2020 жылы 6 желтоқсанда астанада тағы да кибер оқу-жаттығу өтіп, Қазақстан азаматтарына мемлекеттік қауіпсіздік сертификатын орнату қайта ұсынылды. Бұл трафикті бақылау үшін жасалып отырған алғашқы әрекет емес, бұған дейін осындай жағдай 2019 жылдың шілдесінде болған, біз ол туралы толық жаздық.
7 желтоқсанда Цифрлық даму және аэроғарыш өнеркәсібі Ақпараттық қауіпсіздік комитетінің Орталық коммуникациялар қызметіндегі брифингте Руслан Әбдіхалықов бірқатар мәлімдеме жасады. Басқа спикерлер де пікір білдірді.
Кейбір мәлімдемелерді біз ерекше маңызды деп есептейміз, себебі БАҚ-та жаппай тарап кетті. Соларды талдаймыз.
Мәлімдеме: Сертификат басқа сертификаттар сынды қауіпсіз. Егер сіз компьютеріңізді немесе смартфоныңызды ашып, «сертификаттар» деп іздеп, сертификаттар бөліміне кірсеңіз, әлем бойынша орнатылған түрлі сертификаттарды көресіз. Яғни, неміс сертификаты, бразилияныкі, жапондыкі, корейдікі бар, сол жерге біздің мемлекетіміз қазақстандық сертификатты орнатқанда тұрған ештеңе жоқ
Руслан Әбдіхалықов
Үкім: Манипуляция
Жалпы сертификаттың, расында, басқа сертификаттардан айырмашылығы жоқ. Бірақ Әбдіхалықов мырза біздің құрылғыларымызға Германия, Корея және т.б. елдердің мемлекеттік түпкі сертификаттары орнатылғандай жауап берген. Бұл бұрмаланған ақпарат.
Аты аталған елдердің ешқайсысы мемлекеттік түпкі сертификаттарды орнатыңыз деп мәжбүрлемейді, ал егер ондай бар болғанның өзінде (мәселен, мемлекеттік қызмет көрсету сайттарына арналған сертификаттар) олар браузер мен смартфондардың стандартты жиынтығына енбеген. Онда тек қатаң тексерістен және жіберілетін мәліметтердің қауіпсіздігі мен құпиялылығы бойынша бағалаудан өткен негізгі сертификаттар ғана қосылған.
Қосымша түпкі сертификатты орната отырып сіз оған трафикті бақылауға мүмкіндік бересіз, сіздің трафигіңіз сайтқа тікелей емес, сүзгіден өтіп барады және егер қаласа оны оқуға болады. Қаласа тіпті өзгерту мүмкіндігі де бар (толығырақ – төменде).
Бір жағынан, экстремистік контентті бақылауға деген ұмтылыс түсінікті, екінші жағынан барлық трафик сүзгіден өтетін болып тұр. Оған қоса бірде-бір сертификатты толығымен қауіпсіз деп айтуға болмайды, біз Орталық барлау басқармасының сертификаттары да бұзылғанын көрдік. Егер қазақстандық сертификатты біреулер бұзып алса, жауапкершілік кімнің мойнында болатыны белгісіз, бұл туралы былтыр сарапшылар айтқан еді.
Google, Apple, Mozilla және басқа да компаниялар 2019 жылы қазақстандық қауіпсіздік сертификатын неге «қауіпсіз емес» деп атап, бұғаттап тастағаны туралы сұраққа Әбдіхалықов мырза былай деп жауап берді:
Мәлімдеме: Олардың, ереже бойынша НАТО блогының құрамына кіретін елдердің Google-мен де, Facebook-пен де ешқандай мәселесі жоқ. Мәселе біздің елімізде болып тұр, себебі біз басқа блоктың – Ұжымдық қауіпсіздік туралы шарт ұйымының құрамындамыз. Сол себепті, саяси тұрғыда ешкім біздің сертификатты мойындамайды.
Руслан Әбдіхалықов
Үкім: Манипуляция және жалған
Біріншіден, Әбдіхалықов НАТО блогы мен сенімді сертификация орталықтарын теңдестіріп, мәліметтерге манипуляция жасап отыр. Екіншіден, Google мен Mozilla-ның сертификатты мойындамай, бұғаттап тастауына онда man-in-the-middle (ортадағы адам) технологиясының пайдаланылатыны себеп болды. Бұл технология мәліметтерді жолдан ұстап алып қалып, тіпті оларды өзгертуге мүмкіндік береді. Бұл қауіпсіздік стандарттарын бұзуға жатады.
Бұл технологияның пайдаланылатынын ЦДИАӨМ тіпті жасырмайды. Брифингте «Мемлекеттік техникалық қызмет» РМК өкілі Рамиль Бектеміров былай деді: «Мәселе мынада, яғни технология… иә, расында Man in the middle қолданылады, бірақ бұл технологияны тек біз ғана емес, желілерді қорғауға арналған құрылғы шығаратын алдыңғы қатарлы өндірушілер де пайдаланады. Олар трафикті қадағалау үшін осындай функционал қояды».
Осы жерде күтпеген үкім – шындық. Расында көптеген корпорация мен компаниялар ішкі трафикті бақылау, сыртқы қауіптен қорғау және қызметкерлері мен олар жіберетін мәліметтерді аңду мақсатында өз қауіпсіздік сертификаттарын пайдаланады. Қысқаша айтқанда, сертификатты орнатуды ұсына отырып, бізге «Қазақстан корпорациясының» мүшесі болуды, «ішкі тергеу қызметі» тарапынан аңдуға келісуді ұсынады.
Сондай-ақ Бектеміров былай деп толықтырды:
… бұл жүйенің техникалық жағына жауап беретін ұйым өкілі, бұл жүйенің ішкі қырын білетін адам ретінде, шын мәнінде жүйенің жеке мәліметтерді жинайтын мүмкіндігі жоқ екенін айтқым келеді. Жүйе белгілі бір парақшаларға, интернет-ресурстарға қолжетімділікті тоқтатуға бағытталған.
Рамиль Бектеміров
Үкім: Манипуляция
Сертификат жұмысы ашық болмағандықтан, біз қазіргі уақытта жүйе қазақстандықтардың жеке мәліметтерін жаппай жинамауы мүмкін деп ойлаймыз. Бірақ Бектеміров мырза жоққа шығарып отырған мүмкіндік бар. Кез келген MiTM жүйе, техникалық базасы жеткілікті болса – осындай мүмкіндікке ие. Біз былтыр МТҚ сатып алулары бойынша осыған қажетті техникалық базаның бір бөлігі сатып алынып қойғанын көрдік.
Бұл назар аударуға тұрарлық ең маңызды тұстары деп ойлаймыз. Еске сала кетейік, бұл сертификатты орнатуға, ЦДИАӨМ өкілдері брифингте айтқандай, қолданушылар міндетті емес. Егер орнатып қойған болсаңыз, өшіріп тастауға кеңес береміз.
