"КИБЕРШАБУЫЛ КӨБЕЙГЕНІ" ЖАЙЛЫ ЖЕЛЕУ
Жақында Қазақстанның цифрлық даму, инновация және аэроғарыш өндірісі министрлігі мен ұлттық қауіпсіздік комитеті "Ақпараттық қауіпсіздік Нұр-Сұлтан – 2020" тақырыбында бірлескен жаттығу өткізетінін мәлімдеді. Министрлік аталған жаттығуды өткізу себебін "Қазақстанның цифрлық кеңістігінде кибершабуыл көбейгенімен" түсіндірді. Мемлекеттік органдар 2019 жылы қоғамда сынға қалған қауіпсіздік сертификатын орнату мәселесін қайта қозғады.
Цифрлық даму, инновация және аэроғарыш өндірісі министрлігі мен ұлттық қауіпсіздік комитетінің баспасөз хабарламасында "Киберқауіпсіздік оқу-жаттығуларын өткізу кезеңінде кейбір шетелдік интернет-ресурстарға қол жеткізуде түрлі проблемалар туындауы мүмкін. Оны қауіпсіздік сертификатын орнату арқылы жоюға болады" делінген.
Жұрт интернеттің "бұғатталуы" жайлы не дейді? Нұр-Сұлтан, 7 желтоқсан 2020 ж.
Кибержаттығу 6 желтоқсанда басталады деп хабарланды, бірақ оның қашан аяқталатыны айтылған жоқ. Астана тұрғындары 6 желтоқсанда бірқатар шетел ақпарат сайттары мен әлеуметтік желілерге кіру қиындағанын байқаған.
2019 жылы шілдеде Қазақстан билігі қазақстандықтарды Qaznet Trust Network деп аталатын "қауіпсіздік сертификатын" орнатуға үндеген. Бірақ бұл бастаманы интернет қолданушылар мен сарапшылар жаппай сынады. Олар бұл сертификаттың киберкеңістікте қауіптен қорғай алмайтынын, керісінше, жеке деректерді үшінші тарапқа беруі мүмкін екенін ескертті.
Internet Freedom Kazakhstan жобасының құқық қорғаушысы Елжан Қабышев жаңа қауіпсіздік сертификатының қызметі "былтырғы нұсқаға" ұқсайды деп топшылайды. Сарапшы "қауіпсіздік сертификатын" орнатқан адамның жеке деректері үшінші тарапқа берілетінін айтады.
– MITM (man in the middle), яғни ортадағы адам бар. Сертификатты өз құрылғыңызға орнатсаңыз, бүкіл трафик әуелі осы сертификат арқылы өтіп, содан кейін ғана сіз іздеген сайтқа беріледі. Яғни, сертификат құпиясөздер мен интернет ресурстарға кіру тарихын қадағалай алады. Жеке хат-хабарды да оқиды. Осының бәрі интернетке қосылатын құрылғыңызға сертификат орнатқаннан болады. MITM – ортадағы адам – осы сертификат арқылы деректерді алып отырады, – дейді Қабышев.
"МЕМЛЕКЕТТІК ОРГАНДАРДЫҢ КЕҢЕСІНЕ ҚҰЛАҚ АСУ ҚАУІПТІ"
Байланыс операторлары "Қазақстан заңы тыйым салған контентті шектеу" үшін "қауіпсіздік сертификатын" орнату керегін айтады. Қабышевтің айтуынша, контентті "тыйым салынған" деп көрсетудің өзі күдік туғызады.
– Заңның қаншалықты нақты әрі түсінікті екеніне қатысты сұрақ көп. Өйткені контентке тыйым салуға ілік болған негіздердің өзі бұлыңғыр жазылған. Сол себепті мемлекеттік органдардың тыйым салынған материалдар мен оларды шектеу туралы құқықтық тәжірибесіне қатысты қызметінің ашықтығына байланысты сұрақ туады. Сертификаттың көмегімен сайттарды шектеу қауіпті. Бұл цензура қолданып жатқанын көрсетеді. Сондықтан, әрине, қоғам сенбейді, – дейді сарапшы.
Қабышев мемлекеттік органдардың кеңесіне құлақ асу қауіпті екенін айтады.
– Мысалы, Орталық сайлау комиссиясы мен бас прокуратурадағы жеке деректердің жарияланғаны үшін ешкім жауапқа тартылған жоқ. Енді тағы да пилоттық жоба ("сертификат" – ред.) қолға алынып отыр. Осы жолы да жеке деректер дұрыс қорғалмаса, бұл үшін кім жазаланады? Иә, тәжірибе өзгеретін шығар, бірақ осыған дейін жеке деректер жарияланып кеткенде мемлекеттік органдардың бір де бірі өзіне жауапкершілік алмайтынын көрсетті. Бұл бастама бүкіл ел аумағында жүзеге асады деп есептемегеннің өзінде, қауіпсіздік сертификаты қолданушылардың интернет-трафигінен ірі көлемде деректер алынғанын білдіреді, – дейді Қабышев.
Internet Freedom Kazakhstan жобасының өкілдері "Бұл сынақтар уақытша жүргізіле ме, әлде сертификатты тұрақты түрде қолдану жоспарда бар ма?" деген сұраққа жауап іздеп отыр. Бұл "Байланыс туралы" заңның 26-бабы 3-1 және 4-тармағында, Ұлттық қауіпсіздік комитеті төрағасының 2018 жылы 27 наурызда шыққан бұйрығының 8-тармағында көрсетілген.
Cарапшы қазір мамандар "сертификат" пен "кибержаттығудың" техникалық қырына байланысты дерек жинауды жоспарлап отырғанын, осы деректерге сүйеніп, адам құқықтары мен бостандықтары және аталған "жаттығулардың" азаматтардың құқықтарына әсері туралы есеп дайындалатынын айтады.
Алматылық IT-маман Дос Ильяшев та "сертификат" орнатпауға кеңес береді және оның абоненттерге емес, байланыс операторларына керек екенін айтады.
– Бізде провайдерлер бар, сертификатты соларға орнатсын. Сонда олар трафикті өз деңгейінде сұрыптап отырады. Ал абоненттерді мәжбүрлеу – дұрыс емес. Әлемнің ешбір елі бұлай жасамайды. Бізді фишинг шабуылдан, қаржы алаяқтарынан қорғаса, дұрыс. Бірақ басқа нәрсе болса, дұрыс емес. Сөз бостандығы бәрінен де жоғары, – дейді Ильяшев.
"САЙЛАУ ҚАРСАҢЫНДА ҚОЛҒА АЛУЫ ТЕГІН ЕМЕС"
Ильяшев биліктің шетелдік интернет-ресурстарды шектеуі мен Қазақстандағы парламент сайлауы алдындағы ішкі саяси жағдайдың арасында байланыс бар деп есептейді.
– Жазылған ақпаратқа сүйенсек, сертификат заңды бұзатын контенттен қорғайды. Соған қарағанда сайлау алдында заңға қарсы контент тарайды деп қауіптенетін шығар, – дейді Ильяшев.
Елжан Қабышев сайлау қарсаңында мұндай шара өткізудің кездейсоқ емесін айтып, "кибержаттығу" кезінде бірқатар интернет-ресурсқа қолжетімділікті шектеу заңды ма?" деген мәселеге назар аударады.
– Мүмкін олар сайлау процесіне осылай дайындалып жатқан болар. Маған осының бәрі бейбіт тұрғындарға, олардың келісімінсіз, шынайы жаттығу кезінде кепілге алынған адамдардың рөлінде боласыңдар деп айтқандай көрінеді. Бұл жерден осындай оқиғаны көріп отырмын. Бұл шынымен біртүрлі көрінеді. "Мұндай шаралар қаншалықты заңды?" деген сұрақ туады. Неге мемлекеттік органдар өткізіп отырған жаттығуларға бейбіт тұрғындарды араластырады? Неге олар қауіпсіздік сертификатын орнатуы керек?
Мобильді байланыс операторларының сайтында "қауіпсіздік сертификаты" деген не және оны қалай орнату керек?" деген нұсқаулық жарияланған. Мысалы, Beeline компаниясы "қауіпсіздік сертификаты телекоммуникация желісінде заңмен тыйым салынған ақпарат тарауын шектеу мақсатында қолданылады" деп көрсетілген.
Кcell компаниясы "қауіпсіздік сертификаты ақпараттық жүйелер мен деректерді сақтауға, елдің ақпарат кеңістігіне, оның ішінде жеке және банк секторына жасалған хакерлік және алаяқтардың кибершабуылынан зардап тимей тұрып қорғануға көмектеседі" деп түсіндіреді. Аltel "қауіпсіздік сертификаты байланыс абоненттеріне интернетке барынша қауіпсіз режимде қосылуға мүмкіндік береді" деген ақпарат ұсынған.
ЦАРКА ҰҚК ТОБЫНДА НЕ ІСТЕП ЖҮР?
Цифрлық даму, инновация және аэроғарыш өндірісі министрлігі мен ұлттық қауіпсіздік комитеті "кибержаттығуға" Ақпараттық қауіпсіздік ұлттық үйлестіруші орталығы мен "Қазақстанның киберқалқаны" жүйесін, Кибершабуылдарды зерттеу және талдау орталығын (ЦАРКА), КВОИКИ (ақпараттық-коммуникациялық инфрақұрылымның аса маңызды нысандары), байланыс операторларын, мемлекеттік органдардың ақпараттық қауіпсіздігін қамтамасыз етумен айналысатын бөлімшелері мен жекеменшік компанияларды тартқан.
2019 жылы билік "қауіпсіздік сертификатын" енгізуге талпынған кезде Кибершабуылдарды зерттеу және талдау орталығы бұл идеяға қарсы шыққан. Орталық президенті Олжас Сәтиев "Қазақстанда елді басқару процесіне қатысушылардың рөлі толық жазылған" деп есептейді.
– Әрине, ЦАРКА реттеушілер тізімінде жоқ. Осыдан мемлекеттің қозғалыс бағытына ықпал ете алмайтынымыз анық көрінеді. Заңды сол саланың министрлігі жазады, біз әрине, белгіленген тәртіп бойынша оған қарсы шыға аламыз, бірақ түптеп келгенде бағынуға мәжбүрміз, – деді Сәтиев.
ЦАРКА басшысы қауіпсіздік сертификаты жайлы бұрынғы пікірінен айнымағанын айтады.
– Қауіпсіздік сертификатын жай уақытта қолдану дұрыс емес деп есептейміз. Ал террорлық қауіп, әскери қимылдар сияқты ерекше жағдайларда қолдану нақты бекітілген нормативтік шаралар негізінде жүргізілуі керек. Сертификатты жай уақытта пайдалану орынсыз деп санаймыз. Мемлекет одан бас тартуға келіспесе, тым құрығанда сертификатты қандай төтенше жағдайлар кезінде және қандай ресурстарға қолданатынын нақты белгілеу керек, – дейді ЦАРКА орталығының позициясын түсіндірген Олжас Сәтиев.
Ол "алдағы кибержаттығуларда" ЦАРКА "Қазақстанның инфрақұрылымына шабуыл жасайтын хакерлік топ" қызметін атқаратынын айтты.
– Бұл жұмыстан бас тартсақ, біздің орнымызға басқа мамандарды алар еді. Осы қисынға сүйеніп, кибержаттығуға қатысуға келістік. Біз – Қазақстанның ақпараттық қауіпсіздік саласындағы көшбасшы компаниямыз. Сондықтан өзіміз үздік саналатын сала бойынша өтетін жаттығуға қатысудың еш әбестігі жоқ деп ойлаймын. Бізге мемлекеттік органдардың веб-ресурстарын тексеруді тапсырды. Біз онсыз да үнемі осындай жұмыспен айналысамыз. Кибержаттығу бірнеше шаралар кешенінен тұрады. Біз тек аталған бөлімге ғана қатысамыз, – дейді Сәтиев.
Ол "кибержаттығулар бір аптадан аспайтынын", ал "сертификатқа байланысты шаралар бірнеше күнге созылуы мүмкін екенін" айтты.
ПІКІРЛЕР