KZ
"Наши данные утекут в даркнет": эксперты о казахстанском сертификате безопасности
Новости Общество

"Наши данные утекут в даркнет": эксперты о казахстанском сертификате безопасности

Расcказать Вконтакте

Жители Казахстана начали получать сообщения, в которых их просят установить сертификат безопасности Qaznet Trust Network. Корреспондент NUR.KZ решил выяснить у экспертов, что же значит этот загадочный сертификат, нужно ли беспокоиться казахстанцам и ожидать ли проблем.

Наши данные утекут в даркнет: эксперты об отечественном сертификате безопасности

Иллюстративное фото pixabay.com

Директор Центра анализа и расследования кибер атак (ЦАРКА) Арман Адбрасилов объяснил, что такое сертификат безопасности.

"Когда вы заходите на какой-то сайт, например в свой банковский сервис, вся информация, которая передается между вами и кабинетом банка, шифруется. Для шифрования используются ключи, так называемые сертификаты", - начал он.

Кому нужен сертификат?

Адбрасилов сообщил, что для безопасности используются иностранные сертификаты удостоверяющих центров, например американские или европейские.

"Соответственно, ключи для шифрования есть у нас и у стороны, выдающей этот сертификат. В этой цепочке нет казахстанских спецслужб, поэтому, когда им нужно проводить какие-то мероприятия, они не могут этого сделать.

Для этого им, видимо, приходится применять другие технологии. В то же время иностранные спецслужбы имеют доступ к этим сертификатам и для них эта процедура проще", - рассказал директор ЦАРКА.

По словам Адбрасилова, чтобы решать задачи по поиску преступников, особенно в кибер-среде, нужна технология, позволяющая раскрывать зашифрованную информацию.

"Тут есть два пути решения. Первое - это договориться с иностранными государствами, с тем же Фейсбуком, чтобы они предоставляли нам эти данные. Второй вариант - это внедрить свой сертификат безопасности казахстанских ключей шифрования, которые позволят, в случае необходимости, получить доступ к этому трафику", - пояснил он.

Директор ЦАРКА сказал, что в целом, этот инструмент в мире распространенный, то есть это известная технология. Другое дело, что спецслужбы других стран используют ее более элегантно, считает эксперт.

"Операционная система Microsoft - американская, то есть на уровне регуляторов эти сертификаты уже загружены и их не нужно загружать вручную. В нашем случае, у нас нет такого взаимодействия с компанией Microsoft или Google. К тому же у нас нет своих операционных систем", - поделился он.

Абдрасилов также отметил, что представителям власти пришлось прибегнуть к такому непопулярному методу из-за того, что не получилось решить вопрос дипломатическими способами.

"Видимо, не нашли более элегантного решения и решили сделать это вот таким непопулярным методом. Несмотря на это, я так понимаю, что задача стоит и они пошли на крайние меры.

Еще на это указывает, что изменения в законодательство были внесены в 2015 году, но с нас не стали это требовать сразу в том же году. Возможно, они все это время пытались решить вопрос другими способами, но так как не смогли этого сделать дипломатическими методами, решили предложить гражданам добровольно установить этот сертификат", - предположил эксперт.

Не будут работать приложения на смартфонах

Руководитель отдела информационной безопасности компании Pacifica Кирилл Мурзин рассказал о проблемах, которые могут возникнуть после подключения к казахстанскому сертификату безопасности.

"Одна из проблем заключается в том, что на смартфонах такие приложения, как Facebook и Instagram, перестанут работать. Дело в том, что в последних версиях мобильных операционных систем Android и IOS есть технология защиты у приложений - SSL Pinning.

Установленные на смартфоне приложения доверяют только "родным" сертификатам, которые жестко прописаны разработчиками приложений. Даже если вы собственноручно установите сертификат безопасности, приложения все равно не будут работать", - предположил Мурзин.

Адбрасилов поддержал коллегу и согласился, что такая проблема может возникнуть.

"Однозначно можно сказать, что в мобильные приложения нельзя интегрировать чужие сертификаты. Пока процесс не пошел, нельзя однозначно утверждать, что это будет проблемой, но вероятность такая есть. Все зависит от того, каким образом операторы связи отнесутся к этой работе", - считает Абдрасилов.

Возможная утечка данных

По словам Мурзина, во время внедрения данной технологии в масштабах страны будет задействовано огромное количество администраторов всевозможных провайдеров. Это, в свою очередь, представляет собой существенные риски, потому как приватные ключи могут оказаться у посторонних лиц. Имея приватные ключи, государство или иные лица могут осуществлять расшифровку интернет-трафика пользователей, установивших данный сертификат.

"На мой взгляд, государство не сможет обеспечить достаточную защиту этих ключей при проекте такого масштаба. Я абсолютно уверен, что рано или поздно приватные ключи от этого сертификата утекут в чужие руки и будут продаваться в darknet, так как это будет представлять собой высокую ценность.

Если установка «сертификата безопасности» будет иметь принудительный характер, то здесь тогда стоит поднять вопрос наших конституционных прав, таких, как тайна переписки", - высказался Мурзин.

Недоверие народа

Абдрасилов также опасается того, как именно будет использоваться этот инструмент.

"Проблема лежит в плоскости доверия к казахстанской правоохранительной системе. Есть риск того, что наши правоохранительные органы могут бесконтрольно использовать этот инструмент. Это уже другая область.

Сейчас не хватает информации со стороны официальных лиц, которые вышли бы и сказали, для чего эту нужно. К примеру, что это нужно для поиска преступников или для облегчения доступа к трафику.

У нас сейчас информационный голод и это одна из причин, почему я не установил этот сертификат", - признался директор ЦАРКА.

Абдрасилов добавил, что власти могли бы сказать, какими инструментами будут контролировать этот процесс, к примеру, с помощью третьих лиц, либо независимых экспертов.

"Мы бы с удовольствием в этот процесс включились, как общественные наблюдатели, и изучили. Мы понимаем, что это делается для борьбы с преступностью, но внутренней кухни мы не видим", - заключил эксперт.

Техническая проблема

Мурзин добавил, что помимо прочего, есть технологические ограничения. Этот сертификат безопасности можно установить не на все устройства, например: смарт ТВ, сигнализации, видеокамеры и другие устройства умного дома, так как в них нет такой опции.

Напомним, что некоторые операторы сотовой связи разослали своим пользователям СМС с просьбой подключить сертификат безопасности. А вице-министр цифрового развития, инноваций и аэрокосмической промышленности Аблайхан Оспанов сообщил, обязаны ли казахстанцы устанавливать сертификаты безопасности.

Ваша реакция
75
4
23
5
1
5
1
Спасибо за Ваше мнение Вы уже голосовали
Читайте также
Комментарии
Mailfire view pixel