Канал интересных IT-статей

Арман Абдрасилов о сертификате: «Власти перешли некоторую черту»

Author: Editorial
10 августа 2019

Национальный сертификат безопасности стремительно вошел в нашу жизнь и так же стремительно ее покинул, оставив после себя не самое приятное послевкусие. Несмотря на свою короткую “жизнь”, сертификат постоянно был на слуху, и никто не говорил о нем так часто и настойчиво, как Центр анализа и расследований кибератак.

Национальный сертификат безопасности. Автор коллажа: Алишер Моисеев для сайта bluescreen.kz.

Отечественные специалисты по кибербезопасности наседали на государство и смогли добиться обратной связи от органов власти, которые привыкли общаться с общественностью в одностороннем порядке: пропуская информацию через фильтр пресс-секретарей и государственных СМИ. Поэтому мы связались с директором ЦАРКА Арманом Абдрасиловым, чтобы поговорить о причинах отмены сертификата и о том, как протекал диалог с чиновниками.

Почему сертификат так неожиданно отменили?

Думаю, что результаты тестирования показали нецелесообразность его дальнейшего внедрения таким образом: сопротивление, негативная оценка местного и мирового ИТ-сообщества, политические риски, стабильная ситуация в стране, а также полученные в ходе тестирования результаты.

Вместе с тем тест дал всем нам важный урок. Он показал жизнеспособность такого инструмента в масштабах целого мегаполиса или страны, а не только компаний, где такой метод мониторинга сотрудников уже встречается. Если верить статистике ГТС, всего десять дней потребовалось, чтобы завернуть треть всего трафика столицы в систему фильтрации данных. Это результаты самого сложного региона страны, думаю, в провинциальных городах этот процесс встретит гораздо меньше сопротивления.

Суть процесса — внедрение сертификата, видимо, показало свою эффективность в госорганах, и на волне хороших результатов и погоне за безопасностью власти перешли некоторую черту, оказавшись на территории частной жизни граждан.

Как считаете, что нужно было сделать государству, чтобы внедрение сертификата прошло более гладко и не вызвало столько негатива?

У нас очень часто такое бывает, проблема лежит в другой плоскости. Население не верит чиновникам и государству, и до тех пор пока кризис доверия не будет преодолен, все инициативы будут встречаться в штыки. Люди во всем видят негатив, даже в правильных инициативах (сертификат не тот случай, конечно). Органы прокуратуры, суды, полиция — все они в зоне недоверия. Важно сначала решить основные проблемы, а другие решатся сами.

ЦАРКА настаивала на диалоге с государственными органами. Чего вы добились в ходе встреч?

В рамках диалога работа велась по двум фронтам — публичные и закрытые диалоги. В рамках открытой дискуссии мы направляли письма и инициировали публичные обсуждения. Параллельно проводили встречи со всеми участниками процессов, заказали несколько видов анализа у экспертов, которые также передали чиновникам. Дополнительно готовили собственный анализ и приводили аргументы против такого пути решения проблемы фильтрации контента, одновременно предлагая альтернативные пути.

Фотография из публичного чата ЦАРКИ
Первая встреча прошла 25 июля. Представители ГТС — Аскар Дюсекеев и Рамиль Бектимиров, замрук КИБ МЦР — Руслан Абдикаликов, эксперт в области защиты данных и преподаватель КазГЮУ — Дана Утегенова

Не знаем что и кто больше повлияли на решение — очень много неизвестных нам факторов. Но мы честно выполнили свою часть работы и довольны результатом.

Фотография из публичного чата ЦАРКИ

Есть ли альтернативы сертификату, которые может использовать государство?

Технически MITM сегодня единственный способ точечной фильтрации шифрованного трафика, и решить по другому проблему фильтрации контента без блокировки всего ресурса, например YouTube, нельзя. Более сложный путь решения — дипломатический. МИД совместно с правительством должны наладить взаимодействие с администрацией США и сервисов этой страны (Facebook, YouTube и Instagram). Взаимопонимание с руководством российских властей и сервисов, думаю, не является проблемой для Казахстана.

Вместе с тем я уверен, что выработанный подход продолжат использовать в гос и квазигос секторах, где эта мера оправдана и не вызовет никаких вопросов у населения. Тем более что там она уже внедрена и успешно работает пару лет. Возможно она распространится на служебные мобильные устройства, которые разрешат вносить в госорганы, где сейчас действует запрет.

Читайте также: Ставить или не ставить? Арман Абдрасилов о внедрении отечественных сертификатов безопасности

Смотрите также