Нужнo ли кaзaxстaнцaм устaнaвливaть гoсудaрствeнный сeртификaт бeзoпaснoсти Qaznet Trust Network? И чтo этo вooбщe тaкoe? Дирeктoр Цeнтрa aнaлизa и рaсслeдoвaния кибeрaтaк (ЦAРКA — кoмпaния зaнимaeтся инфoрмaциoннoй бeзoпaснoстью) Aрмaн Aбдрaсилoв oтвeтил нa вoпрoсы кoррeспoндeнтa Tengrinews.kz.
Чтo тaкoe сeртификaт бeзoпaснoсти?
Сeртификaт — этo ключ шифрoвaния инфoрмaции, пeрeдaвaeмoй мeжду пoльзoвaтeлями и интернет-сервисом.
Как работает сертификат безопасности?
Когда вы подключаетесь к интернет-сервису, например, к банку, вы используете сертификат, который установлен на стороне банка, шифруете всю информацию, которую вы передаете на сторону банка и банк отправляет вам. Пароли, все данные, что вы видите, вся информация шифруется. Сертификаты — это не что-то новое, если мы перейдем в настройки браузера, то увидим сертификаты, предустановленные разработчиками. Это так называемые доверенные сертификаты.
Кто занимался созданием государственного сертификата безопасности? Насколько сложно разработать сертификат?
На самом деле создание сертификата — это не такая сложная технология. К слову, это занимает очень мало времени, час где-то. Это очень просто. Вопрос, где этот сертификат внедряется, каким образом используется. Квалификация (для создания сертификата — Прим.) нужна, такие специалисты есть на госслужбе. Тот же АО «НИТ», вы же знаете, что там внедрена процедура электронной цифровой подписи. В принципе, сложность такая же. То есть мы все используем ЭЦП, такая же технология.
Почему государственный сертификат не внедрили в 2015 году после принятия соответствующих нововведений?
Я так понимаю, что все это время инициаторы искали более элегантное решение. Более элегантное решение — это, когда сертификат внесен в список доверенных на этапе разработки браузера, загружен в список. Допустим, если мы сегодня открываем браузер, то мы увидим список доверенных сертификатов. Идеальный случай был бы, если разработчик, к примеру, компания Google, включила бы казахстанский сертификат в список проверенных. Тогда пользователям не надо было проводить никаких манипуляций. Он автоматически был бы внутри. По всей видимости за все это время не удалось достигнуть договоренности, решили пойти менее элегантным способом: попросить население добровольно загрузить сертификат.
Как будет работать Интернет, если отказаться от установки государственного сертификата безопасности?
Сегодня вице-министр (Аблайхан Оспанов — Прим.) заявил, что ставить его необязательно. В тоже время мы наблюдаем ухудшение работы сервисов. Некоторые сервисы недоступны, либо требует сертификат. Я так понимаю, что могут возникнуть проблемы.
Какие риски вы видите в связи с установкой государственного сертификата безопасности?
Мы как разработчики, как IT-сообщество видим в этом некий риск. Некоторые сервисы могут мигрировать за границу. Это может вызвать отказ работы некоторых сервисов. Мобильное приложение Facebook не позволит вам самостоятельно установить сертификат. В этом случае вопрос, будет ли работать мобильное приложение или оно перестанет работать, потому что в нем нету казахстанского сертификата? У кого-то смарт-часы, у кого-то сигнализация. Каким способом загрузить сертификат в сигнализацию или сигнализацию домашнюю? Очень много технических вопросов.
Зачем власти устанавливают государственный сертификат безопасности?
В случае возникновения потребности иностранные спецслужбы обращаются к социальным сетям и запрашивают данные того или иного гражданина. Если говорить о нашей стране, то Казахстан вынужден обращаться в иностранные организации и государства за помощью, чтобы получить данные из мессенджера, условно говоря, если это террорист. Тем самым казахстанские спецслужбы не имеют инструмента для решения своих задач. У правительства было два варианта решения задачи. Первый — это наладить контакты с зарубежными компаниями для получения персональных данных того или иного жителя страны. Второй вариант — это внедрение собственного сертификата.
Сертификат безопасности — «колпак» для казахстанцев? Мнение эксперта
Могут ли иностранные спецслужбы запросить сведения у иностранных компаний сведения о казахстанцах без их ведома?
Конечно, могут. Наверняка, они так и делают.
Чем может обернуться установка государственного сертификата безопасности для граждан? Сможет тот или иной сотрудник спецслужб получить свободный доступ к персональным данным, фото, видео и переписке?
Проблема лежит в политической плоскости. Это уровень недоверия населения к органам внутренних дел, чиновникам. Основной вопрос, не будет ли государство злоупотреблять этим ключом, вторгаться в частную жизнь граждан? После убийства Дениса Тена население говорило: поднимите все записи разговоров, все видеозаписи, всех, кто в этом районе перемещался. По сути общество потребовало вторжения в частную жизнь граждан для достижения цели. Если произойдет террористический акт, общество потребует, чтобы у государства был этот инструмент. Такие моменты тоже возникают. Центр смещается в сторону полномочий правоохранительных органов и отдаляется от точки свободы прав граждан.
Глава ЦАРКА отметил, что правительство потратит незначительные средства на установку государственного сертификата безопасности.
Ранее жителей Нур-Султана попросили установить сертификат безопасности Qaznet Trust Network для доступа в Интернет. Как заявили в Министерстве цифрового развития, инноваций и аэрокосмической промышленности, технические работы «направлены на усиление защиты граждан, государственных органов и частных компаний от хакерских атак, интернет-мошенников и иных видов киберугроз».