Перейти к содержимому

Qaznet Trust Network: «судный день» для Казнета откладывается?

Операция по всеобщей установке государственного сертификата безопасности, запущенная казахстанскими властями в июле, закончилась так же неожиданно, как и началась.

Во вторник Комитет национальной безопасности сообщил о прекращении тестирования национального сертификата безопасности с 7 августа. Позже президент Казахстана Касым-Жомарт ТОКАЕВ в своем Twitter написал, что КНБ провёл тестирование сертификата безопасности по его поручению в рамках программы «Киберщит». «Доказана защищенность информационного пространства РК и возможность использования сертификата только в случаях вторжения извне. Неудобств пользователям интернета нет. Благодарю КНБ», — пояснил Токаев.

Реакция общества на эту инициативу власти в очередной раз обнажила проблему недоверия общества к государству.

Казнет при необходимости можно вскрыть как консервную банку

Глубже погружаясь в международное интернет-пространство, осуществляя массовую программу цифровизации, Казахстан все чаще сталкивается с кибернетическими угрозами: в Интернете, словно в джунглях, всегда найдётся кто-нибудь, кто попытается тебя съесть.

Три основные группы значимых игроков в Сети – спецслужбы продвинутых государств (АНБ США, израильский «Моссад», китайские кибернетические силы, российская разведка), транснациональные корпорации (Apple,Google, Microsoft, Facebook, Amazon) и международные хакерские группировки (Anonymous).

Ни у кого из них Казахстан не стоит в списке приоритетных целей, однако представляется, что, в случае необходимости, любой из этих игроков сможет вскрыть Казнет, словно консервную банку. А ведь есть ещё мошенники, экстремисты и прочие маньяки. 

О том, чтобы защищать свое кибернетическое пространство, Казахстан задумался несколько лет назад. В 2015 году в закон «О связи» были внесены поправки, требующие от интернет-операторов (включая компании мобильной связи) «осуществлять пропуск трафика с использованием протоколов, поддерживающих шифрование с применением сертификата безопасности, за исключением трафика, шифрованного средствами криптографической защиты информации на территории Республики Казахстан».

Суть в следующем: во всех браузерах уже предустановлены различные сертификаты безопасности, разработанные IT-корпорациями и имеющие статус «доверенных». Эти сертификаты открывают доступ к мониторингу активности пользователей. Данные пересылаются на серверы корпораций и там хранятся, а может быть, и используются в коммерческих целях. Казахстанские власти, как многие другие на планете, тоже хотели бы получить контроль над казахстанским сегментом интернета.

Сначала под это была подогнана законодательная база, однако на протяжении нескольких лет никто и не вспоминал о новой законодательной норме. Как оказалось, потому, что в это время велась кропотливая работа над ее технической реализацией.

Qaznet Trust Network как оружие «судного дня»

К началу 2019 года казахстанское государство, наконец, созрело. Был разработан государственный сертификат безопасности Qaznet Trust Network, о необходимости внедрения которого были оповещены операторы интернет-связи. Оказалось, что казахстанский сертификат вполне себе многофункционален.

Будучи установленным на устройство, он внедряется во все браузеры и приложения, подменяет собой другие доверенные сертификаты и получает доступ ко всей входящей и исходящей информации ещё до того, как она будет зашифрована. Более того, сертификат позволяет точечно блокировать возможность посещения конкретных сайтов и даже просмотра конкретных роликов и постов на отдельных сайтах.

Таким образом, совокупность всех установленных сертификатов представляет собой мощную паутину, которая способна опутать весь Казнет, проникнуть в каждую щель, что надо – узнать, что не надо – закрыть.

Прежде чем продолжать анализ, зададимся вопросом: а нужны ли государству вообще инструменты контроля за потоками данных в интернете? Ответ: да, в кибернетической оружейной мастерской должно быть припрятано оружие «судного дня»: на случай внезапного выступления сепаратистов, религиозных экстремистов, организованных преступных группировок, а также в случае прямого вторжения иностранной державы или же её активной разведывательной деятельности, направленной против национальных интересов Казахстана.

В таких случаях у казахстанских спецслужб должны быть все возможные инструменты противодействия. В конце концов, разоблачения WikiLeaks и Эдварда СНОУДЕНА показали, что и АНБ США (от него, вероятно, не отстают ЦРУ, ФБР и РУМО) не гнушается широчайшим спектром секретных шпионских технологий, нацеленных на защиту национальной безопасности. С другой стороны, кибернетические бэкдоры не должны использоваться для целей политической борьбы, подавления свободы слова и гражданского активизма, межэлитных разборок.

И это ведь, по сути, вопрос доверия: верит ли общество в то, что, получив качественно новые, более широкие полномочия, государство будет использовать их для одобряемых обществом целей, не злоупотребляя этими полномочиями. 

Антиутопия в духе Оруэлла?

В середине июля мобильные операторы один за другим начали отправлять абонентам в Нур-Султане сообщения, оповещающие о необходимости установки сертификата безопасности и обещающие в противном случае проблемы с Интернетом.

Проблемы действительно начались: в столице начал тормозить мобильный интернет, проблему лишь частично решали более-менее проверенные сервисы VPN. Поднялся ажиотаж: блогеры, независимые IT-специалисты, а затем и деятели гражданского сектора начали бить тревогу.

Основные аргументы: государство, давно прогнувшее под себя большую часть средств массовой информации, хочет поставить под свой контроль и Казнет. Критики нововведения заявляли, что сотрудники спецслужб теперь будут «шерстить» шифрованные данные на предмет политической крамолы, заодно собирая на людей компромат, а также воруя их личные данные, включая пароли от социальных сетей, данные банковских карт и прочее.

С разъяснениями пришло выступить ответственным государственным органам – Министерству цифрового развития и Комитету национальной безопасности. Представители обеих структур заверили: никто ни за кем шпионить не собирается, сертификат нужен для того, чтобы блокировать сайты, призывающие к суицидам, защищать компьютеры от вирусов и противостоять хакерам. 

Однако общество им не поверило и продолжило бурлить, проводя параллели с антиутопией Джорджа Оруэлла, описанной в романе «1984», и Великим Китайским Фаерволом. Очевидно, что неприятие обществом требований к поголовной установке сертификата безопасности является симптомом общего недоверия к государственным институтам.

Да, сейчас наши данные и так уже кем-то собираются, рассуждает возмущенный гражданин. Но ведь это главным образом транснациональные корпорации. У них слишком много данных, чтобы иметь возможность таргетировать конкретно взятого гражданина Казахстана, да это никоим образом и не входит в сферу их интересов.

К тому же, корпорации демотивированы как-либо использовать личные данные пользователей им во вред. Во-первых, потому что их в этом ограничивают международные законы, а во-вторых, потому, что если подобная информация будет предана огласке, корпорация потеряет доверие и, соответственно, очень большие деньги. 

Что же касается Казахстана: граждане считают, что казахстанское государство, и без того склонное к разным ограничительным политикам, посредством сертификата окончательно закрутит гайки и перекроет каналы получения информации, представляющие альтернативу государственной пропаганде и лояльным СМИ.

Однако дело тут не только в злой воле Большого Брата, но и в потенциальной нечистоплотности и халатности исполнителей. Казахстанцы видят полицейских в погонах, подбрасывающих гражданам вещдоки, акимов, покупающих за государственный счет дорогие квартиры и автомобили, чиновников, раздающих бюджетные субсидии аффилированным компаниям.

И не без основания считают, что данными, полученными с помощью сертификата безопасности, будут распоряжаться точно также: для личных «разборок» с неугодными или для продажи какому-нибудь специфическому заказчику. Вот и все.

Нет сомнений, что данными сертификата будут пользоваться суровые борцы с терроризмом, которые, вскрыв шифрованные мессенджеры, узнают много нового о местах и методах вербовки новых экстремистов. Но казахстанцы опасаются, что в рамках исполнения генеральной линии «ответственные лица» заблокируют все ресурсы, не поддерживающие генеральную линию партии, соберут сокровенную информацию на вольнодумцев и используют ее во зло и во вред последним. С текущим кризисным уровнем доверия общества к государству очень тяжело воплощать подобные инициативы, требующие масштабной мобилизации ресурсов и массовой поддержки населения.  

Возвращение к исходным позициям

В конце концов, казахстанская власть успокоила граждан, отыграв ситуацию на исходные позиции. Сначала Комитет национальной безопасности заявил, что происходившее в июле было лишь масштабным тестированием сертификата безопасности.

Другими словами, в некой кризисной ситуации государство предложит всем жителям экстренно установить СБ, отрубив полностью интернет всем тем, кто этого не сделает, что позволит эффективно бороться возникшим кризисов (будь то вылазка сепаратистов или массовая террористическая угроза). По данным КНБ, тестирование завершилось успешно – теперь сертификат можно удалять.

Чуть позже президент Токаев заявил, что тестирование проводилось по его поручению в рамках реализации госпрограммы «Киберщит». Необходимые результаты достигнуты, поводов для беспокойства нет, Интернет будет доступен для всех граждан в прежнем режиме. 

 

 

 

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *