ҰҚК-нің «қауіпсіздік сертификаты» туралы мәлімдемесіндегі жалған ақпарат пен манипуляция

Ұлттық қауіпсіздік комитеті мемлекеттік қауіпсіздік сертификатын енгізу  бойынша (тестілеу басталғаннан кейін екі аптадан кейін) түсініктеме беріп, мәлімдеме жасады. 10 сұрақтың жауабын Tengrinews.kz жариялады. Бұған дейін шыққан көптеген мәліметтердегідей, ресми түсініктемелер бастапқы түрде беріле салған, яғни ол жерде ашық ақпарат та, талдау мен растау да жоқ. Біз басты мәселелерді талқылап, ҰҚК қай жерде рас, қай жерде жалған және қай қай жерде үндемей қалғанын анықтап көреміз.

ҰҚК мәлімдемесі: 

«Қауіпсіздік сертификаты азаматтарды, мемлекеттік органдар мен жеке компанияларды хакерлерден, интернет-алаяқтардан және басқа да қауіпті кибер шабуылдардан қорғау мақсатында орнатылады.Мысал ретінде 2016 жылғы оқиғаларды еске алайық. Әлеуметтік желілерде «Көк кит» ойыны таралды. Оның мақсаты адамды өз-өзіне қол жұмсауға итермелеу еді. Әлеуметтік желілердің иелері жағдайды бақылауда ұстай алмады, ал бізде бұл ақпаратты шектеу мүмкіндігі болмады».

Үкім: Жалған және манипуляция

Біріншіден, Астанада «пилоттық тестілеуден» өткен сертификаттың орнатуға талап ететін сайттар тізімін қарайтын болсақ, оның негізгі міндеті – әлеуметтік желілердегі контентті бақылау екені көрінеді. Яғни, ҰҚК-нің пікірі бойынша заңға қайшы контентті іздестіру, бақылау және бұғаттау. Сертификат кибершабуылдан (мысалы, фишингтен) қалай қорғайтыны туралы мәлімет жоқ.

ҰҚК-нің «қауіпсіздік сертификаты» туралы мәлімдемесіндегі жалған ақпарат пен манипуляция
2019 жылдың 31 шілдесінде баұыланған MITM-шабуылдарының мөлшері. Дереккөз: Censored Planet

 

Екіншіден, сертификаттың жұмыс істеу технологиясында жаңа ештеңе жоқ. Қолданыста бар сертификаттар мен хаттамалар байланыс пен жеке деректердің қауіпсіздігін жеткілікті түрде қамтамасыз етеді. Олар тексерілген және нарықтың барлық қатысушыларымен бақыланады әрі бүкіл әлемде пайдаланылады. Дәл осы сертификат басқалардан қауіпсіз деп айту — манипуляция. Осыған қоса, сертификаттың қазіргі түрі мен мәртебесі болашақтағы MiTM-шабуылдарға арналған құралдың бірі болуы мүмкін екенін бұған дейін де жазған едік. Оны қазіргі заманғы қауіпсіз браузерлердің бірде-біреуі де сенімді деп танымайды.

ҰҚК-нің «қауіпсіздік сертификаты» туралы мәлімдемесіндегі жалған ақпарат пен манипуляция

Үшіншіден, бұл сертификат, әсіресе, клиенттердің жеке деректерін үлкен көлемде өңдейтін жеке компаниялардың қауіпсіздігін қалай қамтамасыз ете алатыны түсініксіз. Бұрын тек пайдаланушы мен компанияларға ғана қолжетімді ақпарат болашақта үшінші тарапқа да белгілі болуы мүмкін. Керісінше, жеке компаниялардың көпшілігі мұндай сертификатты пайдаланудан түбегейлі бас тартуға мәжбүр болады. Әйтпесе, олар өз қауіпсіздік жүйесін қайта қарап, пайдаланушылармен арасындағы қарым-қатынасын жаппай өзгертуіне тура келеді.

Интернет-қауіп ретінде «Көк кит» ойынын мысал ретінде келтіру де манипуляция болып саналады. Оған бірнеше себеп бар:

  • 2017 жылдың ақпан айында, ойынға деген қызығушылық кезекті рет күр артқан кезде, бұрынғы ҚР Ішкі істер министрі Қалмұханбет Қасымов 2016 жылы өз-өзіне қол жұмсауға әрекет ету фактілері бойынша 44 қылмыстық іс қозғалғанын және 16 бала қайтыс болғанын мәлімдеді. Алайда, бұл оқиғалардың ешқайсысында «Көк кит» сияқты ойындардың қатысы бар екені расталмады.
  • Осы ойынның Қазақстандағы суицид оқиғаларына тікелей әсері бар екенін дәлелдейтін, статистикасы көрсетілген, толық және расталған зерттеулер жоқ.
  • Негізі бұл ойын Ресейде пайда болды. Сол елдегі деректерге тоқталсақ, суицидтер саны бойынша сараптамалық бағалар біркелкі емес. Бүкілресейлік криминологиялық журналда жарияланған «Интернет-технологияларды пайдалану арқылы өз-өзіне қол жұмсауға итермелеу: Әлеуметтік-психологиялық, криминологиялық және қылмыстық-құқықтық аспектілер» атты мақаланың авторлары бағалардың әртүрлі болу себептері «өз-өзіне қол жұмсаудың жоғары латенттілігі, олармен байланысты қылмыстардың латенттігіне әкеп соғады» деп көрсетеді. Қарапайым сөзбен айтқанда, сарапшылар суицидті ажырата алмай, оларды жазатайым оқиғалар санатына жатқыза салады. Яғни өлімнің мән-жайын егжей-тегжейлі қарастырмайды.

Авторлар сол мақалада РФ ІІМ ҚКБ бастығының орынбасары, полиция генерал-майоры В. Б. Гайдовтың суицид себептері туралы сөзін келтіреді: «Негізгі себептер – жауапсыз махаббат пен жанжалдар – 30%-тен. Өз-өзіне қол жұмсаудың 1% түрлі сайттардағы жабық топтардың әсеріне байланысты».

Көпшілікті «Көк китпен» таныстырып, БАҚ өкілдері мен ата-аналар арасында үрей тудырған «Новая газета»-ның материалы журналистік стандарттар тұрғысынан қарағанда даулы мәселе.

Мемлекеттік қауіпсіздік сертификатын орнату 2016 жылға жоспарланған еді, оны кейінге қалдыруға қандай себептер болды деген сұраққа комитет былай жауап берді:

«Норма 2015 жылы енгізілді. Алайда ол кезде «Қазақстанның киберқалқаны» мақсатты бағдарламасы болған жоқ. Оны орындауды Мемлекет басшысы өзінің 2017 жылдың басындағы Жолдауында тапсырған. «Киберқалқанның» бір элекменті – қауіпсіздік сертификаты».

Үкім: Жартылай шындық

Шынында да, «Киберқалқан» тұжырымдамасы ол кезде әлі болған жоқ. Алайда, 2015 жылы сертификатты енгізу әрекеті IT-қауымдастықтың наразылығын тудырды. Ал сертификаттың өзін сенімді дегендердің тізіміне қоспау керек екені айтылды. Сонымен қатар, сертификаттағы сол кездегі проблемалар дәл қазіргідей, яғни MiTM-ге байланысты.

Жалпы, мемлекеттік қауіпсіздік сертификаты деген не? деген сұраққа Tengrinews келесідей жауап алды:

«Қауіпсіздік сертификаты – пайдаланушыға қорғалған SSL/TLS-сервермен байланыс орнатуға мүмкіндік беретін шифрлауды қолдайтын хаттамалар бар трафикті өткізу үшін қолданылатын 2 килобайт өлшеміндегі электрондық цифрлық символдар жиынтығы».

Үкім: Шындық

Шын мәнінде, бұл кез келген қауіпсіздік сертификатының негізгі сипаттамасы. Мәтінде тек файл өлшемі ғана нақтыланып, қалғаны Википедиядан алынған сияқты. Бұл жауаптан еш пайда жоқ және одан қосымша ақпарат алмаймыз.

Қауіпсіздік сертификатын енгізуге жұмсалуы мүмкін бюджет қаражаты туралы сұраққа ҰҚК баспасөз қызметі былай деп хабарлады:

«Қауіпсіздік сертификатын орнату қаржылық шығындарды талап етпейді».

Үкім: Үкім жоқ

Ашық деректерге қарағанда, осы сертификатты енгізу шығындары тек осы сертификатты өз деңгейінде орнату міндеті қойылған провайдерлермен байланысты. Алайда, ҰҚК-нің жауабында айтылмаған тұстар бар, себебі іс тек сертификат орнатумен шектелмейді. Сертификат арқылы алынған деректерді талдауға мүмкіндік беретін техника мен бағдарламалық жасақтама қажет. Біз мемлекеттік сатып алу сайты арқылы қажетті заттардың бір бөлігі сатып алынғанын көрдік және тек бұнымен шектелмейтіні белгілі сияқты. Мүмкін болатын шығындар туралы сараптамалық пікір де бар.

Tengrinews сұрағы: Біздің еліміз Қытай үлгісі бойынша қазақстандық «мегафаервол» құру жолында келе жатыр деген болжам қаншалықты рас?

ҰҚК жауабы: «Біз «Қазақстанның киберқалқанын» жасап жатырмыз. Ол техникалық шешімдер бойынша бірегей және Қазақстанның ерекшелігіне қарай әзірленген. Ол киберқауіпсіздік саласында әлемдік вендорлардың үздік шешімдерін пайдаланады және Қытайдікіне ұқсамайды».

Үкім: Үкім жоқ

«Киберқалқанға» байланысты құжаттар жабық күйде, сондықтан біз «Қытайлық жол» туралы айта алмаймыз. Алайда біздің елде де «Қытайдағыдай» болуы мүмкін екен деп айта аламыз.

Сондай-ақ жауапта жүйелердің хакерлердің шабуылдарына осалдығы туралы айтылған:

«Қауіпсіздік сертификатын орнату, ең алдымен, абоненттерді, құрылғыларды Интернет желісінде таратылатын зиянды бағдарламалық жасақтамадан, заңға қарсы контенттен, алаяқтардың әрекеттерінен және түрлі кибершабуылдардан қорғауға мүмкіндік береді»

Үкім: Манипуляция

Біз осыған дейін жазғандай, сертификат тіпті бір керемет жаңа технологияларды пайдаланбайды. Яғни, хакерлік шабуылдардан осы уақытқа дейін қорғап келген әрі сенімді технологиялардан еш айырмашылығы жоқ. Айырмашылығы – оның кілті ҰҚК-де болады. «Заңға қайшы контент», шын мәнінде, толық бақылауда болады деп сенімді айтуға болады.

Tengrinews сұрағы: Мемлекеттік қауіпсіздік сертификатын орнату қазақстандықтардың құпиялығына және олардың хат-хабар алмасып, өзге де жеке деректерге қол жеткізуіне әсер етпейді ме?

ҰҚК жауабы: «Қауіпсіздік сертификатын орнату жөніндегі іс-шаралар Қазақстан Республикасының заңнамасына сәйкес, «Ақпаратқа рұқсат беру туралы», «Жеке деректер және оларды қорғау туралы» және еліміздің т.б. Заңдарының талаптарын сақтай отырып жүргізіледі».

Үкім: Манипуляция

Шынында, қазіргі уақытта сертификатты енгізу ҚР-ның аталған заңдарымен айқын қақтығысқа түспейді. Алайда, сертификатта пайдаланушылық келісім жоқ, тараптардың жауапкершілігі жазылмаған — пайдаланушыға сертификат жұмысының құқықтық және техникалық жағын түсіндіретін ешқандай ақпарат жоқ. Сертификаты орнату кезінде пайдаланушыға барлық жеке деректерді қолжетімді ету ғана ұсынылады. Барлық деген браузер (!) арқылы жіберілетін барлық нәрселерге қатысты деген сөз. Жеке деректер ұрланған жағдайда кім және қалай жауап беретіні – белгісіз.

Factcheck.kz