Саясат

Қауіпсіздік сертификаты: Бұл бастамаға тоқтау салу керек

Qaznet Trust Network

Авторларды қолдау орталығы

mediabugin@gmail.com

Қазақстандық қолданушыға арналған Qaznet Trust Network "қауіпсіздік сертификатын" билік жаппай орнатуға шақырады. Мамандар бұл бастама интернет үшін аса қауіпті екенін айтып, оны енгізу процесін тоқтату керек деп санайды. Бұл туралы Bugin.kz тәуелсіз авторлар платформасы Азаттық радиосына сілтеме жасап баяндайды. 

АҚШ-тың Мичиган университетіндегі Censored Planet зерттеу тобы Qaznet сертификатын тестілеуден өткізіп, оның қорытындысын жариялады. Зерттеушілер сертификаттың қолданушы мен веб-ресурстар арасындағы ақпарат алмасуға араласу, трафик ұрлау, контентті мофицикациялау және қолданушыны аңду тәрізді функциялары бар екенін анықтаған. Censored Planet тобының сарапшысы, компьютерлік ғылым профессоры Эрик Вустроу Қазақстан бұл технологияны жетілдірумен әлі де айналысып жатыр дейді.

Азаттық: Ресми нұсқада Qaznet Trust Network қауіпсіздік сертификаты Қазақстан азаматтарын кибершабуылдардан қорғайды деп түсіндірілді. Сіздің ойыңызша, сертификат қызметіне мұндай міндет кіре ме?

Эрик Вустроу: Менің ойымша, сертификат мұндай қауіптерден қорғай алмайды. Сертификат әсер ететін сайттар тізіміне қарасақ, оның мақсатына "фишинг", зиянды бағдарлама мен басқа да қауіптерден қорғау кірмейтінін көреміз. Ол көлемі шектелген әлеуметтік желілер мен сайттарға ғана бағытталған. Олардың көбі – өздерін қорғау әдістері жолға қойылған ірі компаниялар.

Азаттық: Сіз сертификат жұмысын бақылаумен айналысып жүрсіз. Сертификат туралы қандай қорытындыға келдіңіз?

Эрик Вустроу: Соңғы бір-екі аптада сертификатты бір өшіріп, бір қосты. Соған қарағанда, сертификат жұмысының тиімділігін тексеріп жатқанға ұқсайды. Әзірге сертификат бүкіл елді қамтымайды. Бірақ болашақта не боларын кім білсін?!

Азаттық: Сайттар мен қолданушылар арасындағы коммуникацияға араласа алатын жүйені жасап шығу қаншалықты қиын әрі қымбат тұрады?

Эрик Вустроу: Мұндайды жүзеге асыру үшін желіден аралық торап (middlebox) алу керек. Қаншалық кең ауқымды қамтығысы келсе, елге соншалық көп торап қажет болады. Қазір біз осындай бір ғана торапты байқадық. Сондықтан сертификаттың әсерін адамдардың аз ғана бөлігі сезініп отыр. Біздің дерегіміз бойынша, бұл көрсеткіш қолданушылардың бес пайызға жуығын құрайды. Бүкіл елді қамту үшін қазіргіден 20 есе көп торап керек. Торап бағасы қымбат тұрмайды – әрқайсысы бірнеше мың доллар. Нақты бір девайске қатысты айта алмаймын. Негізгі шығын инженерлік жұмысқа кетеді. Ең қымбаты - қолданушыны сертификатты браузеріне орнатуға мәжбүрлеу.

Азаттық: Бұл сертификатты инновациялық өнім деуге бола ма, әлде осыған ұқсас технологияны сынап көрген басқа мемлекеттер бар ма?

Эрик Вустроу: Бұл – бұрыннан белгілі технология. Бірақ Қазақстан бұл технологияны бүкіл ел аумағына және ұзақ уақытқа енгізуге тырысқан алғашқы ел. Осыған дейін Қазақстан маманданған ұйымдарға браузерге сертификат қосу туралы өтініш айтқан. Бірақ Қазақстанның өтініші қанағаттандырылған жоқ.

Азаттық: Сіз 2015 жылы Қазақстанның Mozilla бағдарлама жасақтаушыларынан жауап алғанын меңзеп отырсыз ба?

Эрик Вустроу: Дәл солай. 2015 жылы Қазақстан жауап алды. Өйткені жеке мемлекеттің мұндай қадамға баруы бұрын-соңды тіркелмеген жағдай болатын. Кейде мұндай ақпарат ұрлау компаниялар деңгейінде болып тұрады. Бірақ мұндай кезде компаниялардың мәзірін жаңартып отыратын компьютерлері бар. Біз талқылап отырған жағдайда, компьютер иесі – қатардағы қазақстандық. Ал билік оларды сертификат орнатуға мәжбүрлегісі келеді.

Азаттық: Mozilla, Google немес Facebook сияқты технологиялық компаниялар бұл процеске әсер ете ала ма? Мысалы, билік әрекетіне тыйым салып немесе оларды мұндай мүмкіндік айыру қолдарынан келе ме?

Эрик Вустроу: Өкінішке қарай, жоқ. Бұл - біз бен шифрлауға арналған және қолданушы мен компьютер арасындағы ақпарат алмасуды қорғайтын браузерлер қолданатын негізгі протокол. Қазақстанның жағдайында бұл сызбаны бұзу әрекеті басқа бірде бір шешімнің жұмыс істеуіне мүмкіндік бермейді. Қазақстан осы каналда жаңадан құрылған шифрлеудің кез келген түрін жарамсыз етіп, оны ашып оқи алады. Бұл - қауіпті бағытқа бастайтын қадам.

Азаттық: Сертификат иесі мақсатты түрде белгілі бір контентті бұғаттай ала ма? Мәселен, шетелде жүрген азаматтың посттары, видеосы мен тікелей эфирлеріне ықпал ету мүмкіндігі бар ма?

Эрик Вустроу: Қазақстандық қолданушылар қарайтын белгілі бір парақшаның хостингі шетелде болса да, оны бұғаттап тастауы мүмкін. Аудиторияға ескертпестен, олардан жекелеген контентті жасыруға болады.

Азаттық: Сіздің ойыңызша, мұның бәрі қалай аяқталуы мүмкін?

Эрик Вустроу: Қазақстан билігі бұл шешімге барынша салмақты қарап отырған сияқты. Бірақ олар мұның нашар идея екеніне көз жеткізеді немесе ойлағандарын жүзеге асыруға техникалық тұрғыдан мүмкіндіктері жетпейді деп үміттенемін. Азаматтардың басым бөлігі сертификатты орнатудан бас тартса, бұл билік үшін бастаған ісін жалғастырмау керегін көрсететін белгі болады. Менің ойымша, Қазақстанның қазіргі қадамын басқа мемлекеттер мұқият бақылап отыр.

Бұл бастамаға тоқтау салу үшін қолымыздан келгенді жасағымыз-ақ келеді. Сертификат орнатқан азаматтар өз ақпаратын қорғай алмайды. Үкімет олар қарайтын контентті өзгертуге мүмкіндік алады. Әріптестеріммен бірге бұл жүйені айналып өтудің амалдарын қарастырып, қолданушыларға көмектесетін инфрақұрылым жасауға тырысып жатырмыз. Шамамен бір жылдан кейін қолымызда қажет технология болады деп ойлаймыз.

Азаттық: Сертификат орнатқан қолданушы оны еш зардапсыз қайта өшіре ала ма?

Эрик Вустроу: Сертификатты өшіруге болады. Ол үшін оны браузердегі сенімді сертификаттар тізімінен алып тастап, деинсталляция жасау керек. Сертификат жұмыс істеп тұрған кезде жіберген барлық деректеріңіз, құпия сөздер мен логиндерге зор қауіп төнеді. Өйткені сертификат иелері оларға еркін кіре алады.

Азаттық: Сертификат орнатқан қолданушы қандай да бір өзгерістерді байқай ма? Күдікті жағдайлар болуы мүмкін бе?

Эрик Вустроу: Қолданушы сертификатты орнатса, шабуылды мүлде байқамайды. Браузер құрастырушылары арасында "Азаматтардың сертификатты қолдан орнатуы кезінде хабарлама жүйесін қосу керек пе?" деген талқылау болған. Қазір бұл салада не болып жатқанын, болашақта хабарламалар іске қосылатыны жөнінде анық ештеңе білмеймін. Ешқандай өзгеріс болмайтын сияқты.

Азаттық: Қалыптасқан жағдайға байланысты қазақстандықтарға қандай кеңес бересіз?

Эрик Вустроу: Бұл сертификатты орнатудың пайдасынан зияны көп болады деген ойдамын. Ол билік айтқандай хакерлер мен онлайн шабуылдардан қорғамайды. Оның орнына бөтен біреуге жеке деректеріңізді қарап, трафигіңізді бақылап, онлайн ақпаратыңызға өзгерістер енгізуге мүмкіндік береді. Қолданушылардың көпшілігі сертификат орнатудан бас тартып, билік мұны бүкіл елге тану талпынысын доғарады деп үміттенемін.

Қазақстанның цифрлық даму, инновация және аэроғарыш өндірісі министрі Асқар Жұмағалиев жаңа сертификаттың мақсаты –"қолданушыларды кибершабуылдар мен заңсыз контенттен қорғау" деп түсіндіреді және бұл қолданушыларды "аңду" және интернетке бақылау орнату құралы болуы мүмкін деген болжамды жоққа шығарады. Жаңа сертификат жайлы бас прокуратура да пікір білдіріп, қазақстандықтардың конституциялық құқықтары мен жеке мәліметтеріне қол сұғылмауын қамтамасыз етуге кепіл болатынын және сертификатты заңсыз пайдалану талпыныстарының "бетін қайтаратыны" туралы мәлімдеген.

Qaznet Trust Network сертификатын енгізу бастамасын ел ішіндегі және шетелдегі киберқауіпсіздік саласы мамандары мен халықарылық беделді құқық қорғау ұйымдарының көпшілігі сынаған.