Бас тақырып | Тема дняЖаңалықтар | Новости

СЕРТИФИКАТ НА КРАЙНИЙ СЛУЧАЙ

Недавно на брифинге Службы центральных коммуникаций «О проведении киберучений в г. Нур-Султан» представители Министерства цифрового развития и аэрокосмической промышленности, Комитета национальной безопасности рассказали, что готовы нести ответственность за утечку персональных данных казахстанцев, если такое случится при использовании сертификата безопасности. При этом устанавливать сертификат необязательно. Закон РК «Освязи» не содержит подобного требования к гражданам, а касается только операторов связи.

Сертификат безопасности – это протокол, поддерживающий различный тип шифрования для трафика в интернете. По мнению независимых экспертов, устанавливать сертификат небезопасно. Потому что данные, пересылаемые вами в браузере и ряде других приложений, в том числе персональные, могут стать доступны
третьим лицам. Сертификат – прямая попытка контролировать весь интернет-трафик в государстве, включая незашифрованные сообщения в почте и мессенджерах. Председатель комитета по информационной безопасности Министерства цифрового развития и аэрокосмической промышленности Руслан Абдикаликов рассказал,что сертификат безопасности нужен именно для самого гражданина, чтобы у него было как можно меньше проблем с доступом в интернет.

– Сама «машинка» этот трафик уже посмотрела. Вопрос только в том, что, если человек не поставил сертификат, у него гораздо больше проблем при взаимодействии с иностранными сервисами. Вот и все, – рассказал Р. Абдикаликов. Заместитель директора Департамента информационной безопасности КНБ РК Галымбек Татенов уточнил, что учения проводились в выходные, и действительно они сказывались на работе иностранных интернет-ресурсов.

– Вы можете не ставить сертификат. Если вы хотите иметь доступ, чтобы у вас работала точечная блокировка, не отключался весь ресурс, чтобы вы ходили только по вашим ссылкам, а не по каким-то противоправным, то сертификат помогает это сделать, – добавил Г. Татенов. Также Руслан Абдикаликов
подчеркнул, что в отношении сотрудника, который злоупотребит сертификатом и произойдет утечка личных данных, будет возбуждено уголовное дело.

– Чтобы получить данные на человека из этой машины, существует закон об оперативно-розыскной
деятельности, есть УПК РК, за всеми действиями правоохранительных органов высший надзор осуществляет Генпрокуратура. В отношении сотрудника, кто злоупотребит этим, существует уголовная ответственность. Он будет сидеть в тюрьме, – сказал Р. Абдикаликов.

О том, что собой предоставляет национальный сертификат безопасности и нуждается ли интернет в регулировании, нам рассказали правозащитник Елжан КАБЫШЕВ и программист проекта Internet Freedom Анвар УМАРОВ.

Анвар УМАРОВ, программист:

– Можем ли мы с уверенностью сказать, что сертификат безопасности защищает от взламывания? Так по крайней мере утверждают казахстанские власти. Однако подход через сертификат – не лучшее решение для борьбы с киберпреступлениями. Любое общение в интернете должно быть зашифровано. У шифрований есть два типа – симметричное и ассиметричное. Симметричное – это когда общение происходит между двумя агентами по Сети, если посередине ее кто-то расположился, то общение может быть скомпрометировано. А в ассиметричном шифровании имеется публичный и приватный ключ. То есть сообщение шифруется публичным ключом, а расшифровывается приватным и никак иначе. В общем, суть данного алгоритма заключается в том, что принимающая сторона перед приемкой сообщения генерирует пару ключей на основе алгоритма модульной арифметики, собственно, как я уже сказал, приватный и публичный ключи. Отправитель перед отправкой получает публичный ключ и шифрует им сообщение, после чего его можно расшифровать только приватным ключом, который хранится в секрете у принимающей стороны.
Когда мы говорим о кибератаках или о фишинге (интернет-мошенничество, целью которого является получение доступа к конфиденциальным данным пользователей – логинам и паролям), то я не представляю, каким образом государство пытается это сделать. Им приходится получать каждый трафик и анализировать их, что тоже очень странно. Если есть решение, то надо удостовериться в том, умеют ли граждане пользоваться той аппаратурой, которая у них имеется. Вовремя обновлять телефон, не заходить в фишинговые сайты. Но не так, чтобы скомпрометировать их право на личную жизнь и безопасность
в интернете. Никто не может гарантировать, что данные, которые уходят, не будут взломаны, даже если это серверы защищенных мест. На мой взгляд, очень опасно хранить такого рода данные в одном месте.

Елжан КАБЫШЕВ, правозащитник:

– Общество и IT-компании против, но, тем не менее, использование национального сертификата
безопасности предусмотрено законом РК «О связи» и правилами выдачи и применения сертификата безопасности, который утвержден председателем КНБ РК. В этом законе прописано, что нам операторы связи сообщают СМС-рассылкой о необходимости установления сертификата, и это их прямая обязанность, как и в случае с регистрацией телефонов. Однако в законе не указана прямая обязанность абонентов на принудительную установку сертификатов безопасности. Мы все помним слова Президента Касым-Жомарта Токаева, когда прошли двухнедельные испытания сертификата безопасности в прошлом году. Тогда Глава государства сообщил, что данный сертификат будет использован лишь в случаях вторжения извне либо в потрясениях внутри государства. Неизвестно, почему во время киберучений был применен этот сертификат, ведь Президент сказал, что он применяется только в самых крайних случаях. Интернет не должен быть урегулирован, он должен быть на управлении. А управлять им должны совместно с IT-сообществом, гражданским обществом и другими субъектами, которые прямо или косвенно влияют на интернет.

Нагашыбек БЕКДАИР

Комментарий