Экспертное мнение: Предложенный госорганами РК «сертификат безопасности» небезопасен

Дата: 14:02, 08-12-2020.

Астана. 8 декабря. КазТАГ – Бибихан Серикова. Предложенный государственными органами Казахстана «сертификат безопасности» небезопасен, считает президент Интернет Ассоциации Казахстана Шавкат Сабиров.

«Мировым сообществом, ICANN (Корпорация по управлению доменными именами и IP-адресами – КазТАГ), RIPE (европейский интернет-регистратор – КазТАГ), но и всеми остальными было признано, что национальные сертификаты безопасности – самая неудачная, самая небезопасная затея», - сказал Сабиров во вторник, комментируя редакции предложение госорганов казахстанцам установить на их устройства с выходом в интернет национальный «сертификат безопасности».

Он пояснил, что речь не идет о том, что пользователя будут контролировать или следить за ним.

«Страшнее другое – во-первых, это небезопасно с точки зрения того, что со стороны могут такой сертификат взломать и тогда все наши данные утекут хакеру. Во-вторых, данные, которые мы через этот сертификат будем передавать, они предоставляют конфиденциальные данные и хотя государство «не собирает», мы все равно выражаем сомнения относительно того, что этими данными потом кто-то не воспользуется в плохих целях. Человеческий фактор в Казахстане сыграет 100%, потому что, к сожалению, у нас человеческий фактор является самым слабым звеном во всех вещах», - пояснил собеседник агентства.

Комментируя заявление председателя комитета по информационной безопасности министерства цифрового развития, инноваций и аэрокосмической промышленности Руслана Абдикаликова о том, что в смартфонах «содержатся порядка 100 сертификатов других стран», Сабиров выразил мнение, что речь идет о подмене понятий.

«Здесь игра слов, в том смысле что, вы же на своем сайте (КазТАГа – ред.) тоже такие сертификаты используете. «Если хочешь гулять, возьми мой сертификат и гуляй с моим сертификатом» – по всему миру такого нет. Потому что в мире огромное количество придумывают различных инструментов для того, чтобы сделать интернет безопасным. Есть IP сайта, которое дает защиту твоего IP-адреса. Есть DNS, он дает защиту твоих DNS-ов, чтобы у тебя DNS-ы не воровали. Наиболее в практике используется как DNS транссек – от слова security», - пояснил эксперт.

Он привел пример, когда на западе пытались внедрить схожий с казахстанским «сертификат безопасности».

«Еще в 2010-х была попытка установления таких общих сертификатов на национальных масштабах. Это та самая первая попытка. В 2011 году такой сертификат поставили в Голландии, и поставила это компания DigiNotar всем правительственным структурам. Они там просуществовали совсем короткое время, потому что сертификат взломали. И практически вся информация, которая была в государственных органах, стала доступна хакерам. После правительство Голландии обанкротило это агентство. И в каждом департаменте появились департаменты кибербезопасности, и категорически отказалась (Голландия – КазТАГ) от этой идеи, потому что риски, угрозы такие большие, что не дай Бог кто-нибудь взломает», - поделился Сабиров.

Также он привел пример Ирана, где также был печальный опыт внедрения «сертификата безопасности».

«2010-2011 год – Иран поставил сертификат. Буквально три месяца – его взломали. 300 тыс. gmail-аккаунтов вместе с логинами, паролями оказались доступны всему миру», - сказал собеседник.

Глава Интернет-Ассоциации Казахстана, резюмируя, назвал идею «сертификата безопасности» ужасной.

«Здесь три основных глобальных пункта, по которым во всем мире признана небезопасной установка таких сертификатов в национальных масштабах: первое, то, что его могут взломать; второе, то, что свои приватные данные могут быть доступны государству; третье, что данные могут продать третьим лицам. Сертификаты есть. Во всем мире они выдаются. Самый ужасный путь – это выдавать сертификаты на национальном уровне», - заключил Сабиров.

7 декабря глава комитета информбезопасности Руслан Абдикаликов, отвечая на вопрос о том, почему крупные интернет-компании, такие как Google, Mozilla и Apple выразили в 2019 году недоверие казахстанскому «сертификату безопасности» и заблокировали его, заявил о том, что в смартфонах «содержатся порядка 100 сертификатов других стран». По его словам, проблема недоверия в том, что «мы входим в ОДКБ, мы не входим в НАТО». Также он открыто дал понять, что установка «сертификата безопасности» нужна в интересах казахстанских спецслужб. В МЦРИАП, отвечая на запрос МИА КазТАГ, сообщили, что заявление Абдикаликова не отражает позицию министерства. Министерство иностранных дел воздержалось от комментариев, однако источник в МИД сообщил агентству, что внешнеполитическое ведомство оставляет заявление Абдыкаликова про ОДКБ и НАТО в компетенции МЦРИАП.

Ранее – 5 декабря министерство цифрового развития, инноваций и аэрокосмической промышленности Казахстана совместно с комитетом национальной безопасности (КНБ) сообщило о запланированных с 6 декабря в Нур-Султане учениях «Кибер-безопасность Нур-Султан-2020». В числе прочего, власти вновь попросили граждан установить раскритикованный годом ранее «сертификат безопасности».

6 декабря жители Нур-Султана начали испытывать проблемы с выходом в интернет – школьники не могли сдать ответы на домашние задания, в магазинах «зависли» системы безналичной оплаты. 7 декабря в МЦРИАП извинились за возникший сбой и дали свое объяснение причинам использования «сертификата безопасности».

Напомним, 17 июля 2019 года МЦРИАП Казахстана заявил о том, что «уполномоченными органами совместно с операторами связи в городе Нур-Султан проводятся технические работы, направленные на усиление защиты граждан, государственных органов и частных компаний от хакерских атак, интернет-мошенников и иных видов киберугроз». «В случае возникновения проблем с доступом к отдельным интернет-ресурсам» в ведомстве рекомендовали «проверить регистрацию мобильных устройств (сотовых телефонов и планшетов), установить сертификат безопасности (размещен на сайтах операторов связи) или обратиться в call-center операторов связи».

Сразу же после этого абоненты мобильной связи в столице начали получать сообщение с рекомендацией установить предложенный властями Казахстана «сертификат безопасности». В сообщении говорится, что «отсутствие данного сертификата может привести к проблемам с доступом к отдельным Интернет-ресурсам».

При попытке перейти на указанный сайт с сертификатом через обычные браузеры персональных компьютеров антивирусы многих пользователей не позволили наладить соединение.

«Безопасность вашего соединения снижается. Преступники могут попытаться украсть ваши данные с сайта. Вам рекомендуется покинуть этот сайт», - говорилось, например, в уведомлении антивируса «Лаборатории Касперского» при попытке посетить указанный сайт.

19 июля 2019 года вице-министра цифрового развития, инноваций и аэрокосмической промышленности Аблайхан Оспанов заявил, что казахстанцам «предоставлена возможность» «добровольно» устанавливать указанный сертификат, отметив, что его по желанию можно не устанавливать. По его словам, реализуемый в Нур-Султане проект является «пилотным». Он отметил, что соответствующая законодательная норма была введена еще в 2015 году.

В тот же день латвийское издание Meduza заявило о том, что власти Казахстана посредством сертификата получат контроль над зашифрованным трафиком. По сообщению издания, власти смогут осуществлять атаку «человек посередине» (man-in-the-middle, MITM-атака) на любой сайт, передающий данные с использованием HTTPS протокола: сгенерировать поддельные сертификаты для любого сайта; заверить их сертификатом, который установил пользователь; подменить оригинальные сертификаты своими; расшифровать весь трафик от сервисов типа Google или Facebook.

Планы властей контролировать содержимое трафика вызвали возмущения среди широкой общественности.

В Нур-Султане, Алматы и Караганде были поданы гражданские иски против операторов связи, касающиеся указанных сертификатов. Истцы потребовали признать незаконным навязывание сертификата абонентам.

6 августа 2019 года КНБ Казахстана заявил о прекращении тестирования «сертификата безопасности» с 7 августа, а президент РК Касым-Жомарт Токаев заявил, что тестирование проводилось по его поручению «по программе Киберщит».

Источник фото: profit.kz


Поделиться новостью:


adimage