В Комитете национальной безопасности прокомментировали введение государственного сертификата безопасности (через две с лишним недели после начала тестирования). Ответы на 10 вопросов публикует Tengrinews.kz. Как и во многих публикациях ранее, официальные комментарии даны в исходном виде без анализа, раскрытия и подтверждений. Разбираем главные вопросы, и выясняем — о чём КНБ говорит правду, о чём лжёт и что умалчивает.
Утверждение КНБ:
«Сертификат безопасности устанавливается с целью защиты граждан, государственных органов и частных компаний от хакеров, интернет-мошенников и иных видов киберугроз.
Примером могут послужить события 2016 года, когда в социальных сетях распространялась игра “Синий кит”, целью которой являлось доведение человека до совершения самоубийства. Владельцы социальных сетей не контролировали ситуацию, а у нас не было возможности ограничить доступ к данной информации.»
Вердикт: ложь и манипуляция
Во-первых, как мы видим из списка сайтов, для доступа к которым требуется сертификат во время «пилотного тестирования» в Астане, основная задача сертификата — контроль контента в социальных сетях. То есть — слежка, поиск контента, считающегося по мнению КНБ противоправным, и блокировка подобного контента. Данные о том, как используется данный сертификат для защиты от кибератак (например, фишинга) — отсутствуют.
Во-вторых, ничего нового в самой технологии работы сертификата нет. Существующие сертификаты и протоколы обеспечивают достаточную безопасность соединений и личных данных, они проверены и контролируются всеми участниками рынка и используются во всём мире. Говорить о том, что данный сертификат безопаснее других — манипуляция. Кроме того, как мы уже писали, сертификат в его нынешнем виде и статусе представляет собой один из инструментов для потенциальных MiTM-атак, он не признан доверенным ни одним из производителей современных безопасных браузеров.
В-третьих, совершенно непонятно, каким образом данный сертификат может обеспечить безопасность частных компаний, особенно, обрабатывающих большие объёмы персональных данных клиентов. Данные, ранее доступные только пользователю и компании окажутся потенциально доступны третьей стороне. Скорее, наоборот, большинство частных компаний вынуждены будут радикально отказаться от использования такого сертификата. Иначе им придётся пересматривать собственную систему безопасности и устроить тотальный пересмотр отношений с пользователями.
Манипуляцией является и упоминание игры «Синий кит» как примера интернет-угрозы. На это есть несколько причин:
- В феврале 2017 года во время очередного всплеска интереса к игре бывший на то время Министр внутренних дел РК Калмуханбет Касымов заявил, что в 2016 году было возбуждено 44 уголовных дела по фактам попытки суицида, погибли 16 детей. Однако ни в одном из этих случаев участие в играх наподобие «Синего кита» не подтвердилось.
- Не существует полноценных и подтвержденных исследований со статистикой по Казахстану, где доказана прямая зависимость этой игры на количество суицидов.
- Что касается данных по России, откуда игра родом, экспертные оценки по количеству суицидов различаются. Авторы статьи «Доведение до самоубийства посредством использования интернет-технологий: Социально-психологические, криминологические и уголовно-правовые аспекты», опубликованной во Всероссийском криминологическом журнале, указывают, что причины расхождения оценок кроются в «высокой латентности самих самоубийств, влекущей и латентность связанность с ними преступлений». Простыми словами, эксперты могут не распознать самоубийства и записать в категорию несчастных случаев, а значит не будут подробно рассматривать обстоятельства смерти.
В той же статье авторы приводят слова заместителя начальника ГУОООП МВД РФ генерал-майора полиции В.Б. Гайдова о мотивах самоубийств: «Основные причины — неразделенная любовь и конфликты — по 30 %. 1 % самоубийств связан с влиянием закрытых групп на сайтах».
Материал «Новой газеты», познакомивший широкую публику с «Синим китом» и посеявший панику среди СМИ и родителей, достаточно спорный в плане журналистских стандартов.
На вопрос, по каким причинам отложили установку государственного сертификата безопасности, которую планировали провести в 2016 году, в комитете ответили так:
«Норма была введена в 2015 году, однако не было целевой программы “Киберщит Казахстана“, реализация которой поручена Главой государства в своем Послании в начале 2017 года. Одним из элементов “Киберщита” является сертификат безопасности.»
Вердикт: Полуправда
Действительно, концепции «Киберщита» тогда ещё не было. Однако, напомним, что попытка внедрения сертификата в 2015 году вызвала возмущение IT-сообщества, а самому сертификату было отказано во включении в список доверенных. Причём проблемы у сертификата тогда были ровно те же, что и сейчас — связанные с MiTM.
На вопрос, что из себя представляет государственный сертификат безопасности Tengrinews получили следующий ответ:
«Сертификат безопасности — набор электронных цифровых символов размером 2 килобайта, применяемый для пропуска трафика, содержащего протоколы, поддерживающие шифрование, что позволяет пользователю устанавливать защищенное SSL/TLS-соединение с сервером.»
Вердикт: Правда
Собственно, это просто основные характеристики любого сертификата безопасности, судя по всему — рерайт из Википедии с уточнением размера файла. Никакой пользы и дополнительной информации данный ответ не несёт.
На вопрос о бюджетных средствах, которые могут быть потрачены на введение сертификата безопасности пресс-служба КНБ сообщила следующее:
«Установка сертификата безопасности не требует финансовых вложений.»
Вердикт: Без вердикта
Расходы на введение данного сертификата, судя по открытым данным, связаны исключительно с провайдерами, которым вменено в обязанность установить данный сертификат на своём уровне. Однако, в ответе КНБ есть одно умолчание: простой установкой сертификата дело не ограничивается. Небходима техника и программное обеспечение, которое позволит анализировать данные, полученные с помощью сертификата. Мы уже видели, как через сайт госзакупок закупалась часть необходимых средств, и подозреваем, что этим дело не ограничится. Есть и экспертное мнение по поводу потенциальных расходов.
Вопрос Tengrinews: Насколько обоснованы предположения о том, что наша страна находится на пути создания казахстанского “мегафаервола” по примеру Китая?
Ответ КНБ: «Мы строим “Киберщит Казахстан”, который по техническим решениям уникален и разработан под особенности Казахстана. Он использует лучшие решения мировых вендоров в сфере кибербезопасности и не схож с китайским.»
Вердикт: Без вердикта
Документация по «Киберщиту» непрозрачна, поэтому делать выводы о «китайском пути» мы не берёмся. Можно лишь сказать, что такая возможность не исключена.
Также в ответе сказано об уязвимости систем к атакам хакеров после установки государственного сертификата безопасности:
«Установка сертификата безопасности, прежде всего, позволит защитить абонентов, устройства от распространяющегося в сети Интернет вредоносного программного обеспечения, противоправного контента, действий мошенников и различных кибератак.»
Вердикт: Манипуляция
Как мы уже писали, сертификат не использует принципиально новых технологий. То есть, принципиально ничем не отличается от уже существующих и доверенных технологий защиты от хакерских атак. Разница лишь в том, что ключ от него находится у КНБ. С достаточной уверенностью можно говорить лишь о том, что «противоправный контент» действительно будет на полном контроле.
Вопрос Tengrinews: Не повлияет ли установка государственного сертификата безопасности на приватность казахстанцев и на доступ к их переписке и прочим личным данным?
Ответ КНБ: «Мероприятия по внедрению сертификата безопасности проводятся в соответствии в законодательством Республики Казахстан, с соблюдением требований Законов РК “О допуске к информации”, “О персональных данных и их защите” и других.»
Вердикт: Манипуляция
Действительно, на данный момент введение сертификата не вступает в явный конфликт с указанными законами РК. Однако у сертификата отсутствует пользовательское соглашение, никак не прописана ответственность сторон — нет вообще никаких данных, которые объясняли бы пользователю правовую и техническую стороны работы сертификата. При установке пользователю предлагается просто дать сертификату доступ ко всем персональным данным. Ко всем — это значит ко всем, которые будут пересылаться через браузер (!). Каким образом и кто будет отвечать в случае утечки персональных данных — неизвестно.
