«Киберучения» от КНБ. Казахстанцам вновь навязывают «сертификаты безопасности»

МОТИВАЦИЯ: РОСТ КИБЕРАТАК НА ЦИФРОВОЕ ПРОСТРАНСТВО КАЗАХСТАНА

Нака­нуне мини­стер­ство циф­ро­во­го раз­ви­тия, инно­ва­ций и аэро­кос­ми­че­ской про­мыш­лен­но­сти (МЦРИАП) и коми­тет наци­о­наль­ной без­опас­но­сти заяви­ли о про­ве­де­нии сов­мест­ных уче­ний по теме «Кибер­без­опас­ность Нур-Сул­тан — 2020». Необ­хо­ди­мость про­ве­де­ния уче­ний МЦРИАП моти­ви­ро­вал «ростом кибе­р­атак на циф­ро­вое про­стран­ство Казах­ста­на». Госор­га­ны напом­ни­ли об уста­нов­ке «сер­ти­фи­ка­та без­опас­но­сти», вокруг кото­ро­го был шум летом 2019 года.

«В пери­од про­ве­де­ния кибе­ру­че­ний воз­мож­но воз­ник­но­ве­ние раз­лич­ных про­блем с досту­пом к неко­то­рым зару­беж­ным интер­нет-ресур­сам, кото­рые могут быть устра­не­ны путём уста­нов­ки сер­ти­фи­ка­та без­опас­но­сти», — гово­рит­ся в рели­зах МЦРИАП и КНБ.

Нача­лом уче­ний опре­де­ли­ли 6 декаб­ря, одна­ко дату окон­ча­ния не сооб­щи­ли. Жите­ли сто­ли­цы 6 декаб­ря ста­ли заме­чать про­бле­мы с досту­пом к раз­лич­ным зару­беж­ным инфор­ма­ци­он­ным сай­там и соци­аль­ным сетям.

В июле 2019 года казах­стан­ские вла­сти при­зы­ва­ли казах­стан­цев уста­но­вить так назы­ва­е­мый «сер­ти­фи­кат без­опас­но­сти» Qaznet Trust Network. Одна­ко про­дукт под­верг­ся мас­со­вой кри­ти­ке со сто­ро­ны интер­нет-поль­зо­ва­те­лей и экс­пер­тов, кото­рые еди­но­глас­но пре­ду­пре­жда­ли о том, что «сер­ти­фи­кат» не может защи­тить от кибе­ру­гроз, даже напро­тив — может спо­соб­ство­вать пере­да­че пер­со­наль­ных дан­ных тре­тьим лицам.

Пра­во­за­щит­ник про­ек­та Internet Freedom Kazakhstan Елжан Кабы­шев в ком­мен­та­рии Азатты­ку пола­га­ет, что новый «сер­ти­фи­кат без­опас­но­сти» по сво­е­му функ­ци­о­на­лу похож на «про­шло­год­ний». Экс­перт объ­яс­ня­ет, что при уста­нов­ке это­го «сер­ти­фи­ка­та без­опас­но­сти» лич­ные дан­ные поль­зо­ва­те­ля будут доступ­ны тре­тьим лицам.

— Есть MITM (man in the middle), то есть чело­век посе­ре­дине. Если уста­нав­ли­ва­е­те сер­ти­фи­кат на свое устрой­ство, весь тра­фик от ваше­го устрой­ства сна­ча­ла будет идти через этот сер­ти­фи­кат, а затем — в запра­ши­ва­е­мые сай­ты, к кото­рым вы обра­ща­е­тесь. То есть паро­ли, исто­рии посе­ще­ний ресур­сов дан­ный сер­ти­фи­кат будет про­чи­ты­вать. Пере­пис­ки тоже. Это про­ис­хо­дит, пото­му что вы уста­но­ви­ли сер­ти­фи­кат на свое устрой­ство, отку­да выхо­ди­те в интер­нет. И MITM — чело­век посе­ре­дине — будет полу­чать дан­ные через этот сер­ти­фи­кат, — пре­ду­пре­жда­ет Кабышев.

СЛЕДОВАТЬ РЕКОМЕНДАЦИЯМ ГОСОРГАНОВ ПРОСТО ОПАСНО

Один из моти­вов при­зы­ва к уста­нов­ке «сер­ти­фи­ка­та» сото­вые опе­ра­то­ры назы­ва­ют «огра­ни­че­ние запре­щен­но­го зако­но­да­тель­ством Казах­ста­на кон­тен­та». По сло­вам Кабы­ше­ва, про­це­ду­ра отне­се­ния кон­тен­та к ста­ту­су «запре­щен­ный» сомнительна.

— Воз­ни­ка­ют вопро­сы чет­ко­сти и ясно­сти зако­но­да­тель­ства, пото­му что те осно­ва­ния, кото­рые преду­смат­ри­ва­ют как запре­щен­ный кон­тент, рас­плыв­ча­тые. И на осно­ва­нии это­го воз­ни­ка­ют вопро­сы о про­зрач­но­сти дея­тель­но­сти госор­га­нов в части запре­щен­ных мате­ри­а­лов и пра­во­при­ме­ни­тель­ной прак­ти­ки по огра­ни­че­нию досту­па к таким мате­ри­а­лам. Опас­но огра­ни­чи­вать доступ к сай­там посред­ством сер­ти­фи­ка­та. Полу­ча­ет­ся, что идет цен­зу­ра. Поэто­му, конеч­но же, у обще­ства есть недо­ве­рие, — отме­ча­ет эксперт.

Кабы­шев уве­рен, что сле­до­вать реко­мен­да­ци­ям госор­га­нов про­сто опасно.

Да, может прак­ти­ка изме­нить­ся, но опыт преды­ду­щих уте­чек пока­зал, что никто из госор­га­нов не понес наказания.

— К при­ме­ру, за утеч­ку пер­со­наль­ных дан­ных ЦИКом, Ген­про­ку­ра­ту­рой никто не при­вле­кал­ся к ответ­ствен­но­сти. И тут (в слу­чае с «сер­ти­фи­ка­том». — Ред.) опять пилот­ный про­ект, но кто будет нести нака­зан­ность в слу­чае утеч­ки? Да, может прак­ти­ка изме­нить­ся, но опыт преды­ду­щих уте­чек пока­зал, что никто из госор­га­нов не понес нака­за­ния. А сер­ти­фи­кат без­опас­но­сти — это огром­ный объ­ем дан­ных интер­нет-тра­фи­ка поль­зо­ва­те­лей. И это не гово­ря о том, внед­рят ли его пол­но­стью на тер­ри­то­рии стра­ны, — раз­мыш­ля­ет Кабышев.

В Internet Freedom Kazakhstan зада­ют­ся вопро­сом: явля­ют­ся ли испы­та­ния вре­мен­ны­ми, или внед­ре­ние и исполь­зо­ва­ние «сер­ти­фи­ка­та» пла­ни­ру­ет­ся на посто­ян­ной осно­ве, что под­ра­зу­ме­ва­ет 4‑й пункт 3–1 ста­тьи 26 зако­на «О свя­зи» и пункт 8 при­ка­за пред­се­да­те­ля КНБ от 27 мар­та 2018 года.

Собе­сед­ник Азатты­ка так­же доба­вил, что сей­час спе­ци­а­ли­сты пла­ни­ру­ют собрать дан­ные по тех­ни­че­ской части «сер­ти­фи­ка­та» и анон­си­ро­ван­ных «уче­ний» и на осно­ва­нии дан­ных соста­вить отчет, кото­рый будет вклю­чать вопро­сы прав и сво­бод чело­ве­ка и вли­я­ние этих «уче­ний» на пра­ва граждан.

IT-спе­ци­а­лист из Алма­ты Дос Илья­шев так­же не реко­мен­ду­ет уста­нав­ли­вать этот «сер­ти­фи­кат» и отме­ча­ет, что он нужен не або­нен­там, а опе­ра­то­рам связи.

— У нас есть про­вай­де­ры, пусть им ста­вят этот сер­ти­фи­кат, что­бы они на сво­ем уровне филь­тро­ва­ли тра­фик, а або­нен­тов конеч­ных застав­лять ста­вить — это непра­виль­но. В мире нигде так не дела­ют. Если нас защи­ща­ют от фишин­го­вых атак, финан­со­вых махи­на­ций, то это пра­виль­но. Но если что-то дру­гое, то нет, сво­бо­да сло­ва пре­вы­ше все­го, — гово­рит Ильяшев.

НЕСЛУЧАЙНО СОВПАЛО С ПРЕДВЫБОРНЫМ ПЕРИОДОМ

Собе­сед­ник не исклю­ча­ет связь меж­ду дей­стви­я­ми вла­стей на огра­ни­че­ние досту­па к ино­стран­ным интер­нет-ресур­сам с внут­ри­по­ли­ти­че­ской ситу­а­ци­ей в Казах­стане нака­нуне пар­ла­мент­ских выборов.

— Если исхо­дить из того, что напи­са­но, сер­ти­фи­кат будет защи­щать от кон­тен­та, кото­рый нару­ша­ет зако­ны. Навер­ное, пред­по­ла­га­ют, что до выбо­ров будет рас­про­стра­нять­ся кон­тент анти­за­кон­ный, — пола­га­ет Ильяшев.

Елжан Кабы­шев так­же пола­га­ет, что вре­мя про­ве­де­ния неслу­чай­но сов­па­ло с пред­вы­бор­ным пери­о­дом, и под­ни­ма­ет вопрос закон­но­сти про­ве­де­ния «кибе­ру­че­ний» с огра­ни­че­ни­ем граж­дан досту­па к неко­то­рым интернет-ресурсам.

Лич­но мне эти уче­ния напо­ми­на­ют то, как если бы про­во­ди­ли реаль­ные уче­ния, а мир­ных жите­лей уве­до­ми­ли, что они участ­ву­ют в этих уче­ни­ях и будут в роли заложников.

— Воз­мож­но, они гото­вят­ся к элек­то­раль­ным про­цес­сам таким обра­зом. Лич­но мне эти уче­ния напо­ми­на­ют то, как если бы про­во­ди­ли реаль­ные уче­ния, а мир­ных жите­лей уве­до­ми­ли, что они участ­ву­ют в этих уче­ни­ях и будут в роли залож­ни­ков. Без их согла­сия. Я вижу такую ситу­а­цию. Это реаль­но очень стран­но. Воз­ни­ка­ют вопро­сы закон­но­сти таких меро­при­я­тий, поче­му мир­ных жите­лей втя­ги­ва­ют в эти уче­ния, кото­рые про­во­дят сами госор­га­ны? Поче­му они долж­ны уста­нав­ли­вать сер­ти­фи­кат безопасности?

Тем вре­ме­нем на сай­тах опе­ра­то­ров сото­вой свя­зи при­во­дит­ся инструк­ция, как уста­но­вить этот «сер­ти­фи­кат без­опас­но­сти», а так­же опре­де­ле­ние, для чего он нужен. Так, в ком­па­нии Beeline счи­та­ют, что «целью при­ме­не­ния сер­ти­фи­ка­та без­опас­но­сти явля­ет­ся огра­ни­че­ние рас­про­стра­не­ния по сети теле­ком­му­ни­ка­ций запре­щен­ной зако­но­да­тель­ством информации».

В ком­па­нии Кcell отме­ча­ют, что «внед­ре­ние сер­ти­фи­ка­та без­опас­но­сти помо­жет в обла­сти защи­ты инфор­ма­ци­он­ных систем и дан­ных, а так­же в выяв­ле­нии хакер­ских, кибе­р­атак интер­нет-мошен­ни­ков на систе­мы инфор­ма­ци­он­но­го про­стран­ства стра­ны, част­ный, в том чис­ле бан­ков­ский, сек­тор до того, как они смо­гут нане­сти ущерб». Аltel заяв­ля­ет, что «сер­ти­фи­кат без­опас­но­сти направ­лен на то, что­бы предо­ста­вить або­нен­там сото­вой свя­зи Казах­ста­на выход в интер­нет в мак­си­маль­но без­опас­ном режиме».

ПОЧЕМУ ТЕПЕРЬ ЦАРКА В КОМАНДЕ КНБ?

К так назы­ва­е­мым кибе­ру­че­ни­ям МЦРИАП и КНБ при­вле­ка­ют Наци­о­наль­ный коор­ди­на­ци­он­ной центр инфор­ма­ци­он­ной без­опас­но­сти и систе­му «Кибер­щит Казах­ста­на», Центр ана­ли­за и рас­сле­до­ва­ния кибе­р­атак (ЦАРКА), а так­же силы и сред­ства опе­ра­тив­ных цен­тров инфор­ма­ци­он­ной без­опас­но­сти КВОИКИ (кри­ти­че­ски важ­ные объ­ек­ты инфор­ма­ци­он­но-ком­му­ни­ка­ци­он­ной инфра­струк­ту­ры) и опе­ра­то­ров свя­зи, под­раз­де­ле­ния по обес­пе­че­нию инфор­ма­ци­он­ной без­опас­но­сти госу­дар­ствен­ных орга­нов и част­ные компании.

К сло­ву, при попыт­ке внед­ре­ния «сер­ти­фи­ка­та без­опас­но­сти» в 2019 году Центр ана­ли­за и рас­сле­до­ва­ния кибе­р­атак выска­зы­вал­ся про­тив этой затеи. Пре­зи­дент цен­тра Олжас Сати­ев в ком­мен­та­рии Азатты­ку отме­тил: «В нашей стране рас­пи­са­ны все роли участ­ни­ков про­цес­са управ­ле­ния страной».

— В спис­ке регу­ля­то­ров ЦАРКА, есте­ствен­но, нет. Исхо­дя из это­го оче­вид­но, что воз­мож­ность вли­я­ния на марш­рут дви­же­ния госу­дар­ства у нас отсут­ству­ет. Зако­ны пишет отрас­ле­вое мини­стер­ство, мы, конеч­но, можем их оспа­ри­вать в уста­нов­лен­ном поряд­ке, но вынуж­де­ны под­чи­нять­ся, — ска­зал Сатиев.

Гла­ва ЦАРКА при этом под­черк­нул: «В вопро­се с сер­ти­фи­ка­том без­опас­но­сти мы уже выра­жа­ли свое мне­ние и оста­нем­ся ему верны».

— Мы счи­та­ем его при­ме­не­ние неумест­ным в обыч­ное вре­мя, а при­ме­не­ние в осо­бые пери­о­ды — тер­ро­ри­сти­че­ская угро­за, воен­ные дей­ствия и подоб­ное — воз­мож­ным при опре­де­ле­нии чет­ких нор­ма­тив­ных про­це­дур. Мы счи­та­ем, что внед­ре­ние сер­ти­фи­ка­та неумест­но в обыч­ное вре­мя. И если вопрос об отка­зе от него не сто­ит у госу­дар­ства, то нуж­но хотя бы чет­ко регла­мен­ти­ро­вать, в каких ЧС его будут вклю­чать и на какие ресур­сы, — объ­яс­нил пози­цию ЦАРКА Олжас Сатиев.

Он так­же сооб­щил, что «в пред­сто­я­щих кибе­ру­че­ни­ях» ЦАРКА отве­де­на роль «хакер­ской груп­пы, ата­ку­ю­щей кри­ти­че­скую инфра­струк­ту­ру Казах­ста­на, не более».

— В слу­чае наше­го отка­за для этих работ были бы при­вле­че­ны дру­гие спе­ци­а­ли­сты. Исхо­дя из этой логи­ки, мы согла­си­лись при­нять уча­стие в пред­сто­я­щих кибе­ру­че­ни­ях. Мы — веду­щая ком­па­ния по инфор­ма­ци­он­ной без­опас­но­сти в Казах­стане, и я не вижу про­блем, поче­му бы нам не участ­во­вать в том, в чем мы луч­шие в Казах­стане. Нас попро­си­ли про­ве­рить веб-ресур­сы госор­га­нов, что мы и так посто­ян­но дела­ем. Кибе­ру­че­ния — это ком­плекс меро­при­я­тий. Мы участ­ву­ем имен­но в этой части, — отве­тил Сатиев.

Он доба­вил, что «уче­ния долж­ны быть не боль­ше неде­ли», а «меро­при­я­тия с сер­ти­фи­ка­том, воз­мож­но, зай­мут пару дней».

Ори­ги­нал ста­тьи: Казах­стан — Радио «Сво­бод­ная Европа»/Радио «Сво­бо­да»

Статьи по теме

Найти тех кто прославляет Даригу Назарбаеву

НАЗАРБАЕВСКАЯ ЖЕСТКАЯ АВТОКРАТИЯ  «СЪЕЛА» ЖИЗНЬ ЦЕЛОГО ПОКОЛЕНИЯ

Лукпан Ахмедьяров — о давлении на казахстанское медиа-пространство, своём отъезде из Уральска и возможности эмиграции вообще