ДВА ЗАЯВЛЕНИЯ
Вечером 6 августа в комитете национальной безопасности сообщили об «успешном завершении тестирования применения сертификата безопасности». «В результате создана система по предотвращению киберугроз как в кибер, так и информационном пространстве», — говорилось в официальном заявлении КНБ.
«Национальным координационным центром информационной безопасности только за истекший месяц выявлено более 8 млн фактов вирусной активности и 130 тыс. кибератак в отношении государственных органов и частных компаний, выявлены факты кибершпионажа в отношении ряда государственных органов», — утверждало ведомство.
В КНБ заявили, что применение сертификата безопасности в дальнейшем будет осуществляться при возникновении угрозы национальной безопасности, а на сайте комитета в ближайшее время разместят инструкции по удалению сертификата безопасности с личных устройств.
Вслед за заявлением в twitter-аккаунте президента Казахстана Касым-Жомарта Токаева появились два подряд сообщения на ту же тему. Токаев, в частности, заявил, что тестирование было проведено по его поручению, и поблагодарил КНБ.
Эти комментарии вызвали новую волну критики со стороны пользователей соцсетей. Они писали как о том, что о подобном «тестировании» власти должны предупреждать заранее, так и о том, что вопросы относительно сертификата всё еще остаются.
РЕАКЦИЯ
Директор Центра анализа и расследования кибератак Арман Абдрасилов, отметивший, что «тестирование завершилось так же неожиданно, как и началось», обращает внимание на ряд обстоятельств. Он говорит, что, «по всей видимости, для того чтобы в ускоренном порядке начать это тестирование, были причины». С учетом ограниченности имеющейся информации, можно лишь строить предположения, говорит он.
Абдрасилов полагает, что столицу в качестве тестовой площадки выбрали неслучайно.
«На самом деле был выбран самый болезненный вариант. То есть, если бы хотели быть незаметными, логически правильно было бы начать с провинциальных городов, там проводить тестирование. К примеру, в Жезказгане или Караганде, где меньше было бы возмущений. Но, тем не менее, выбрали политически активный Нур-Султан. Самый худший вариант. Опять, видимо, на то была какая-то причина, — говорит Арман Абдрасилов.
Он также обращает внимание на то, что в заявлении пресс-службы КНБ говорится о фактах «кибершпионажа» в отношении ряда госорганов. Эти утверждения требуют разъяснения, полагает аналитик.
— Необходимо обратиться в пресс-службу КНБ за разъяснениями по этому пункту. Мы знаем, что кибершпионаж — одно из тяжких обвинений. Раз уж выявлен факт, значит, возбуждено уголовное дело. Это тоже могло послужить поводом для проведения тестирования или поисков утечки. Условно говоря, какой-то спецоперации. Сейчас опять информации мало. <...> Мы видим, что президент положительно оценил работу, несмотря на негативную реакцию, поблагодарил за тестирование. Он доволен результатом. Это тоже косвенно объясняет, что тестирование имело какие-то цели и, видимо, они решены, — говорит он.
Абдрасилов уверен: «Самый болезненный период в связи с сертификатом безопасности уже пережит». По его словам, он доволен тем обстоятельством, что «тестирование завершилось быстро, не вызвав глубокого общественного недовольства».
Гражданский активист Бэлла Орынбетова, напротив, считает, что радоваться и делать выводы о полном разрешении проблемы «сертификата безопасности» рано.
— Они говорят, что это «тест», но я так не думаю. Если бы это было тестированием, то население страны предупредили бы об этом во избежание шумихи. Во-вторых, в стране в 2015 году приняли закон «О связи». В нем говорится о сертификате. По-моему, необходимо внести поправки в закон и исключить это. В заявлении пресс-службы КНБ говорится, что применение сертификата безопасности в дальнейшем будет осуществляться при возникновении угрозы. Мы должны приложить усилия для того, чтобы поставить точку в этом вопросе. В КНБ также сообщили о выявлении фактов кибершпионажа. Как мне кажется, в ближайшее время будут очень громкие дела в связи со шпионажем. Или это межклановые распри? — задается вопросом активист.
На вопрос репортера Азаттыка, не связано ли это заявление властей с общественным недовольством, активист однозначного ответа не дала.
IT-специалист Райымбек Егембердиев высказывает аналогичное мнение.
— Сейчас внедрение сертификата безопасности отодвинули на более поздние сроки. Мы не можем назвать конкретную причину. Возможно, повлияла шумиха в обществе или устройства не позволили осуществлять полный контроль. Пока не изменится закон «О связи», никакой гарантии нет, что сертификаты не попытаются внедрить еще раз. Кроме того, немного не понятно, что будет дальше, на какое время отодвигаются сроки внедрения сертификата. В 2016 году уже были такие попытки. Спустя три года снова попытались внедрить. Пусть это и небольшие события, но они имеют свои положительные стороны. Населению напомнили о существовании закона «О связи», и теперь гражданское общество намерено приложить усилия для его изменения, — говорит Райымбек Егембердиев.
Пока не изменится закон «О связи», никакой гарантии нет, что сертификаты не попытаются внедрить еще раз.
Специалист в области информационной безопасности Азаматхан Амиртай обращает внимание на тот факт, что в стране сейчас остро стоит вопрос об информационной безопасности, ежедневно регистрируются инциденты с похищением персональных данных.
— Именно при таких обстоятельствах будет правильнее установить сертификаты безопасности для защиты от кибератак. Однако насколько он правильно разработан? Какая компания ее разрабатывала? Не сырой ли он? На эти вопросы я ответить не могу, потому что не принимал в этом непосредственного участия. Государство должно предоставлять более широкую информацию об этом, — говорит Азаматхан Амиртай.
Смотрите также: «Многогранный» сертификат Qaznet, или Министр против экспертов
С середины июля казахстанцы начали получать сообщения от операторов мобильной связи с призывом установить на устройства корневой сертификат безопасности «во избежание проблем с доступом в Интернет». Официальное название сертификата — Qaznet Trust Network. Операторы называли его «мерой предотвращения кибератак и других угроз». Власти заявляли, что решение об установке сертификата остается за пользователями. При этом некоторые казахстанцы сообщали, что после отказа от установки Qaznet у них возникают сложности с доступом к социальным сетям и электронной почте.
После попытки массово принудить пользователей установить сертификат Казахстан подвергся критике со стороны экспертов внутри страны и за рубежом.
Казахстанские правозащитники и активисты опасаются, что после установления сертификата «власти ужесточат цензуру». Они предполагают, что таким образом власти хотят контролировать личную информацию граждан. Некоторые активисты в знак протеста против данной инициативы провели одиночные пикеты. Позднее эти акции вылились в протестный флешмоб.
Ряд юристов подали судебный иск на операторов мобильной связи, разославших СМС-сообщения с рекомендацией установить «сертификат безопасности».
Прессозащитная организация Committee to Protect Journalists («Комитет по защите журналистов», CPJ) со штаб-квартирой в Нью-Йорке заявила о рисках ужесточения цензуры в Казахстане в связи с сертификатом безопасности.
Мониторингом сертификата Qaznet, в частности, занимаются эксперты из исследовательской группы Censored Planet при Мичиганском университете в США. Они протестировали сертификат и опубликовали исследование относительно его функций, к которым они причислили вторжение в обмен данными между пользователями и веб-ресурсами, перехват трафика, модификацию контента и слежку.
КОММЕНТАРИИ