Что не так с казахстанским сертификатом безопасности
Сертификат безопасности может оказаться угрозой для казахстанцев, так как проверить его нельзя ни в одном международном корневом удостоверяющем центре, чем в итоге могут воспользоваться интернет-мошенники. Такое мнение озвучил российский IT-специалист, директор некоммерческой организации «Общество защиты интернета» Михаил Климарев во время дискуссии в рамках Privacy Week 2021.
Разработанный в 2015 году в Казахстане сертификат безопасности — Qaznet Trust Network, по задумке государства, призван оградить казахстанцев, установивших его, от хакерских атак и просмотра противоправного контента в интернете. Однако российский эксперт Михаил Климарев не считает сертификат безопасным, объясняя это тем, что ни один международный корневой удостоверяющий центр его не признал.
«Обычный пользователь не отличит этот сертификат от поддельного. Если я вам с таким же названием файла дам свой сертификат, и ваш браузер будет обращаться в таком случае уже не к казахстанскому сервису безопасности, а к моему сервису, то я узнаю все ваши пароли и явки. Отличить один сертификат от другого практически невозможно, потому что нет никакой инфраструктуры проверки этого сертификата, так как ни один международный корневой удостоверяющий центр, разумеется, этот сертификат не удостоверит», — сказал Климарев.
Президент Центра анализа и расследования кибератак (ЦАРКА) Олжас Сатиев считает применение сертификата допустимым, но только в особые периоды, которые необходимо четко законодательно оформить. Из-за размытости определения, по его словам, в IT компаниях до сих пор нет понимания, в каких конкретных случаях сертификат будет применяться, что именно будет являться «особым периодом».
Сатиев также опроверг теорию слежки с помощью сертификата.
«Многие считают, что внедрение сертификата — это слежка за пользователями. При этом, мне кажется, что радикальные люди или террористы все равно найдут методы обхода сертификата, через VPN или другие инструменты. Думать о том, что вашу переписку будет читать человек из госорганов не правильно, потому что каждый пользователь интернета в день генерирует большое количество логов: переписки в соцсетях, перемещение по сайтам и так далее. (Их так много, что) одного сотрудника госоргана для того, чтобы отследить одного пользователя интернета, будет недостаточно. Поэтому вопрос о том, что будет слежка отметается».
Однако сертификат все-таки ограничивает право на тайну переписки. Так считает член Коалиции нового поколения правозащитков Елжан Карбышев. Он отмечает, что в законе не предусмотрена никакая ответственность для пользователей за не установку сертификата, однако для операторов распространение и внедрение сертификата безопасности носит обязывающий характер.
«Согласно правилам, операторы связи уведомляют абонентов о том, что те должны установить сертификат для того, чтобы был доступ к интернету. Соответственно, говорить о добровольности в будущем для пользователя который просто хочет получить доступ в интернет мы не можем», — заявил он.
По словам председателя Комитета по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Руслана Абдикаликова, заявления о незаконности использования сертификата не соответствует действительности, так как в Законе «О связи» регламентировано его применение.
«Внедрение сертификата безопасности связано только с тем фактом, что когда мы обращаемся к владельцам иностранных ресурсов и просим ограничить доступ к информации для наших граждан, так как эта информация нарушает наше законодательство. Но мы не получаем обратной связи. Эта проблема вынудила государство идти на такую непопулярную меру, как сертификат безопасности», — сказал он.
При этом он отметил, что государство продолжает переговоры с иностранными интернет-площадками, но тем не менее «оставляет за собой право использовать СБ, который предусмотрен законодательством страны» в случае, если будут возникать угрозы для безопасности страны, понадеявшись, что это не случатся.
Отметим, летом 2019 года казахстанская разработка сертификата безопасности вызвала негативную реакцию у крупных IТ-компаний, таких как Apple, Google, Mozilla. Они сообщили о блокировке в их браузерах Qaznet Trust Network.
Напомним, 6 декабря 2020 года, у жителей Нур-Султана возникли проблемы с доступом на некоторые сайты. В последствии МЦРИАП объяснило это тем, что в тот день проводились киберучения по использованию сертификата.