Ложь и манипуляции в заявлениях КНБ о «сертификате безопасности»

В Комитете национальной безопасности прокомментировали введение государственного сертификата безопасности (через две с лишним недели после начала тестирования). Ответы на 10 вопросов публикует Tengrinews.kz. Как и во многих публикациях ранее, официальные комментарии даны в исходном виде без анализа, раскрытия и подтверждений. Разбираем главные вопросы, и выясняем — о чём КНБ говорит правду, о чём лжёт и что умалчивает.

Утверждение КНБ: 

«Сертификат безопасности устанавливается с целью защиты граждан, государственных органов и частных компаний от хакеров, интернет-мошенников и иных видов киберугроз.
Примером могут послужить события 2016 года, когда в социальных сетях распространялась игра “Синий кит”, целью которой являлось доведение человека до совершения самоубийства. Владельцы социальных сетей не контролировали ситуацию, а у нас не было возможности ограничить доступ к данной информации.»

Вердикт: ложь и манипуляция

Во-первых, как мы видим из списка сайтов, для доступа к которым требуется сертификат во время «пилотного тестирования» в Астане, основная задача сертификата — контроль контента в социальных сетях. То есть — слежка, поиск контента, считающегося по мнению КНБ противоправным, и блокировка подобного контента. Данные о том, как используется данный сертификат для защиты от кибератак (например, фишинга) — отсутствуют.

Количество MITM-атак, наблюдаемых 31 июля 2019 года. Источник: Censored Planet

Во-вторых, ничего нового в самой технологии работы сертификата нет. Существующие сертификаты и протоколы обеспечивают достаточную безопасность соединений и личных данных, они проверены и контролируются всеми участниками рынка и используются во всём мире. Говорить о том, что данный сертификат безопаснее других — манипуляция. Кроме того, как мы уже писали, сертификат в его нынешнем виде и статусе представляет собой один из инструментов для потенциальных MiTM-атак, он не признан доверенным ни одним из производителей современных безопасных браузеров. 

Ситуация MiTM — «человека посередине» (man in the middle) — вместо прямой связи между вашим браузером и конечным сайтом возникает связь через третью сторону, которая получает доступ к данным

В-третьих, совершенно непонятно, каким образом данный сертификат может обеспечить безопасность частных компаний, особенно, обрабатывающих большие объёмы персональных данных клиентов. Данные, ранее доступные только пользователю и компании окажутся потенциально доступны третьей стороне. Скорее, наоборот, большинство частных компаний вынуждены будут радикально отказаться от использования такого сертификата. Иначе им придётся пересматривать собственную систему безопасности и устроить тотальный пересмотр отношений с пользователями.

Манипуляцией является и упоминание игры «Синий кит» как примера интернет-угрозы. На это есть несколько причин:

  • В феврале 2017 года во время очередного всплеска интереса к игре бывший на то время Министр внутренних дел РК Калмуханбет Касымов заявил, что в 2016 году было возбуждено 44 уголовных дела по фактам попытки суицида, погибли 16 детей. Однако ни в одном из этих случаев участие в играх наподобие «Синего кита» не подтвердилось. 
  • Не существует полноценных и подтвержденных исследований со статистикой по Казахстану, где доказана прямая зависимость этой игры на количество суицидов. 
  • Что касается данных по России, откуда игра родом, экспертные оценки по количеству суицидов различаются. Авторы статьи «Доведение до самоубийства посредством использования интернет-технологий: Социально-психологические, криминологические и уголовно-правовые аспекты», опубликованной во Всероссийском криминологическом журнале, указывают, что причины расхождения оценок кроются в «высокой латентности самих самоубийств, влекущей и латентность связанность с ними преступлений». Простыми словами, эксперты могут не распознать самоубийства и записать в категорию несчастных случаев, а значит не будут подробно рассматривать обстоятельства смерти.

В той же статье авторы приводят слова заместителя начальника ГУОООП МВД РФ генерал-майора полиции В.Б. Гайдова о мотивах самоубийств:  «Основные причины — неразделенная любовь и конфликты — по 30 %. 1 % самоубийств связан с влиянием закрытых групп на сайтах».

Материал «Новой газеты», познакомивший широкую публику с «Синим китом» и посеявший панику среди СМИ и родителей, достаточно спорный в плане журналистских стандартов.

На вопрос, по каким причинам отложили установку государственного сертификата безопасности, которую планировали провести в 2016 году, в комитете ответили так:

«Норма была введена в 2015 году, однако не было целевой программы “Киберщит Казахстана“, реализация которой поручена Главой государства в своем Послании в начале 2017 года. Одним из элементов “Киберщита” является сертификат безопасности.»

Вердикт: Полуправда

Действительно, концепции «Киберщита» тогда ещё не было. Однако, напомним, что попытка внедрения сертификата в 2015 году вызвала возмущение IT-сообщества, а самому сертификату было отказано во включении в список доверенных. Причём проблемы у сертификата тогда были ровно те же, что и сейчас — связанные с MiTM.

На вопрос, что из себя представляет государственный сертификат безопасности Tengrinews получили следующий ответ:

«Сертификат безопасности — набор электронных цифровых символов размером 2 килобайта, применяемый для пропуска трафика, содержащего протоколы, поддерживающие шифрование, что позволяет пользователю устанавливать защищенное SSL/TLS-соединение с сервером.»

Вердикт: Правда

Собственно, это просто основные характеристики любого сертификата безопасности, судя по всему — рерайт из Википедии с уточнением размера файла. Никакой пользы и дополнительной информации данный ответ не несёт.

На вопрос о бюджетных средствах, которые могут быть потрачены на введение сертификата безопасности пресс-служба КНБ сообщила следующее:

«Установка сертификата безопасности не требует финансовых вложений.»

Вердикт: Без вердикта

Расходы на введение данного сертификата, судя по открытым данным, связаны исключительно с провайдерами, которым вменено в обязанность установить данный сертификат на своём уровне. Однако, в ответе КНБ есть одно умолчание: простой установкой сертификата дело не ограничивается. Небходима техника и программное обеспечение, которое позволит анализировать данные, полученные с помощью сертификата. Мы уже видели, как через сайт госзакупок закупалась часть необходимых средств, и подозреваем, что этим дело не ограничится. Есть и экспертное мнение по поводу потенциальных расходов.

Вопрос Tengrinews: Насколько обоснованы предположения о том, что наша страна находится на пути создания казахстанского “мегафаервола” по примеру Китая?

Ответ КНБ: «Мы строим “Киберщит Казахстан”, который по техническим решениям уникален и разработан под особенности Казахстана. Он использует лучшие решения мировых вендоров в сфере кибербезопасности и не схож с китайским.»

Вердикт: Без вердикта

Документация по «Киберщиту» непрозрачна, поэтому делать выводы о «китайском пути» мы не берёмся. Можно лишь сказать, что такая возможность не исключена.

Также в ответе сказано об уязвимости систем к атакам хакеров после установки государственного сертификата безопасности:

«Установка сертификата безопасности, прежде всего, позволит защитить абонентов, устройства от распространяющегося в сети Интернет вредоносного программного обеспечения, противоправного контента, действий мошенников и различных кибератак.»

Вердикт: Манипуляция

Как мы уже писали, сертификат не использует принципиально новых технологий. То есть, принципиально ничем не отличается от уже существующих и доверенных технологий защиты от хакерских атак. Разница лишь в том, что ключ от него находится у КНБ. С достаточной уверенностью можно говорить лишь о том, что «противоправный контент» действительно будет на полном контроле.

Вопрос Tengrinews: Не повлияет ли установка государственного сертификата безопасности на приватность казахстанцев и на доступ к их переписке и прочим личным данным?

Ответ КНБ: «Мероприятия по внедрению сертификата безопасности проводятся в соответствии в законодательством Республики Казахстан, с соблюдением требований Законов РК “О допуске к информации”, “О персональных данных и их защите” и других.»

Вердикт: Манипуляция

Действительно, на данный момент введение сертификата не вступает в явный конфликт с указанными законами РК. Однако у сертификата отсутствует пользовательское соглашение, никак не прописана ответственность сторон — нет вообще никаких данных, которые объясняли бы пользователю правовую и техническую стороны работы сертификата. При установке пользователю предлагается просто дать сертификату доступ ко всем персональным данным. Ко всем — это значит ко всем, которые будут пересылаться через браузер (!). Каким образом и кто будет отвечать в случае утечки персональных данных — неизвестно.