Қауіпсіздік сертификаты қауіпсіз бе?

15

Елордада «Киберқауіпсіздік Нұр-Сұлтан-2020» оқу-жаттығу жиыны өтті. Соған сәйкес астаналықтар кей шетелдік интернет-ресурстарға кіре алмай қалды. Яғни жаһандық желіде желсіз жүзу үшін «қауіпсіздік сертификатын» орнату қажет. Тавтология үшін кешірім сұраймыз, бірақ «қауіпсіздік сертификатының» қауіпсіздігінен қаупі басым секілді.

Біздің бұл пікірімізді алпауыт IT-компаниялар әлдеқашан мойындап қойған. Естеріңізде болса, 2019 жылы да осындай талпыныс жасалған-тұғын. Сол кезде Ұлттық қауіпсіздік комитеті ақпараттық киберқауіпсіздікті қамтамасыз ету мақса­тын­да елде қауіпсіздік сертификатын қол­да­ну бойынша сынақ жүргізілгенін, сынақ нәтижесінде кибершабуылдарға төтеп беретін жүйе құрылғанын хабарлады. Бірақ аталған жаңашылдықты Google, Mozilla секілді BigTech өкілдері сынап, қазақстандық сертификатты қара тізімге енгізді.

Google, Mozilla, Apple компанияларының айтуынша, мұндай сертификатты орнату билікке құрылғы иесінің бүкіл мағлұматын дешифрлеуге, оқуға, өзгертуге, аккаунтының ақпараты мен паролін білуге мүмкіндік береді. Мичиган университетінің Censored Planet жобасы 2019 жылы қазақстандық қауіпсіздік сертификатының жілік-жілігін шағып, бүкіл мәліметті тексеріп шыққан еді. Олардың келтірген деректеріне сай, сертификат 37 сайттың мәліметін «қолды» етуге арналып жасалған көрінеді. Олардың қатарында Gmail, YouTube, Google Docs, Allo, Google Translate секілді Google компаниясының өнімдері, Facebook, Instagram, VKontakte, Mail.ru тәрізді әлеуметтік желілер бар. Яғни сертификат авторлары қолданушының бүкіл мәліметін біліп отыру мүмкіндігі мол.

Елордада кибержаттығуға арналған бас­па­сөз жиынында Цифрлық даму, инновация­лар және аэроғарыш өнеркәсібі министрлігі Ақпараттық қауіпсіздік комитетінің төрағасы Руслан Әбдіқалықов аталған мәселеге тоқ­талған-ды. Оның айтуынша, қазақстандық сер­ти­фикаттың шетелде мойындалмауының саяси астары бар. Дегенмен, жоғарыда айтып өткеніміздей, қазақстандық сертификат пен Google, Mozilla компанияларының серти­фикаттарының арасындағы ұқсастық атауында ғана, ал айырмашылық жер мен көктей. Біздің технология мәліметті дешифр­леуге, оқуға арналса, IT-компаниялардың сертификаты шифр­­­­­леуге, мәліметті барынша ешкімге көрсетпеу мақсатында жасал­ған. Бұл – біріншіден. Екіншіден, Google де, Facebook те, Apple де – өз елінің билігіне бағынбайтын дербес корпорациялар. Былтыр ресми Вашингтон аталған компанияларды тізгіндеу былай тұрсын, IT саласына қатысты регламенттерді енгізе алмай әбден қиналғаны есімізде. Оның үстіне, Google де, Facebook те, Apple де қол­да­ну­шылардың жеке қауіпсіздігін сақтауға қатты мән береді. Үшіншіден, ешқандай елдің интернет жүйесі қауіпсіз емесін таяудағы SolarWinds компаниясына жасалған хакерлік шабуыл дәлел­де­ді. Естеріңізде болса, ресейлік хакерлер SolarWinds-дің бағдарламасына трояндық вирус енгізіп, АҚШ-тың бірқатар мемлекеттік мекемесінің деректерін қолды еткен-ді.

Айтпақшы, жоғарыда аталған брифингте қазақстандық сертификатта MITM (man-in-the-middle – ортадағы адам) технологиясы қолданылғаны айтылды. Аталған технология бо­йынша сертификат қолданушы трафигін оқиды. Яғни паролін, кірген сайттарын, әлеу­меттік желідегі хаттарын, мессенд­жер­лер­ді, банк аккаунттарын, интернет арқылы жі­бер­ген файлдарын көре алады.

Демек, алда-жалда хакерлер министрлік ұсынған сертификатты бұза қалса, бүкіл қазақстандықтың жаһандық желідегі мәліметі, жеке деректері мен парольдері зиянкестердің қолына түсетіні айтпаса да белгілі. Сондықтан бүкіл халықтың интернеттегі мәліметін оқитын технология қауіпсіздікті арттырмайды, керісінше қауіпті күшейтеді. Бұл техникалық жағы.

Ал моральдық тұрғыда келсек, интер­нет­тегі деректерді шектеу, оларды түзету, өзгерту сөз бостандығына жасалған қастандық. Ата заңымызда цензураға тыйым салынған. Бірақ қауіпсіздік сертификаты цензураның нағыз өзі болып тұр. Әрине, министрліктегілер тек зиянды сайттарға ғана тыйым салынатынын айтатыны түсінікті. Бірақ біздің технология кей сайттардағы мәліметтерді оқуға арналғанын ескерсек, оған сену қиын.

Мемлекет басшысы «Халық үніне құлақ асатын мемлекет» тұжырымдамасын ұсын­ға­ны есімізде. Халықтың мұң-мұқтажын тыңдап, талап-тілегін орындауға тиіс бұл бас­таманы кей шенеуніктер кері түсінді ме бел­гісіз, әйтеуір қауіпсіздік сертификаты Ұлттық қауіпсіздік қызметін интернетті ести­тін, оқитын, тексеретін органға айналдыратын түрі бар.

egemen.kz