удостоверяющего центра, проверяет надёжность интернет-ресурса и налаживает с ним зашифрованный канал, чтобы пересылаемые данные никто не мог исказить или дешифровать. Для этого обе стороны – и отправитель, и получатель информации должны иметь одинаковый сертификат безопасности. Если его нет, то у вас на экране появляется плашка «Подключение не защищено: злоумышленники могут украсть ваши данные». Точно такое же сообщение вы можете увидеть, если злоумышленник попытался заменить пересылаемые данные, но не смог подделать подпись сертификатов, так как у него нет доступа к корневой системе удостоверяющего центра.

По словам IT-специалиста Льва ТРУБАЧА, устанавливая казахстанский сертификат безопасности, пользователи точно так же предоставляют полный контроль над своим трафиком.

«Если пользователь добавляет сертификат безопасности себе в список доверенных УЦ, это позволит государству внедряться в HTTPS-трафик и анализировать/блокировать/изменять его. Это позволит как предупреждать об опасности, например, выдавая страницу с предупреждением вместо страницы с чем-нибудь зловредным, так и блокировать определённые страницы в соцсетях, подменять содержимое статей. Кроме того, это позволит при желании читать сообщения электронной почты, перехватывать пароли и авторизационные данные«, – говорит Лев Трубач.

Министр цифрового развития, оборонной и аэрокосмической промышленности Аскар ЖУМАГАЛИЕВ прокомментировал ситуацию так: «Какой-либо возможности получать данные не существует. В отношении данных третьим лицам всё определено законом: какие-либо этого рода мероприятия не могут осуществляться гражданами, третьими лицами по отношению к кому-либо другому. Есть закон об оперативно-розыскной деятельности, который определяет и регулирует все подобного рода мероприятия. И тот, кто сегодня захочет что-либо делать… Это же, в конце концов, уголовно наказуемо. Поэтому сегодня в рамках законодательства это и будет осуществляться«.

По мнению ведущего юриста общественной организации «РосКомСвобода» Саркиса ДАРБИНЯНА, вторжение государства в интернет-трафик пользователей – это проявление цензуры, которая ограничивает их конституционные права. Под видом защиты может видоизменяться или удаляться информация, которую хотят скрыть чиновники.

«Подобные практики мы оцениваем как наступление на свободу слова, которая несёт ещё большие риски. Право человека на свободу распространения информации, на свободу самовыражения онлайн и на защиту его приватности«, – заявил Дарбинян.

«Сертификат безопасности: Что это такое и зачем он спецслужбам» — Директор Центра анализа и расследования кибератак (ЦАРКА — компания занимается информационной безопасностью) Арман АБДРАСИЛОВ — Я так понимаю, что все это время инициаторы искали более элегантное решение. Более элегантное решение — это, когда сертификат внесен в список доверенных на этапе разработки браузера, загружен в список. Допустим, если мы сегодня открываем браузер, то мы увидим список доверенных сертификатов. Идеальный случай был бы, если разработчик, к примеру, компания Google, включила бы казахстанский сертификат в список проверенных. Тогда пользователям не надо было проводить никаких манипуляций. Он автоматически был бы внутри. По всей видимости за все это время не удалось достигнуть договоренности, решили пойти менее элегантным способом: попросить население добровольно загрузить сертификат.

Вице-министр (Аблайхан Оспанов — Прим.) заявил, что ставить его необязательно. В то же время мы наблюдаем ухудшение работы сервисов. Некоторые сервисы недоступны, либо требует сертификат. Я так понимаю, что могут возникнуть проблемы.

Мы как разработчики, как IT-сообщество видим в этом некий риск. Некоторые сервисы могут мигрировать за границу. Это может вызвать отказ работы некоторых сервисов. Мобильное приложение Facebook не позволит вам самостоятельно установить сертификат. В этом случае вопрос, будет ли работать мобильное приложение или оно перестанет работать, потому что в нем нету казахстанского сертификата? У кого-то смарт-часы, у кого-то сигнализация. Каким способом загрузить сертификат в сигнализацию или сигнализацию домашнюю? Очень много технических вопросов.

В случае возникновения потребности иностранные спецслужбы обращаются к социальным сетям и запрашивают данные того или иного гражданина. Если говорить о нашей стране, то Казахстан вынужден обращаться в иностранные организации и государства за помощью, чтобы получить данные из мессенджера, условно говоря, если это террорист. Тем самым казахстанские спецслужбы не имеют инструмента для решения своих задач. У правительства было два варианта решения задачи. Первый — это наладить контакты с зарубежными компаниями для получения персональных данных того или иного жителя страны. Второй вариант — это внедрение собственного сертификата.

«Жумагалиев установил сертификат безопасности на свой телефон» — Министр цифрового развития, инноваций и аэрокосмической промышленности Аскар ЖУМАГАЛИЕВ все же установил национальный сертификат безопасности на свой телефон. Продемонстрировал он это сегодня журналистам в ходе брифинга в службе центральных коммуникаций.

Он также сообщил, что данный сертификат безопасности государственные служащие используют уже полтора года на своих компьютерах. И только за последний месяц этот сертификат безопасности позволил выявить более 8 млн фактов вирусной активности и защитить от 130 тыс. кибератак, которые сегодня «осуществляются на госорганы и госслужащих».

«Мы конечно, госслужащие, продолжим работу с сертификатом безопасности, а гражданам на добровольной основе: хотите, защищайтесь. Государство в этом отношении свои действия произвело», — заявил министр.

Аскар АЙДАРХАН – «Сюрпризы и секреты сертификата Qaznet» — Казахстан оказался в центре внимания мировой общественности после масштабной попытки властей внедрить национальный корневой сертификат безопасности — Qaznet Trust Network. Его объясняют намерением оградить пользователей от кибератак и противоправного контента. IT-специалисты говорят, что функции сертификата пользователям разъясняют неверно. Правозащитники опасаются возможного дальнейшего ужесточения цензуры в стране.

Казахстанские власти настаивают, что окончательное решение об установке сертификата остается за пользователями. Одновременно поступают сообщения, что для ряда граждан, отказавшихся от установки QazNet’а, оказываются недоступными многие популярные соцсети и почтовые сервисы.

Подавляющее число независимых экспертов в стране и за рубежом убеждены, что технология, «упакованная» внутри сертификата, позволяет перехватывать данные, циркулирующие между интернет-пользователями и веб-ресурсами. Специалисты заявляют, что подобное усилие со стороны правительства отдельной страны обойти встроенные в девайсы корневые сертификаты — редкий случай в мировой практике.

По словам экспертов, это не первая попытка властей получить доступ к зашифрованной части интернет-трафика. В 2015 году правительство Казахстана уже пыталось обязать пользователей установить государственный сертификат безопасности. Тогда это решение было оспорено в судах, и его не привели в исполнение.

Установить сертификат безопасности операторы связи призывали казахстанцев также в марте 2019 года. Как утверждает веб-ресурс Factcheck.kz, тогда это прошло незамеченным для общественности, поскольку свелось к сообщениям на сайтах провайдеров. Аналитики отмечают, что последней попытке внедрения сертификата предшествовал уход с казахстанского рынка в конце прошлого года и в мае текущего года ряда зарубежных сотовых операторов, а также покупка национальным оператором долей в совместных предприятиях.

Представитель частного казахстанского центра реагирования на компьютерные инциденты Арман Абдрасилов говорит, что у общественности имеется целый ряд вопросов, на которые власти пока не дали внятного ответа. В частности, отмечает он, правила пользования Qaznet Trust Network не содержат подробной информации о том, как этот сертификат будет использоваться, и не описывают порядок его применения.

По словам специалиста, Qaznet пытаются внедрить на фоне «широких возможностей у обладателя данного сертификата» и «при отсутствии исчерпывающей нормативной базы, в которой был бы указан конкретный владелец и ответственное лицо».

Тогжан ГАНИ – «Защищайтесь, юзер!» — Свой телефон с установленным сертификатом безопасности показал и замдиректора гостехслужбы КНБ Зекен ИСМАИЛОВ. Именно его подразделение будет контролировать применение сертификата операторами связи.

В СМИ говорилось, что он позволяет расшифровать данные, которые хранятся на ваших смартфонах. Никто вашу переписку, историю посещений, страницу в социальной сети не хранит и не собирается читать! Это применяется только к противоправному контенту, который определен решениями судов, — заверил он.

По его словам, любое технологическое ноу-хау имеет огрехи, поэтому в Казахстане идут сбои с доступом к некоторым сайтам у тех казахстанцев, кто не установил себе сертификат. Зекен Исмаилов принес извинения и обнадежил, что это временное явление, пока не закончится процесс апробации. Но сколько это будет длиться, он сказать не смог.

Газета “Время” адресовала ему вопрос, на который руководство Минцифрового развития ответа дать так и не смогло: может ли сертификат подавлять приложение VPN, позволяющее казахстанцам обходить блокировки сайтов. Опасения казахстанцев оказались ненапрасными.

Чтобы было понимание, технически эта возможность есть. Ключевое слово — технически! Блокировка проходит только по деструктивным страницам, контенту. Если будет решение суда или предписание уполномоченных органов, то VPN будет блокироваться. Если не будет, значит, нет, — ответил Исмаилов.

Чиновники убеждали на пресс-конференции, что казахстанцы, установив сертификат, смогут его без проблем удалить.

Вы имеете право хоть 15 раз в день сертификат устанавливать и 15 раз в день удалять. И, кстати, пока идет тестовый период отладки, мы бы просили, чтобы люди поэкспериментировали: включали и отключали, это для нас важно. Когда большую и новую систему делаешь, очень много технических нюансов не знаешь, о которых даже производители оборудования не догадываются. И сейчас мы просим простить за неудобства граждан Нур-Султана и понять. Нам проще потренироваться на гражданах нашего города, чтобы потом вся страна не мучилась. Мы будем первопроходцами этого процесса! — с героическим выражением лица объявил зампредседателя комитета по информационной безопасности Минцифрового развития, инноваций и аэрокосмической промышленности Руслан АБДИКАЛИКОВ.

***

© ZONAkz, 2019г. Перепечатка запрещена. Допускается только гиперссылка на материал.