Арман Абдрасилов о сертификате: "Власти перешли некоторую черту"
Национальный сертификат безопасности стремительно вошел в нашу жизнь и так же стремительно ее покинул, оставив после себя не самое приятное послевкусие. Несмотря на свою короткую “жизнь”, сертификат постоянно был на слуху, и никто не говорил о нем так часто и настойчиво, как Центр анализа и расследований кибератак.
Отечественные специалисты по кибербезопасности наседали на государство и смогли добиться обратной связи от органов власти, которые привыкли общаться с общественностью в одностороннем порядке: пропуская информацию через фильтр пресс-секретарей и государственных СМИ. Поэтому мы связались с директором ЦАРКА Арманом Абдрасиловым, чтобы поговорить о причинах отмены сертификата и о том, как протекал диалог с чиновниками.
Почему сертификат так неожиданно отменили?
Думаю, что результаты тестирования показали нецелесообразность его дальнейшего внедрения таким образом: сопротивление, негативная оценка местного и мирового ИТ-сообщества, политические риски, стабильная ситуация в стране, а также полученные в ходе тестирования результаты.
Вместе с тем тест дал всем нам важный урок. Он показал жизнеспособность такого инструмента в масштабах целого мегаполиса или страны, а не только компаний, где такой метод мониторинга сотрудников уже встречается. Если верить статистике ГТС, всего десять дней потребовалось, чтобы завернуть треть всего трафика столицы в систему фильтрации данных. Это результаты самого сложного региона страны, думаю, в провинциальных городах этот процесс встретит гораздо меньше сопротивления.
Суть процесса — внедрение сертификата, видимо, показало свою эффективность в госорганах, и на волне хороших результатов и погоне за безопасностью власти перешли некоторую черту, оказавшись на территории частной жизни граждан.
Как считаете, что нужно было сделать государству, чтобы внедрение сертификата прошло более гладко и не вызвало столько негатива?
У нас очень часто такое бывает, проблема лежит в другой плоскости. Население не верит чиновникам и государству, и до тех пор пока кризис доверия не будет преодолен, все инициативы будут встречаться в штыки. Люди во всем видят негатив, даже в правильных инициативах (сертификат не тот случай, конечно). Органы прокуратуры, суды, полиция — все они в зоне недоверия. Важно сначала решить основные проблемы, а другие решатся сами.
ЦАРКА настаивала на диалоге с государственными органами. Чего вы добились в ходе встреч?
В рамках диалога работа велась по двум фронтам — публичные и закрытые диалоги. В рамках открытой дискуссии мы направляли письма и инициировали публичные обсуждения. Параллельно проводили встречи со всеми участниками процессов, заказали несколько видов анализа у экспертов, которые также передали чиновникам. Дополнительно готовили собственный анализ и приводили аргументы против такого пути решения проблемы фильтрации контента, одновременно предлагая альтернативные пути.
Не знаем что и кто больше повлияли на решение — очень много неизвестных нам факторов. Но мы честно выполнили свою часть работы и довольны результатом.
Есть ли альтернативы сертификату, которые может использовать государство?
Технически MITM сегодня единственный способ точечной фильтрации шифрованного трафика, и решить по другому проблему фильтрации контента без блокировки всего ресурса, например YouTube, нельзя. Более сложный путь решения — дипломатический. МИД совместно с правительством должны наладить взаимодействие с администрацией США и сервисов этой страны (Facebook, YouTube и Instagram). Взаимопонимание с руководством российских властей и сервисов, думаю, не является проблемой для Казахстана.
Вместе с тем я уверен, что выработанный подход продолжат использовать в гос и квазигос секторах, где эта мера оправдана и не вызовет никаких вопросов у населения. Тем более что там она уже внедрена и успешно работает пару лет. Возможно она распространится на служебные мобильные устройства, которые разрешат вносить в госорганы, где сейчас действует запрет.