Учения «Кибербезопасность Нур-Султан — 2020», анонсированные КНБ, реально привели к проблемам с доступом к «некоторым иностранным интернет-ресурсам» — перебои наблюдались в работе Facebook’а, YouТube’а и других сайтов. Для сохранения доступа к этим ресурсам операторы связи просили «установить на все устройства сертификат безопасности». Эпопею с установкой «сертификата» казахстанцы уже проходили год назад. Об этом пишет «Азаттык» (казахская редакция радио «Свобода»).
Накануне министерство цифрового развития, инноваций и аэрокосмической промышленности (МЦРИАП) и комитет национальной безопасности заявили о проведении совместных учений по теме «Кибербезопасность Нур-Султан — 2020». Необходимость проведения учений МЦРИАП мотивировал «ростом кибератак на цифровое пространство Казахстана». Госорганы напомнили об установке «сертификата безопасности», вокруг которого был шум летом 2019 года.
«В период проведения киберучений возможно возникновение различных проблем с доступом к некоторым зарубежным интернет-ресурсам, которые могут быть устранены путём установки сертификата безопасности», — говорится в релизах МЦРИАП и КНБ.
Началом учений определили 6 декабря, однако дату окончания не сообщили. Жители столицы 6 декабря стали замечать проблемы с доступом к различным зарубежным информационным сайтам и социальным сетям.
В июле 2019 года казахстанские власти призывали казахстанцев установить так называемый «сертификат безопасности» Qaznet Trust Network. Однако продукт подвергся массовой критике со стороны интернет-пользователей и экспертов, которые единогласно предупреждали о том, что «сертификат» не может защитить от киберугроз, даже напротив — может способствовать передаче персональных данных третьим лицам.
Правозащитник проекта Internet Freedom Kazakhstan Елжан Кабышев полагает, что новый «сертификат безопасности» по своему функционалу похож на «прошлогодний». Эксперт объясняет, что при установке этого «сертификата безопасности» личные данные пользователя будут доступны третьим лицам.
— Есть MITM (man in the middle), то есть человек посередине. Если устанавливаете сертификат на свое устройство, весь трафик от вашего устройства сначала будет идти через этот сертификат, а затем — в запрашиваемые сайты, к которым вы обращаетесь. То есть пароли, истории посещений ресурсов данный сертификат будет прочитывать. Переписки тоже. Это происходит, потому что вы установили сертификат на свое устройство, откуда выходите в интернет. И MITM — человек посередине — будет получать данные через этот сертификат, — предупреждает Кабышев.
Один из мотивов призыва к установке «сертификата» сотовые операторы называют «ограничение запрещенного законодательством Казахстана контента». По словам Кабышева, процедура отнесения контента к статусу «запрещенный» сомнительна.
— Возникают вопросы четкости и ясности законодательства, потому что те основания, которые предусматривают как запрещенный контент, расплывчатые. И на основании этого возникают вопросы о прозрачности деятельности госорганов в части запрещенных материалов и правоприменительной практики по ограничению доступа к таким материалам. Опасно ограничивать доступ к сайтам посредством сертификата. Получается, что идет цензура. Поэтому, конечно же, у общества есть недоверие, — отмечает эксперт.
Кабышев уверен, что следовать рекомендациям госорганов просто опасно.
В Internet Freedom Kazakhstan задаются вопросом: являются ли испытания временными, или внедрение и использование «сертификата» планируется на постоянной основе, что подразумевает 4-й пункт 3-1 статьи 26 закона «О связи» и пункт 8 приказа председателя КНБ от 27 марта 2018 года.
Собеседник Азаттыка также добавил, что сейчас специалисты планируют собрать данные по технической части «сертификата» и анонсированных «учений» и на основании данных составить отчет, который будет включать вопросы прав и свобод человека и влияние этих «учений» на права граждан.
IT-специалист из Алматы Дос Ильяшев также не рекомендует устанавливать этот «сертификат» и отмечает, что он нужен не абонентам, а операторам связи.
— У нас есть провайдеры, пусть им ставят этот сертификат, чтобы они на своем уровне фильтровали трафик, а абонентов конечных заставлять ставить — это неправильно. В мире нигде так не делают. Если нас защищают от фишинговых атак, финансовых махинаций, то это правильно. Но если что-то другое, то нет, свобода слова превыше всего, — говорит Ильяшев.
Собеседник не исключает связь между действиями властей на ограничение доступа к иностранным интернет-ресурсам с внутриполитической ситуацией в Казахстане накануне парламентских выборов.
— Если исходить из того, что написано, сертификат будет защищать от контента, который нарушает законы. Наверное, предполагают, что до выборов будет распространяться контент антизаконный, — полагает Ильяшев.
Елжан Кабышев также полагает, что время проведения неслучайно совпало с предвыборным периодом, и поднимает вопрос законности проведения «киберучений» с ограничением граждан доступа к некоторым интернет-ресурсам.
Тем временем на сайтах операторов сотовой связи приводится инструкция, как установить этот «сертификат безопасности», а также определение, для чего он нужен. Так, в компании Beeline считают, что «целью применения сертификата безопасности является ограничение распространения по сети телекоммуникаций запрещенной законодательством информации».
В компании Кcell отмечают, что «внедрение сертификата безопасности поможет в области защиты информационных систем и данных, а также в выявлении хакерских, кибератак интернет-мошенников на системы информационного пространства страны, частный, в том числе банковский, сектор до того, как они смогут нанести ущерб». Аltel заявляет, что «сертификат безопасности направлен на то, чтобы предоставить абонентам сотовой связи Казахстана выход в интернет в максимально безопасном режиме».
К так называемым киберучениям МЦРИАП и КНБ привлекают Национальный координационной центр информационной безопасности и систему «Киберщит Казахстана», Центр анализа и расследования кибератак (ЦАРКА), а также силы и средства оперативных центров информационной безопасности КВОИКИ (критически важные объекты информационно-коммуникационной инфраструктуры) и операторов связи, подразделения по обеспечению информационной безопасности государственных органов и частные компании.
К слову, при попытке внедрения «сертификата безопасности» в 2019 году Центр анализа и расследования кибератак высказывался против этой затеи. Президент центра Олжас Сатиев в комментарии Азаттыку отметил: «В нашей стране расписаны все роли участников процесса управления страной».
— В списке регуляторов ЦАРКА, естественно, нет. Исходя из этого очевидно, что возможность влияния на маршрут движения государства у нас отсутствует. Законы пишет отраслевое министерство, мы, конечно, можем их оспаривать в установленном порядке, но вынуждены подчиняться, — сказал Сатиев.
Глава ЦАРКА при этом подчеркнул: «В вопросе с сертификатом безопасности мы уже выражали свое мнение и останемся ему верны».
— Мы считаем его применение неуместным в обычное время, а применение в особые периоды — террористическая угроза, военные действия и подобное — возможным при определении четких нормативных процедур. Мы считаем, что внедрение сертификата неуместно в обычное время. И если вопрос об отказе от него не стоит у государства, то нужно хотя бы четко регламентировать, в каких ЧС его будут включать и на какие ресурсы, — объяснил позицию ЦАРКА Олжас Сатиев.
Он также сообщил, что «в предстоящих киберучениях» ЦАРКА отведена роль «хакерской группы, атакующей критическую инфраструктуру Казахстана, не более».
— В случае нашего отказа для этих работ были бы привлечены другие специалисты. Исходя из этой логики, мы согласились принять участие в предстоящих киберучениях. Мы — ведущая компания по информационной безопасности в Казахстане, и я не вижу проблем, почему бы нам не участвовать в том, в чем мы лучшие в Казахстане. Нас попросили проверить веб-ресурсы госорганов, что мы и так постоянно делаем. Киберучения — это комплекс мероприятий. Мы участвуем именно в этой части, — ответил Сатиев.
Он добавил, что «учения должны быть не больше недели», а «мероприятия с сертификатом, возможно, займут пару дней».