Қауіпсіздік сертификаты неге күмән туғызады?
Жақында цифрлық даму, инновация және аэроғарыш өндірісі министрі Асқар Жұмағалиев QazNet Trust Network қауіпсіздік сертификаты туралы тағы да айтты. Жеке деректер мен банк есепшоттарынан ақша ұрланған жағдайларға сілтеме жасаған байланыс операторлары қазақстандық қолданушыларды қауіпсіздік мақсатында QazNet Trust Network сертификатын орнатуға шақырған. Асқар Жұмағалиев қауіпсіздік сертификатын «сенімді» деп атап, оны өз телефонына орнатқанын мәлімдеді. Министр сертификат орнату бастамасын интернет қолданушыларын желідегі қауіптерден, сайттарды ықтимал шабуылдардан, балаларды жағымсыз контенттен қорғау мақсатымен түсіндіреді.
Қазақстан билігі сертификат орнату туралы түпкілікті шешімді әр азамат өзі қабылдайтынын айтады. Сонымен қатар QazNet сертификатынан бас тартқандар көптеген әлеуметтік желі мен пошта жүйесіне кіре алмауы мүмкін деген ақпарат та бар.
Отандық және шетелдік сарапшылардың көбі сертификат ішіне жасырылған технология интернет қолданушы мен веб-ресурстар арасындаға деректерді алуға мүмкіндік береді деп есептейді. Мамандардың айтуынша, ел үкіметінің девайстерге орнатылған бастапқы сертификатты айналып өтуге тырысуы — әлем тәжірибесінде сирек кездесетін құбылыс.
«ОРТАДАҒЫ АДАМ»
Мичиган университетінің ғаламдық интернеттегі ақауларды бақылаумен айналысатын Censored Planet зерттеу тобы QazNet-ке көлемді талдау жасаған.
Топ мүшелері қазақстандық сертификаттың қалай жұмыс істейтінін түсіну үшін бірқатар тәжірибелер жүргізгенін хабарлады. Олар сертификатты «шифрланған https-трафигін қолға түсіру жүйесі» деп атаған. Зерттеу тобы танымал әлеуметтік желілер мен YouTube сайтын қоса алғанда, ондаған мың доменді сараптамадан өткізіп, «[сертификаттың] негізгі мақсаты – интернет қолданушыларын бақылау» деген қорытындыға келген. Зерттеу авторлары қолда бар деректерге қарап, Қазақстанда трафикке қол жеткізу қазірдің өзінде бар екенін айтады. Олар қолданушыға тексерілмеген қауіпсіз сертификатын орнатпауға кеңес береді.
Censored Planet авторлары зерттеуді «Киберқауымдастықтың өтпелі шифрлау арқылы сайт қауіпсіздігін қамтамасыз ету саласындағы ондаған жылдарға жалғасқан дамуымен қатар келген бұл қауіпті тәжірибені халықаралық қауымдастық мұқият бақылауы керек» деп аяқтаған.
Әлемдегі интернет еркіндігінің мониторингімен айналысатын NetBlocks тобының атқарушы директоры Альп Токер де «қазақстандық қолданушылар өз әрекеттеріне мұқият болуы керек» дегенпікірмен келіседі.
— Біз зерттеген Қазақстандағы интернет провайдерлердің парақшалары QazNet сертификатының мүмкіндіктерін толық көрсетпейді. Сондықтан қолданушылар өздерінің неге келіскендерін түсінуі керек, — дейді ол.
Дәстүрлі қауіпсіздік сертификаттары әдетте интернет байланысты шифрлау үшін қолданылады. Оны браузердің сайт атауы жазылатын бөлігінде «s» әрпі (ағылшын тілінен аударғанда secure – «қауіпсіз» – ред.) шығуынан немесе әдеттегі http орнына https қолданылуынан байқауға болады. Бұл қолданушы мен веб-ресурс арасындағы байланыста деректерді тыңдау немесе ауыстыру қаупі төмен екенін көрсетеді.
Көп құрылғылар мен браузерлерде ондаған сертификат бар. Бұл сертификатты беделді ұйымдар шығарған және олардың жұмысын әлемдік қауымдастық мұқият қадағалап отырады.
«Сертификаттарды әдетте жұмысының ашықтығы тексерілетін белгілі бір компаниялар ғана шығарады. Техникалық қауымдастық бір құқықбұзушылық байқаса, мәселен, қолданушылар мен веб-сайттар арасындағы деректерді алу немесе тыңдау тіркелсе, сертификат қара тізімге енгізіледі. Мұндай жағдайда компания бір сағатта миллиондаған доллар инвестициясын жоғалтуы мүмкін» дейді Токер.
Ол өз қызметін асыра пайдаланғаны үшін беделін жоғалтып алған компанияларды мысалға келтірді. Токер сертификаттарды интернет трафиктің қауіпсіздігін сақтаудағы «таптырмас кілт» деп атайды.
«Смартфондар мен компьютерлердің қауіпсіздігін қамтамасыз ету механизмдері осының айналасында құрылған. Заманауи тәжірибеге сәйкес, бірде бір қолданушы ерікті түрде оны ауыстырмайды» дейді ол.
Токердің сөзінше, қолданушы өз еркімен орнатқан басқа сертификат, біздің жағдайда QazNet, тексеру механизмдерін айналып өтеді.
— Негізінде қолданушы [үшінші тарапқа] өзінің жеке хабарламалары мен электронды поштадағы хаттарын қоса алғанда, интернет байланысын бақылауға және әлеуметтік желідегі деректерін қарауға мүмкіндік беруге келіседі, — дейді сарапшы.
Көп мамандардың айтуынша, бұл әдіс «делдал шабуылы» немесе MitM (man in the middle немесе ағылшыннан аударғанда «ортадағы адам» – ред.) деп аталады. Ол қолында сертификат пен трафикке қолжетімділігі бар үшінші тарапқа қолданушылардың жеке деректерін алып, құпия сөздерін көруге, хабарламаларын оқуға мүмкіндік береді. Мұндай жолмен ақпарат алу қарапайым мысалмен түсіндіргенде, басқа адамға жолданған хатты үшінші біреу ашып қарағаны сияқты.
Токердің сөзінше, компьютер мен өзге де девайстарды өндірушілер «[қандай да бір елдің] үкіметі [кенеттен] өз азаматтарын қауіпсіздік сертификатын енгізуге мәжбүрлейді» деп күтпеген.
— Соңғы кезге дейін бұл идеяға ешкім салмақты қараған жоқ. Бұл опция компьютерлік бағдарлама жасауды жеңілдетуге немесе әр әрекетін қадағалауды қажет ететін азаматтарды, мәселен түрмедегі тұтқындарды, бақылауға қолданылып келді. Бірақ ешқашан бұл қызмет қарапайым қолданушыларға қатысты пайдаланылған емес, — дейді ол.
ЕКІНШІ ТАЛПЫНЫС
Сарапшылардың пікірінше, бұл биліктің интернет трафиктің шифрланған бөлігіне қол жеткізуге алғашқы талпынысы емес. 2015 жылы Қазақстан үкіметі қолданушыларды мемлекеттік қауіпсіздік сертификатын орнатуға міндеттемек болған. Ол кезде бұл бастама сот шешімімен тоқтатылып, жүзеге аспай қалған.
Байланыс операторлары 2019 жылдың наурыз айында қазақстандықтарды қауіпсіздік сертификатын орнатуға тағы да шақырған. Factcheck.kz веб ресурсының ақпаратына сәйкес, ол кезде ұсыныс провайдерлер сайтындағы хабарламаға ғана негізделгендіктен, бұл ақпаратқа қоғам аса назар аудара қоймаған. Сарапшылар сертификатты енгізуге соңғы талпыныс жасалардан бұрын, өткен жылдың соңында және биыл мамыр айында Қазақстан нарығынан бірқатар шетелдік байланыс операторлары кетіп, ұлттық оператор бірлескен кәсіпорындардан үлес сатып алғанын айтады.
Қазақстандық жекеменшік компьютерлік инциденттерге жауап беру орталығының өкілі Арман Әбдірасылов билік қоғамда туған бірқатар сұрақтарды жауапсыз қалдырды деп есептейді. Оның айтуынша, QazNet Trust Network сертификатының қолданылу тәртібі мен қалай пайдаланылатыны анық емес.
Маманның сөзінше, QazNet-ті сертификат иесіне кең мүмкіндіктер беретіні және жауапты тұлға нақты көрсетілетін нормативті базаның жоқтығы үшін енгізуге тырысып жатыр.
— Техникалық сарапшылар ретінде біз бұл не қылған сертификат, ол үшін кім жауап береді, ол қалай шығарылады, қандай шарттары бар, қандай ұйымда және қайда сақталады деген сұрақтарға жауап алғымыз келеді, — дейді Әбідрасылов.
Маусым айында қолданушыларды сертификат орнатуға шақырған ақпарат тараған соң, бірқатар ақпарат құралдарында жүктеп алу сілтемелері орналасқан Qca.kz сайтының домені Асқар Дүйсекеев (Askar Dyussekeyev) деген жеке тұлғаның атына тіркелгені жазылды. Оның мекенжайы ел астанасындағы министрліктер үйі деп көрсетілген. Кейінірек доменнің тіркеу жазбасы өзгерді. Енді ол «Ақпараттық қауіпсіздіктің ұлттық үйлестіру орталығына» тіркелді. Ашық деректерден алынған ақпаратқа сәйкес, бұл ұйымның Қазақстан ұлттық қауіпсіздік комитетінің мемлекеттік техникалық қызметімен байланысы бар.
Әбідрасылов «теориялық тұрғыдан алғанда киберқауіпке қарсы кең мүмкіндіктерге ие сертификат көмегімен күресуге болады» дейді. Ол сертификат шифрланған https-трафигін оқып, оны қайта шифрлап, қажет мекенжайға жіберуге мүмкіндік беретінін, осы арқылы «нүктелік бұғаттауды» жүзеге асыруға болатынын айтады.
— Сертификат иесі сізге қандай да бір сайтқа кіруге тыйым сала алады. Оның трафикке қолжетімділігі болса, сіздің қандай ресурсқа кіріп отырғаныңызды көруге мүмкіндігі бар. Осылай мәселен, жарнаманы бұғаттауға болады. Менің түсінуімше, бұл тыйым салынған контенттің таралымын тоқтату үшін жиі [толықтай] бұғатталып жүрген ресурстарға қолданылады. Бұл тұста YouTube желісіне толықтай емес, оның кейбір бөлігіне ғана шектеу енгізілуін мысалға келтіруге болады, — дейді Әбдірасылов.
ҚҰҚЫҚ ҚОРҒАУШЫЛАРДЫҢ ПІКІРІ
Аталған сертификатты қанша азамат орнатқаны туралы дерек жоқ. Желіде қолданушы сертификатты орнатып, кейіннен оның қауіпсіздігіне күмәндана бастаса, оны қалай өшіруге болатынын түсіндіретін видеолар кездеседі.
Қазақстан QazNet туралы бастамадан кейін тағы да әлемдік интернет қауымдастықтың сынына қалды. Бұған дейін елдегі интернетті жаппай бұғаттау және мамырдың 9-ы күні өткен наразылық шаралары әлем назарын аударған болатын. Маусымның 9-ы күнгі Қазақстандағы интернетті бұғаттау процесі туралы NetBlocks тобы өкілдері кеңінен ақпарат берген.
Қауіпсіздік сертификатын енгізу туралы бастамаға Committee to Protect Journalists («Журналистерді қорғау комитеті» немесе CPJ – ред.) халықаралық журналистерді қорғау ұйымы да пікір білдірді. Ұйым Қазақстанда цензура күшейеді деп қауіптенеді. CPJ құқық қорғау бөлімінің басшысы Кортни Радш «қауіпсіздік шарасы» деп аталған бастама үкіметтің «азаматтарды бақылауда ұстау мүмкіндігін күшейтуге талпынысы» сияқты көрінетінін айтады. Радштың пікірінше, Қазақстан билігінің түрмеге қамау, цензура мен журналистерді қудалау саласындағы «көпжылдық тәжірибесін» ескеріп, мемлекеттің»халықты қауіпті контенттен қорғау» туралы мәлімдемесіне күмәнмен қарау керек.
Әлемнің алдыңғы қатарлы техникалық оқу орындарының бірі – Массачусетс технологиялық институтының MIT Technology Review басылымы жариялаған ақпаратқа сәйкес, man-in-the-middle (MITM) сызбасы Қазақстан билігінің интернет көмегімен елдегі бақылауды күшейту жолында қолға алған жалғыз амалы емес. Мақала авторлары Қазақстанның «әртүрлі мемлекеттер үкіметіне, оның ішінде өзгеше ойлайтын азаматтарының аузын жабуға тырысатын диктаторлық режимдерге интернет ресурстарды бұзу технологияларын сатумен айналысатын Израильдегі NSO Group компаниясының танымал клиенті» екенін жазған. MIT Technology Review дерегінше, NSO Group технологиялары таңдап жұмыс істеуге мүмкіндік береді. Мақала «[Қазақстан] үкіметінің көздеген мақсаты әлдеқайда өскен» деген жолдармен аяқталады.
«ӘЛЕУМЕТТІК ЖЕЛІЛЕРДІ ЖИІ БҰҒАТТАЙТЫН ЕЛ»
Freedom House халықаралық құқық қорғау ұйымының әлемдегі интернет еркіндігінің деңгейі туралы есебінде Қазақстан 2018 жылы 65 елдің ішінде 46-орында тұрған. Freedom House Қазақстанды «әлеуметтік желілер мен коммуникациялық платформаларды жиі бұғаттайтын» елдер қатарына жатқызады.
Соңғы бірнеше жылда қазақстандық қолданушылар әлеуметтік желілер мен мессенджерлерге кіруде қиындықтарға кездесетінін жиі айтады. Олар билікті интернетті бұғаттағаны үшін айыптап, мемлекеттің бұл әрекетін қазақстандық сот тыйым салып, экстремистік ұйым деп таныған «Қазақстанның демократиялық таңдауы» қозғалысының негізін салған Мұхтар Әблязовтің желідегі белсенділігімен байланыстырады. Шетелде тұратын, Қазақстан билігін сынаушы бұрынғы банкирге елде бірқатар қылмыстық істер бойынша айыптар тағылған. Ол интернетте Қазақстан халқына үндеу айтқан видеолар жариялап, тікелей эфирлер өткізеді.
Билік қолданушыларды қорғаудың бір тәсілі деп таныстырған жаңа технологияны жаппай енгізу саяси транзит кезінде наразылық көңіл-күйдің өршуімен тұспа-тұс келіп отыр. Саяси транзит кезінде билік елді отыз жыл басқарған бұрынғы президент Нұрсұлтан Назарбаевтан Қасым-Жомарт Тоқаевқа көшті. Назарбаев мемлекетті басқаруда көп құзыретін сақтап қалды. Наразылық акциясына қатысушылар маусымның 9-ы күні кезектен тыс өткен президент сайлауының қорытындысы мен саяси процестің заңдылығына күмәнмен қарайды. Олар биліктен азаматтардың құқықтары мен бостандықтарын құрметтеуді, саяси тұтқындарды босатуды талап етіп жатыр. Билік «заңсыз» деп тапқан митингіге шыққандар ұсталып, айыппұл мен түрме жазасына кесілген.
Соңғы уақытта көптеген халықаралық ұйымдар Қазақстан билігін адам құқықтары мен бостандықтарын бұзғаны, өзгеше ойлау мүмкіндігін шектегені үшін сынаған. Билік өзіне тағылған айыптарды «негізсіз» деп атайды.