В чьих интересах сертификат безопасности? (Нагашыбек Бекдаир)
В чьих интересах сертификат безопасности?
Нагашыбек Бекдаир
С середины июля абонентам мобильных операторов Казахстана было разослано сообщение о необходимости установления национального сертификата безопасности. В противном случае операторы предупреждали о возможных проблемах с выходом в Интернет.
Сертификат безопасности - это протокол, поддерживающий различный тип шифрования для трафика в Интернете. По мнению независимых экспертов, устанавливать сертификат небезопасно. Потому что данные, пересылаемые вами в браузере и ряде других приложений, в том числе персональные, станут доступны третьим лицам. Сертификат - прямая попытка контролировать весь интернет-трафик в государстве, включая незашифрованные сообщения в почте и мессенджерах. Судя по данным казахстанских программистов, сайт, с которого граждане будут устанавливать сертификат, зарегистрирован на частное лицо. В случае если сертификат будет внедрен по всей стране, почти единственным безопасным решением будет использование платных VPN-сервисов новейшего поколения. VPN - это технология, обеспечивающая зашифрованное интернет-соединение, а также позволяющая подменять реальный IP-адрес, что обеспечивает полную анонимность в сети.
При этом устанавливать сертификат необязательно. Закон РК «О связи» не содержит подобного требования к гражданам, а касается только операторов связи. Мы озаботились вопросом о том, ухудшится ли доступ к Интернету у тех, кто не устанавливал сертификат безопасности?
Министр цифрового развития, инноваций и аэрокосмической промышленности РК Аскар Жумагалиев сказал по этому поводу на конференции Службы центральных коммуникаций следующее.
- Что касается качества связи, мы, как только начались работы по наладке оборудования, связанной с сертификатом безопасности, сразу разместили соответствующую информацию о том, что с доступом могут быть проблемы, но они временного характера. Я установил сертификат, и у меня отсутствуют какие-либо проблемы, - сказал А. Жумагалиев.
По словам министра, при возникновении каких-либо вопросов гражданам стоит обращаться в Государственную техническую службу (ГТС).
- Я думаю, необходимо обратиться в ГТС, и все эти вопросы снимутся. Давайте смотреть индивидуально, если у кого-то будут какие-то проблемы, ГТС в этом отношении готова оказывать содействие. Я думаю, операторы связи будут тоже оказывать вам содействие. В первую очередь я бы хотел продемонстрировать то, что я установил сертификат. Мне пришло соответствующее СМС, и я без каких-либо проблем это осуществил.
Глава ведомства пояснил, что государственные служащие данный сертификат безопасности используют уже полтора года.
- Только за последний месяц этот сертификат безопасности позволил выявить более восьми миллионов фактов вирусной активности и защитить от 130 тыс. кибератак, которые сегодня осуществляются на государственные органы. Мы, госслужащие, конечно, продолжим работу с сертификатом безопасности. А гражданам на добровольной основе - хотите, защищайтесь. Государство в этом отношении свои действия произвело, - отметил А. Жумагалиев.
Теперь расскажем коротко о приложении VPN, а также чем опасна для казахстанцев установка национального сертификата безопасности. О том, насколько реально заблокировать в Казахстане приложение VPN, рассказали заместитель директора РГП «Государственная техническая служба» КНБ РК Зекен ИСМАИЛОВ, юрист и правозащитник Елжан КАБЫШЕВ.
Зекен ИСМАИЛОВ, зам. директора РГП «Государственная техническая служба» КНБ РК:
- Блокировка происходит только по деструктивным страницам и контенту. Если будет решение суда или предписание уполномоченного органа, то VPN будет блокироваться. Если решения и предписания не будет, то значит - нет. VPN можно использовать вместе с сертификатом безопасности. Приложение VPN помогает гражданам обходить блокировки сайтов в Интернете. Мы же все читаем прессу и периодически видим, что у нас происходят проблемы: фэйсбук, твиттер. Не скажу, что в Казахстане такое происходит часто, но все-таки бывает. У вас есть оператор связи. У нас постоянная работа с операторами связи и все возникающие вопросы мы отрабатываем, поэтому просьба обратиться в колл-центр, если вопросы относятся к их зоне ответственности. Если это все-таки как-то относится к сертификату безопасности, как вы сказали, блокируется доступ тем, кто не установил сертификат, то мы садимся и совместно разбираемся. Граждане должны понимать, что любое технологическое решение имеет какие-то огрехи. Сейчас идет процесс апробации. Сертификат безопасности позволяет расшифровывать зашифрованный трафик. Но это происходит только в онлайн-режиме. Применяется это только к противоправному контенту. Грубо говоря, никто вашу переписку, историю посещений, страницу в соцсетях, пароли не хранит и хранить не собирается. Есть список противоправного контента, который определен предписаниями уполномоченных органов и решениями судов.
На вопрос «Почему сайт, на котором был размещен сертификат безопасности, был зарегистрирован на частное лицо?» Зекен Исмаилов ответил:
- Сайт был изначально разработан, чтобы было понимание, что обязанность по обеспечению установки сертификата лежит на операторах связи. Мы неоднократно проводили рабочие совещания с операторами связи, где было высказано пожелание с их стороны помочь им в процессе установки. Если кто устанавливал себе сертификат безопасности, ради интереса зайдите на этот сайт, посмотрите, он достаточно простой. При входе в него сразу аннулируется информация, с какой операционной системы вы заходите - это android или IOS. Соответственно вам дается возможность выбора того пакета установщика. Потому что сама процедура установки имеет определенный порядок действий. Для того чтобы вам было проще, необходимо, чтобы непосредственно данный сотрудник, который фигурировал в названии как частное лицо, разработал инсталлятор (программа, которая позволяет с наименьшими усилиями произвести инсталляцию, установку данного сертификата). Он (частное лицо) разработал инсталлятор, и так как это была не основная наша задача, он ее зарегистрировал на свое имя. На текущий день этот сайт перерегистрирован в наше подразделение РГП «Национальный координационный центр информационной безопасности».
Елжан КАБЫШЕВ, юрист, правозащитник:
- Сертификат безопасности - это протокол, поддерживающий различный тип шифрования для трафика в Интернете. Давайте взглянем, что говорит нам об этом законодательство Республики Казахстан. Это набор электронных цифровых символов, применяемый для пропуска трафика, содержащего протоколы, поддерживающие шифрование (пп. 36-1 ст. 2 Закона РК «О связи»). Данная статья вступила в силу с 1 января 2016 года в соответствии с Законом РК № 419-V «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам информатизации».
Правила выдачи сертификатов были регулированы Приказом министра по инвестициям и развитию РК № 1240 «Об утверждении Правил выдачи сертификата безопасности», сейчас приказ утратил силу Приказом председателя КНБ РК № 23/нс «Об утверждении Правил выдачи и применения сертификата безопасности».
Если прочитать Закон РК «О связи», где нам сообщают в СМС-рассылке о ст. 26, то видим, что это прямая обязанность оператора связи, как и в случае с регистрацией телефонов в прошлом году. В законе не указана прямая обязанность абонентов на принудительную установку сертификатов безопасности.
Что касается Правил выдачи и применения сертификата безопасности, утвержденных Приказом председателя КНБ РК № 23/нс, то там указаны лишь обязанности операторов связи по применению сертификатов. В них отмечено, что они направляют абонентам уведомление об установке, а абонент сам принимает решение устанавливать или не устанавливать сертификат безопасности. Установка и использование абонентом этих сертификатов безопасности облегчает госоргану процедуру для блокировки или ограничения доступа к тому или иному ресурсу.
Вместе с тем применяется инструмент MITM (Man-in-the-middle), - «человек посередине». Его суть заключается в установке некоего агента между пользователем и сайтом, который будет перехватывать все данные, которыми обмениваются эти два объекта. В данном случае трафик будет идти через сертификат, а исходящий и входящий трафик можно проследить и блокировать доступ к нежелательному контенту, признанному незаконным на основе судебного решения или законами РК. Но для этого в настоящее время нужно согласие абонента на установку этого сертификата.
Следует отметить, что согласно ст. 41-1 Закона РК «О связи» процедура внесудебной блокировки была введена в 2014 году. С этого времени применяется процедура внесудебного ограничения доступа к противозаконным материалам, нежели к судебным решениям. Отмечу, что уполномоченный орган начал вводить ограничения с 2016 года, и в период с 2016 по 2018 год доступ был ограничен более чем к 50 тыс. материалов, а по судебным решениям с 2014 по 2018 год к 8240 материалам. И здесь возникают сложности транспарентности процедуры ограничения, так как, по моим источникам информации, не все получают уведомление от уполномоченного органа об удалении противозаконного материала и, соответственно, их ограничивают на территории Казахстана. Каким образом в интернет-ресурсе «Брестское мороженое» нашли порнографию, и как на сайте Республиканского религиозного объединения «Мусульмане Беларуси» нашли пропаганду терроризма и экстремизма, которые потом попали в реестр запрещенных интернет-ресурсов, непонятно. И это даже неполный список, таких сайтов много. На самом деле вопросов по регулированию Интернета, включая недавнюю новость по сертификату безопасности, очень много, так как, по задумке, он будет ограничивать доступ к запрещенным сайтам. Пока что проект проходит пилот в г. Нур-Султане. Будет ли он успешным для государства, мы еще посмотрим.
Недавно мы запустили проект InternetFreedom в сотрудничестве с ОФ «Правовой медиацентр» при поддержке Фонда Сорос-Казахстан. Целью проекта является защита прав человека, в частности, на свободный поиск, получение и распространение информации, доступ к информации в Интернете. Мы хотим изменить ситуацию с Интернетом в Казахстане к лучшему в диалоге с обществом, бизнесом и государством.