О сертификате безопасности

Это уже третья попытка внедрить сертификат безопасности в Казахстане.
О сертификате безопасности

Содержание

5 декабря 2020 года Министерство цифрового развития опубликовало новость о проведении учений «Информационная безопасность Нур-Султан-2020». Как сообщил госорган, в период проведения киберучений возможно возникновение проблем с доступом к некоторым зарубежным интернет-ресурсам; устранить проблемы предлагалось с помощью сертификата безопасности. На сайте указана только дата начала киберучений, но не указано, когда испытания закончатся.

В тот же день жители столицы получали SMS-рассылку от Министерства о том, что для сохранения доступа к некоторым иностранным сайтам необходимо установить сертификат безопасности.

Это уже третья попытка внедрить сертификат безопасности в Казахстане: первый раз внедрение должно было быть осуществлено с 1 января 2016 года, второй раз в 2019 году инициатива вызвала негативную ответную реакцию у гражданского общества и IT-компаний, включая Apple, Google, Mozilla.

7 декабря 2020 государственные органы (КНБ РК, МЦРИАП) и Центр анализа и расследования кибератак (ЦАРКА) провели брифинг о неожиданных киберучениях и разъяснили блокировку некоторых сайтов и систем, с которой столкнулись граждане. Несколько тезисов приведены ниже:

  • Государство использует MITM (англ.: man-in-the-middle, рус.: человек посередине, в шутку – «казах посередине»). Это означает, что в трафик между пользователем, установившим сертификат безопасности, и запрашиваемым сайтом встает третье лицо, в данном случае – государственные органы, которые получают данные через сертификат. Через трафик могут передаваться данные различного характера: персональные данные, данные банковских аккаунтов, пароли. Государственные органы заявляют, что используют MITM в целях блокировки запрещенного контента и невозможно не использовать сертификат.
  • Отечественная компания-разработчик является лидером в казахстанской криптографии и шифровании.
  • В случае утечки данных государственные служащие понесут ответственность, предусмотренную законодательством;
  • Государственный firewall «Электронная граница» был создан в 2011 году. В отличие от китайского аналога, у казахстанской версии, по словам госслужащих, более мягкие условия, а основная цель системы – противостояние кибератакам.
В феврале 2020 года заместитель председателя Комитета по информационной безопасности МЦРИАП Руслана Абдикаликова заявлял: «В 2019 году на всю инфраструктуры страны было порядка 2,5 млрд атак. У нас в стране есть электронная граница – это один из элементов киберщита».
  • Государственные органы не отказываются от сертификата безопасности и будут использовать его в дальнейшем, так как пп. 4 п. 3-1 ст. 26 Закона РК «О связи» и Правила выдачи и применения сертификата безопасности предусматривают его использование и налагают обязанности на операторов связи. Его неиспользование или нарушение правил применения предусмотрены пп. 9-3, п. 1 ст. 637 КоАП РК; в качестве наказания предусмотрен штраф в размере от 20 до 100 МРП в зависимости от размера субъекта предпринимательства.
– Судиться с операторами связи и(или) с государственными органами гражданам практически бессмысленно, так как оператор связи предоставляет услугу по доступу в интернет, а не к отдельным сайтам, а у государственных органов есть законные основания использования сертификата.
  • Государственными органами были выявлены 23 000 противоправных материалов, из них 21 000 – это материалы террористического и экстремистского характера.

За время киберучений были недоступны информационные системы Комитета государственных доходов, социальные сети Facebook, Instagram, видеохостинг YouTube, было недоступно «Электронное правительство» и т.д.

Итоги

  1. Использование и внедрение сертификата безопасности является законным, однако он может ограничивать конституционные права граждан (право на поиск, получение и распространение информации, свободу слова, тайну переписки);
  2. Функционал MITM подразумевает, что сертификат имеет функцию слежки за пользователями интернета;
  3. Ограничение запрещенного контента посредством сертификата безопасности является чрезвычайно эффективной онлайн-цензурой. При этом остаются вопросы к законодательным нормам, отличающимся расплывчатостью, когда речь идёт о правовых основаниях для ограничения контента (терроризм и экстремизм, порнографические материалы и т.д.), как и к правоприменительной практике государственных органов.

https://www.freepik.com/vectors/background, Background vector created by starline - www.freepik.com

"Родина слышит", Вася Ложкин, 2016, http://vasya-lozhkin.ru/pictures/rodina-slyshit/

Вам также может понравиться

Что такое Кибернадзор?