О сертификате безопасности

5 декабря 2020 года Министерство цифрового развития опубликовало новость о проведении учений «Информационная безопасность Нур-Султан-2020». Как сообщил госорган, в период проведения киберучений возможно возникновение проблем с доступом к некоторым зарубежным интернет-ресурсам; устранить проблемы предлагалось с помощью сертификата безопасности. На сайте указана только дата начала киберучений, но не указано, когда испытания закончатся.

В тот же день жители столицы получали SMS-рассылку от Министерства о том, что для сохранения доступа к некоторым иностранным сайтам необходимо установить сертификат безопасности.

Это уже третья попытка внедрить сертификат безопасности в Казахстане: первый раз внедрение должно было быть осуществлено с 1 января 2016 года, второй раз в 2019 году инициатива вызвала негативную ответную реакцию у гражданского общества и IT-компаний, включая Apple, Google, Mozilla.

7 декабря 2020 государственные органы (КНБ РК, МЦРИАП) и Центр анализа и расследования кибератак (ЦАРКА) провели брифинг о неожиданных киберучениях и разъяснили блокировку некоторых сайтов и систем, с которой столкнулись граждане. Несколько тезисов приведены ниже:

– Государство использует MITM (англ.: man-in-the-middle, рус.: человек посередине, в шутку – «казах посередине»). Это означает, что в трафик между пользователем, установившим сертификат безопасности, и запрашиваемым сайтом встает третье лицо, в данном случае – государственные органы, которые получают данные через сертификат. Через трафик могут передаваться данные различного характера: персональные данные, данные банковских аккаунтов, пароли. Государственные органы заявляют, что используют MITM в целях блокировки запрещенного контента и невозможно не использовать сертификат.

– Отечественная компания-разработчик является лидером в казахстанской криптографии и шифровании;

– В случае утечки данных государственные служащие понесут ответственность, предусмотренную законодательством;

– Государственный firewall «Электронная граница» был создан в 2011 году. В отличие от китайского аналога, у казахстанской версии, по словам госслужащих, более мягкие условия, а основная цель системы – противостояние кибератакам.

В феврале 2020 года заместитель председателя Комитета по информационной безопасности МЦРИАП Руслана Абдикаликова заявлял: «В 2019 году на всю инфраструктуры страны было порядка 2,5 млрд атак. У нас в стране есть электронная граница – это один из элементов киберщита».

– Государственные органы не отказываются от сертификата безопасности и будут использовать его в дальнейшем, так как пп. 4 п. 3-1 ст. 26 Закона РК «О связи» и Правила выдачи и применения сертификата безопасности предусматривают его использование и налагают обязанности на операторов связи. Его неиспользование или нарушение правил применения предусмотрены пп. 9-3, п. 1 ст. 637 КоАП РК; в качестве наказания предусмотрен штраф в размере от 20 до 100 МРП в зависимости от размера субъекта предпринимательства.

– Судиться с операторами связи и(или) с государственными органами гражданам практически бессмысленно, так как оператор связи предоставляет услугу по доступу в интернет, а не к отдельным сайтам, а у государственных органов есть законные основания использования сертификата.

– Государственными органами были выявлены 23 000 противоправных материалов, из них 21 000 – это материалы террористического и экстремистского характера.

За время киберучений были недоступны информационные системы Комитета государственных доходов, социальные сети Facebook, Instagram, видеохостинг YouTube, было недоступно «Электронное правительство» и т.д.

Итоги

1.     Использование и внедрение сертификата безопасности является законным, однако он может ограничивать конституционные права граждан (право на поиск, получение и распространение информации, свободу слова, тайну переписки);

2.     Функционал MITM подразумевает, что сертификат имеет функцию слежки за пользователями интернета;

3.     Ограничение запрещенного контента посредством сертификата безопасности является чрезвычайно эффективной онлайн-цензурой. При этом остаются вопросы к законодательным нормам, отличающимся расплывчатостью, когда речь идёт о правовых основаниях для ограничения контента (терроризм и экстремизм, порнографические материалы и т.д.), как и к правоприменительной практике государственных органов.


https://www.freepik.com/vectors/background, Background vector created by starline - www.freepik.com

"Родина слышит", Вася Ложкин, 2016, http://vasya-lozhkin.ru/pictures/rodina-slyshit/

Елжан Кабышев

Руководитель проекта. Юрист, правозащитник проекта «Internet Freedom». Участник Коалиции нового поколения правозащитников.