Чиновники могут влезть в личную жизнь, а мошенники – в карманы пользователей через национальный сертификат, считают эксперты IT-отрасли
Эпопея с внедрением национальных сертификатов безопасности казахстанцам уже знакома. В частности, жителей столицы прошлогодняя история вновь затронула: астанчане в эти выходные снова получили сообщения о том, что в стране проводятся учения по кибербезопасности, поэтому могут быть неполадки с доступом в Интернет, а если уж совсем не можете без виртуальной жизни, устанавливайте национальный сертификат безопасности. Но что это даст, кроме пресловутой «безопасности»? Как и от чего нас хотят обезопасить? А главное – какой ценой? За якобы благовидной целью защиты населения стоят не самые чистые намерения, утверждают эксперты. Устанавливая на свой смартфон или ноутбук этот сертификат, вы добровольно впускаете государство в свою личную жизнь – чиновникам будут доступны ваши переписки и даже банковские операции. Все минусы этой затеи специалисты озвучили корреспонденту Azattyq Rýhy.
С января 2016 года норма о том, что мы должны использовать сертификат безопасности, прописана в Законе «О связи». Но эта норма прописана двусмысленной формулировкой – мол, можно использовать, а можно и не использовать, говорят IT-специалисты. В документе прописано лишь, что провайдеры должны использовать сертификат безопасности. Касается ли это физических лиц, куда устанавливать сертификат – не указано. Да и вообще, что из себя представляет этот сертификат? Говоря проще, это защита между вами и каким-нибудь сайтом или социальной сетью.
«Когда ставишь, допустим, между Facebook и собой какой-то сертификат, это значит, что весь трафик, все, что ты пишешь и делаешь, ты просто отдаешь все это сертификату. Сейчас, когда мы общаемся с Facebook, с банком, мы общаемся по сертификату безопасности, который предоставляет поставщик услуг. То есть Facebook дает нам сертификат безопасности и гарантирует нам, что наша связь защищена. Подделать этот сертификат, вскрыть его, взломать или подделать, подобрать к нему шифрование – это бесполезное занятие, потому что, как посчитали, сто лет нужно будет, чтобы подобрать шифрование», – говорит президент Интернет Ассоциации Казахстана Шавкат Сабиров.
По сути, в этих сертификатах вся наша личная информация – все наши переписки, сохраненные материалы, история посещений, покупки в интернет-магазинах и даже банковские операции. Эксперты подозревают, что в первую очередь именно это и есть цель государства – получить доступ ко всему этому. Но получить иностранные сертификаты безопасности госорганам трудно. Помните историю с Telegram, когда правоохранительные органы требовали предоставить эти самые сертификаты безопасности, а основатель соцсети Павел Дуров отказался? Вот и приходится нынче изощряться – выдумывать национальные сертификаты.
«Все попытки установить национальный сертификат безопасности заканчивались провалом, потому что это, по сути, значит, что мы даем нашему любимому государству все наши переписки, все наши банковские ключи, карточки и так далее. Все что у тебя есть, ты отдаешь в руки государства, которое может читать все.
И дело даже не в том, что мы с вами не совершаем никаких противоправных действий. Грубо говоря, нам нечего скрывать. Но вопрос в другом: где гарантия, что эту информацию у государства не украдут? Или кто-то из чиновников, работая там, не захочет эту информацию продать?», – продолжил Шавкат Сабиров.
Его опасения подтвердил и ассистент-профессор Международного университета информационных технологий, директор Общественного объединения Internet Society Kazakhstan Талгат Нурлыбаев. Утечки и нечистые на руку чиновники – вот два главных минуса проекта.
«Чем все это грозит, если этот сертификат утечет куда-то? Уровень коррупции в наших государственных органах вы сами знаете. Если он утечет, а он, скорее всего, утечет, то любой злоумышленник, используя корневой сертификат, может перехватывать трафик и расшифровывать его. Таким образом он сможет изображать любой банк, любой интернет-магазин. В связи с этим может возникнуть большая опасность – национальный сертификат безопасности, напротив, ухудшает безопасность», – предостерегает Талгат Нурлыбаев.
Национальные сертификаты, по мнению экспертов, могут привести к разгулу интернет-мошенничеств. У любого злоумышленника, мало-мальски разбирающегося в новых технологиях, возникнет желание подставить свой сертификат безопасности. И тогда он обманным путем получит всю вашу переписку, все, что вы делаете, допустим, с банковскими операциями.
Последствия могут стать очень и очень печальными – вплоть до того, что казахстанцы не смогут пользоваться Google почтой и YouTube. Крупные международные компании еще в прошлом году твердо заявляли, что не будут доверять какому-то третьему сертификату безопасности. Как правило, каждая уважающая себя компания записывает собственные сертификаты.
«Еще в прошлом году мы заявили, что эти сертификаты – это плохо. Тот же Microsoft, тот же Apple, Google, Mozilla сказали, мол вы свой национальный сертификат в наши программные продукты не вставите. После этого все как-то утихло, а сейчас опять собираются это дело внедрять. Если это случится, мы не сможет попросту выходить в Интернет, потому что с этими сертификатами нас никуда не будут пускать. Его не будут признавать, будут считать, что нас взломали, но на самом деле нас не взломали, а мы вроде как сами добровольно поставили. Нам попросту запретят доступ на любой сайт. Все у нас встанет.
Это очередная попытка контролировать сеть. Но куда большая опасность в том, что нас никуда не будут пускать. В прошлом году в лаборатории Касперского говорили, что человек установил сертификат на телефон, так ему браузер выдавал: «вас взломали, у вас стоит такой-то сертификат» и не открывал никакие сайты. Но тем не менее наши господа-чиновники хотят внедрить, хотя понятно, что затея обречена на полный провал», – заключил директор Общественного объединения Internet Society Kazakhstan Талгат Нурлыбаев.
Ранее чиновники уверяли казахстанцев, что сертификат безопасности не собирает личные данные.