17 июля на сайте Министерства цифрового развития, инноваций и аэрокосмической промышленности РК появилось сообщение о возможных перебоях в работе интернета в столице. Это объяснили техническими работами для усиления защиты от хакеров и интернет-мошенников. В Министерстве порекомендовали убедиться в регистрации своего телефона и наличии сертификата безопасности на устройствах. Параллельно казахстанцы стали получать сообщения от провайдеров о необходимости установить сертификат безопасности.

19 июля вице-министр цифрового развития РК Аблайхан Оспанов заявил, что установка сертификата не носит обязательного характера. По его словам, сертификат позволит гражданам защитить свои персональные данные, хранящиеся на устройстве.

Поговорили с экспертами о том, что представляет из себя сертификат безопасности, почему многие не рекомендуют его устанавливать и стоит ли ждать блокировок по аналогии с Китаем.


Ельдар Курмангалиев

разработчик программного обеспечения, Microsoft

О принципах работы сертификата безопасности

Когда человек подключается к любому современному сайту, используется HTTPS-соединение, которое выполняет две очень важные цели, предотвращающие прослушку или подмену данных:

— Подтверждается «личность» сервера. Сервер предъявляет свое публичное удостоверение: «Добрый день, пользователь, это действительно Google». Браузер смотрит на это удостоверение и проверяет информацию об удостоверяющем центре, то есть, смотрит, кто выпустил это удостоверение. Затем браузер ищет этот удостоверяющий центр в списке доверенных центров. На каждом компьютере есть список доверенных корневых центров — по умолчанию там только проверенные международные, непредвзятые, центры, которые точно не будут портить свою репутацию выпуском сертификатов на чье-то имя без проверки их личности.

Таким образом, даже если злоумышленник попытается выдать себя за Google, вмешавшись физически в ваше интернет-соединение, он не сможет этого сделать, потому что у него нет удостоверения Google, а ни один другой корневой центр не выдаст это удостоверение кому-либо, кроме Google.

— Шифрование трафика. Теперь, когда точно известно, что этот сервер действительно Google, используются продвинутые криптографические алгоритмы для обмена ключами. Благодаря этим алгоритмам, даже если кто-то физически прослушивает сеть между пользователем и сервером (будь то государство или злоумышленник), он не сможет получить ключи шифрования и прочитать трафик. Никто между пользователем и сервером-получателем не может узнать данные запроса (адрес запроса, логины, пароли, ключи сессии) и ответа сервера (содержимое веб-страниц, файлы). На этих двух принципах строится вся современная интернет-инфраструктура.

Устанавливая сертификат от стороннего центра, пользователь подтверждает для компьютера, что сертификат безопасный. В отличие от международных частных корневых центров, государственные могут быть предвзяты. Установка такого сертификата позволит прослушивать или подменивать любой трафик граждан Казахстана — историю посещений, логины, пароли, банковские данные.

О возможности принудительной установки сертификата

Если государство установит великий файрвол (технологический барьер, предназначенный для предотвращения несанкционированного или нежелательного сообщения между компьютерными сетями или хостами — Прим. ред), то все запросы будут перехватываться, независимо от того — установлен сертификат или нет. Другое дело, что без корневого сертификата браузеры будут показывать сообщения о небезопасности соединения. Если пользователь в таком случае нажмет на всплывающее «Все равно продолжить», то результат будет тот же самый — трафик окажется в руках государства. Если сертификат установить, то такого предупреждения не будет, — вот и вся разница. Единственный выход в таком случае — использование VPN.

Другой вопрос, что государство может начать блокировать VPN. Это очень трудоемкая и практически невыполнимая задача, но самые популярные VPN-провайдеры вполне могут попасть в черный список и блокироваться на уровне провайдеров.

О полной блокировке

До полной блокировки интернета, думаю, дело не дойдет. Северная Корея, по-моему, единственная страна, которая это сделала. Казахстанское правительство хоть и движется в эту сторону, но, к счастью, все еще очень далеко от этого.

Теоретически, в случае отсутствия доступа к интернету, людям может помочь глобальный интернет от Илона Маска. Но на внедрение этой системы могут понадобиться годы, поэтому в этой ситуации стоит полагаться на казахстанский народ и мировую общественность.

В частности, надеюсь на действия со стороны мировой IT-индустрии. В истории были аналогичные случаи, когда крупные IT-компании добавляли корневой сертификат в список недоверенных. То есть, даже если пользователь добавил этот сертификат в список доверенных, браузер может отказаться пускать пользователя на страницу. В такой ситуации, в случае внедрения перехвата сообщений пользователь полностью потеряет доступ в интернет и будет вынужден либо установить VPN (и получить безопасный доступ), либо требовать от государства прекратить вмешиваться в личную жизнь.

Самое страшное, что часто само государство не может обеспечить собственную информационную безопасность. Доступ к данным корневого сертификата может оказаться и у хакеров. Тогда весь трафик, все деньги на счетах, все логины и пароли, вся личная жизнь и безопасность всех казахстанцев окажется в руках у злоумышленников.


Елжан Кабышев, юрист

правозащитник, проект «Internet-Freedom» в сотрудничестве с ОФ «Правовой медиа-центр» при поддержке Фонда Сорос-Казахстан

О сертификате безопасности

Сертификат безопасности — это протокол, поддерживающий различный тип шифрования для трафика в интернете. В законе «О связи» не указана прямая обязанность абонентов на их принудительную установку. Установка и использование абонентом сертификатов безопасности облегчает доступ для блокировки или ограничения доступа к тому или иному ресурсу. Исходящий трафик можно проследить и блокировать доступ к нежелательному контенту будет весьма удобно. Но пока для установки сертификата нужно согласие абонента.

Пойдет ли Казахстан по пути Китая? Будет ли «Великий казахский файрвол»? Это сложный вопрос. Но однозначно, что на полное регулирование сети государство не может пойти в силу особенностей интернета и стоимости — это слишком дорого. На первую версию проекта «Золотой щит» КНР потратила около 800 миллионов долларов и продолжает тратить колоссальные суммы на поддержание проекта.

До 2014 года блокировки сайтов могли быть осуществлены только по решению суда, но в апреле 2014 году в Закон РК «О связи» была внесена новая статья 41-1, согласно которой в Казахстане была узаконена процедура «внесудебных блокировок» по решению Генерального прокурора РК и его заместителей. С января 2016 года закон был дополнен еще одной нормой, о том, что такие же полномочия предоставлены и уполномоченному органу. Таким образом, перечень органов, имеющих право на «внесудебные блокировки» в Казахстане, был расширен. Сейчас заблокировать доступ к сайтам в Казахстане можно осуществить тремя способами: по решению суда, предписанием генеральной прокуратуры или уполномоченного органа (ранее было Министерство информации и коммуникации, ныне Министерство цифрового развития, инновации и аэрокосмической промышленности).

За три года по предписаниям уполномоченного органа был ограничен доступ к более чем 50 000 материалам, по решениям судов за 2014-2018 годы — 8 240. Основные причины ограничений — пропаганда идей терроризма и и экстремизма, распространения порнографии, пропаганда культа жесткости, насилия, суицида.

Если интернет Маска заработает, получить доступ к такому глобальному интернету получить будет непросто. Понадобится специальное оборудование для подключения как трансивер, фазированная антенна (от 100 до 300 долларов), плюс стоимость абонентской платы. Сомневаюсь, что обычный человек будет тратить столько денежных средств на интернет. И подключаться сразу к спутниковому интернету, минуя провайдеров, — наивно. Думаю, государство попытается отрегулировать эти моменты. Даже интересно, как это произойдет.


Кожахмет Руслан

адвокат, партнер адвокатской конторы «International Major Lawyers»

О законах

По Закону РК «О связи» от 05.07.2004 года, сертификат безопасности — это набор электронных цифровых символов, применяемый для пропуска трафика, содержащего протоколы, поддерживающего шифрование. При этом под пропуском трафика понимается осуществление процесса установления соединения и передачи информации между пользователями услугами связи. Сертификат безопасности не является активным средством для обеспечения утечки персональной и иной информации или защиты, так как не способен это осуществить. Он — инструмент блокировки.

Над контролем цифровой сферы в Казахстане серьезно озаботились после прошедших в мире «цветных» революций, повлекших неконституционную смену власти. Террористы и экстремисты стали широко использовать цифровые технологии для вербовки и совершения преступлений. Другие преступления в области незаконного распространения наркотических средств, психотропных веществ, оружия и также стали совершаться с помощью этих технологий. Это обосновало необходимость принятия мер для обеспечения безопасности государства и граждан. Однако, предпринимаемые меры также направлены на ограничение прав и свобод граждан.

Важно обратить внимание, что сертификаты безопасности выдаются органами Комитета национальной безопасности РК, в структуре которого действует удостоверяющий центр информационной безопасности. Выдается он по заявлению операторов связи на 10 лет, оператор связи обязан обеспечить распространение сертификата безопасности среди своих абонентов.

Сам сертификат безопасности предназначен и применяется в целях ограничения распространения по сети телекоммуникаций информации, которая запрещена вступившим в законную силу решением суда или законами РК. Все это указано в приказе Председателя КНБ РК от 27 марта 2018 года. Из приведенного становится очевидной конечная цель — не допустить абонентов связи к определенным нежелательным источникам информации.

Пользуясь тем, что население мало осведомлено или не знакомо с механизмами работы устройств связи, под «благими намерениями» нас призывают ограничить себя от информации, которая будет противоречить официально разрешенной.

Законом РК «О связи» и приказом Председателя КНБ РК не предусматривается право оператора связи отключить от своих услуг абонента (ст. 36-2 Закона РК «О связи» — Прим. ред.), не установившего тот или иной сертификат безопасности.

Информация операторов о том, что отсутствие сертификата безопасности на абонентских устройствах может повлечь техническое ограничение с доступом к отдельным интернет-ресурсам — недобросовестное и незаконное побуждение. Ограничение доступа к информации, которая не признана судом запрещенной, будет являться нарушением прав абонентов. В отличии от обязанности оператора сотовой связи отказать клиенту в предоставлении услуг сотовой связи, если его устройство не зарегистрировано, отсутствие сертификата безопасности не влечет за собой таких последствий.

Разъяснения операторов связи о том, что сертификат безопасности вводится для защиты информационного пространства в связи с участившимися хищениями персональных и учетных данных, а также денежных средств с банковских счетов казахстанцев — плохо прикрытая ложь.

Ограничение доступа к информации, которая не признана судом или законом запрещенной, будет являться нарушением конституционного права граждан (п. 2 ст. 20 Конституции РК — Прим. ред.) на свободное получение и распространение информации не запрещенным законом способом, права на доступ к информации (Закон РК «О доступе к информации» от 16.11.2015 г. — Прим. ред.), а также принципа свободы поиска, формирования и передачи любых электронных информационных ресурсов (Закон РК «Об информатизации» от 24.11.2015 г. — Прим. ред.)

О примере Китая

Казахстан находится между Россией и Китаем, где были приняты на законодательном уровне правовые акты, изолирующие интернет-пространство и позволяющие блокировать программы и приложения, к примеру, Facebook, Telegram. А поскольку Казахстан — участник международных организаций (ШОС, ОДКБ), то в рамках подписанных соглашений не исключается, что Казахстан будет использовать схожие технологии для ограничения доступа к информации.

Сомневаюсь, что Казахстан откажется от идеи цифрового контроля граждан, так как в современных условиях — это отставание в развитии государства и невозможность обеспечения действительно требующейся защиты граждан от преступников. Убежден, что Казахстан будет только наращивать технологии для этого. Насколько часто эти технологии будут использоваться против общества и как общество будет реагировать на это, — покажет время.


Анонимный эксперт

За контроль над цифровой сферой Казахстан взялся недавно, максимум лет пять назад. Сейчас провайдер не может читать зашифрованный трафик, так как сертификат безопасности предоставляются провайдерами SSL сертификатов, например, Thawte или Comodo. Все они — иностранные компании. Когда сделают свой, государственный, сертификат, то у соответствующих органов/компаний появится возможность смотреть весь трафик, включая зашифрованный.

Посмотрит ли Казахстан на Китай? По стопам Китая идти не получится, так как IT-инфраструктура слабая и нет возможности импортозамещения популярных сервисов. Глобальный интернет от Илона Маска не спасение — скорее всего, будет иметь большие задержки и небольшую скорость. Оборудование для связи со спутниками у нас продавать запретят.

Если у пользователя не останется доступа к интернет-ресурсам, то можно использовать браузер TOR.