Билік интернеттегі жұртты аңди ма?
Астана тұрғыны Аружан Лесқали өткен жексенбі күні кейбір әлеуметтік желілерге кіре алмай қалған. Оқумен жұмысты қатар алып жүрген студент киберқауіпсіздік бойынша оқу-жаттығу жұмысына да, оқуына да кедергі келтіргенін айтады.
"SMM-маман болып жұмыс істейтіндіктен, Instagram желісіне белгілі бір уақытта жазбалар салуым керек. Кеше Wi-Fi арқылы Instagram-ға мүлде кіре алмадым. Instagram-ға телефонымдағы 4G интернетті таратып әрең кірдім. Сондай-ақ Youtube-те курс жүргізетіндіктен, Youtube-тегі видеоларды қатысушыларға ашуым керек. Ал кеше Youtube мүлде ашылмады. "Бұл сервер қорғалмаған" деп тұрды. Оны былай қойғанда google-мен байланысты платформалар: google drive, gmail поштасы, google doc түстен кейін істемей қалды. Сөйтіп, семестр аяғында жазатын тапсырмаларымды кеше орындай алмай қалдым", - дейді А.Лесқали.
А.Лесқали басқа астаналықтар тәрізді оқу-жаттығу басталмай тұрып телефонына "қауіпсіздік сертификатын орнату туралы" sms алған. Бірақ одан күдіктеніп, телефонына орнатпапты.
"Жексенбі күні жұмысымның тоқтап тұрғаны, кейбір сайттар мен әлеуметтік желінің ашылмай қалғаны ашуыма тиіп, сол сертификатты орната салайыншы деп sms-тегі сілтемеге кірдім. Оператор жіберген сілтеменің ішінен өз телефоныңның маркісін тауып алып шертсең, word құжаты ашылады. Онда сертификатты орнату нұсқаулығы жазылған. Мұқият оқысам, телефондағы бүкіл деректі ашып береді екенсің. Өзіме күмәнді болып көрінгендіктен, қауіпсіздік сертификатын орнатпадым", - дейді Аружан Лесқали.
Google мен Mozilla қазақстандық сертификатты неге бұғаттайды?
Бүгін кибержаттығу мен қауіпсіздік сертификаты бойынша брифинг өткізген цифрлы даму, инновация және аэроғарыш министрлігінің ақпараттық қауіпсіздік комитетінің төрағасы Руслан Әбдіхалықов оқу-жаттығу үшін демалыс күні интернетке кіре алмай қалған жұрттан кешірім сұрады.
"Оқу-жаттығуды демалыс күні өткізген себебіміз, ол күні адамдардың қолы барынша бос, жұмыс күні емес. Сондықтан азаматтардың жұмысына көп кедергі келтірген жоқ шығармыз", - деді Р.Әбдіхалықов.
Р.Әбдіхалықовтың айтуынша, киберқауіпсізікке байланысты іс-шаралар аяқталды, бірақ алдағы уақытта кибершабуылдардың бетін қайтару бойынша іс-шаралар жалғасуы мүмкін. Оқу-жаттығудың мақсаты мемлекеттік органдар, ақпараттық қауіпсіздік пен ақпараттық қауіпсіздік жөніндегі жедел орталықтардың кибершабуылдарға дайындығын тексеру көрінеді.
Осы оқу-жаттығу қарсаңында министрлік былтыр қоғамда дау тудырған қауіпсіздік сертификаттарын қайта тықпалай бастады.
Р.Әбдіхалықовтың айтуынша, пандемия кезінде заңға қайшы жалған ақпарат тарату көбейе түскен. Мемлекеттік органдар мұндай ақпаратты анықтап, шектейді. "Сертификат азаматтар интернетке қол жеткізуі үшін керек. Сертификатты қолданудан бас тартсақ, заңға қайшы ақпарат тараған интернет-ресурстың жұмысын жалғастыру мүмкін болмауы ықтимал", - деді ол.
Цифрлық даму, инновация және аэроғарыш өндірісі министрлігі мен ұлттық қауіпсіздік комитеті оқу-жаттығуды өткізбей тұрып таратқан баспасөз хабарламасында "Киберқауіпсіздік оқу-жаттығуларын өткізу кезеңінде кейбір шетелдік интернет-ресурстарға қол жеткізуде түрлі проблемалар туындауы мүмкін. Оны қауіпсіздік сертификатын орнату арқылы жоюға болады" делінген.
Қазақстан билігі 2019 жылы да қолданушыларды QazNet Trust Network қауіпсіздік сертификатын орнатуға шақырған. Алайда Apple, Google мен Mozilla қазақстандық қауіпсіздік сертификатын бұғаттайтынын мәлімдеген. Ірі компаниялардың айтуынша, билік қауіпсіздік сертификаты арқылы қолданушылардың желідегі жазбаларын аңдып, құпиясөздер мен жеке деректерді қадағалай алады деген.
Бірақ бүгінгі брифингіде ҰҚК мен министрлік өкілдері халықаралық компаниялардың мәлімдемесінің астарында бизнес және саяси мүдде жатыр-мыс.
"Бұл белгілі бір саяси аастары бар үлкен бизнес. Өйткені компаниялар белгілі бір елге жұмыс істейді. Әлемде Қытай мен АҚШ, өзге елдердің арасында IT саласындағы нарық үшін талас жүріп жатыр. Өз браузерін жасап шыққан отандық IT компаниялар Google және Mozilla-мен бәсекелесе алмайды. Өйткені алпауыттар нарықты басып алып, монополиялап алған. Google мен Mozilla біздің қауіпсіздік сертификатын қосқысы келмейді. Егер біздің сертификатты бірнеше мың халықаралық сертификатқа қосса, құрылғы ары қарай да жақсы жұмыс істей береді. Сонда олар өз сертификаттарына сенеді де, қазақстандық сертификатқа сенбейді. Неге? Келіссөз жүргізіп, осы мәселені шешпекпіз", - дейді ҰҚК-ның ақпараттық қауіпсіздік департаменті басшысының орынбасары Ғалымбек Тәтенов.
"Ортадағы адам"
Алматылық IT маман Дос Ілияшев қауіпсіздік сертификатын орнату арқылы мемлекеттік органдар қолданушылардың дербес ақпаратына қол жеткізуі мүмкін дейді.
[caption id="attachment_10016" align="alignleft" width="500"] Дос Ілияшев. Фото: tirek.info[/caption]
"Шын мәнінде, қауіпсіздік сертификаты керек емес. Өйткені Google Chrome, Opera, басқа браузерлерде қауіпсіздік сертификаты онсыз да орнатылған. "Браузердегі қауіпсіздік сертификаты құрылғыңыздан серверге баратын ақпаратты қорғайды. Мысалы, әлеуметтік желі немесе поштаға логин мен кілтсөзді тергенде оны шифрлеп, серверге жібереді. Егер қауіпсіздік сертификаты болмаса, ол ақпарат үшінші біреудің қолына түсуі мүмкін. Ал ҰҚК-нің қауіпсіздік сертификатына келсек, ол мүлде қажет емес. Сілтеме арқылы өтіп, ол сертификатты тексеріп көрдім. Сертификат қолданушыны заңға қайшы ақпараттан қорғайды делінген. Бірақ интернет трафикті бақылайтын орган заң бұзған, бұғатталған сайттар тізімін провайдерге жібереді. Сондықтан заңға қайшы ақпараттан қорғау –провайдердің міндеті. Сертификат қауіпсіздікті қорғамайды", - деді Д.Ілияшев.
Дос Ілияшевтің айтуынша, қауіпсіздік сертификатында "man in the miidle", яғни ортадағы адам бар.
"Сертификат құрылғыға орнатылса, онда ақпарат әуелі сертификат арқылы өтіп, артынша серверге беріледі. Демек, ақпарат ортадағы біреу арқылы өтеді. Осылайша бүкіл дербес деректер мемлекеттік органдарға түседі. Олар осылайша қолданушының трафигін бақылағысы келеді. Оның үстіне мемлекеттік органдардың қауіпсіздік жүйесі нашар, дұрыс қорғалмаған. Дербес деректер үшінші біреудің қолына түсуі ғажап емес. Сондықтан ол сертификатты өз басым орнатпас едім. Егер қандай да бір сайт ашылмаса, күте тұру керек немесе VPN арқылы ашқан дұрыс", - дейді Д.Ілияшев.