Ставить или не ставить? Арман Абдрасилов о внедрении отечественных сертификатов безопасности
Казахстанские провайдеры требуют от своих клиентов устанавливать специальный сертификат — в целях защиты от киберугроз. Но некоторые представители IT-сообщества считают, что единственная цель нововведения — это перехват https-трафика и блокировка отдельных веб-страниц. В сообщениях, рассылаемых операторами связи, сказано, что без сертификата у абонента не будет возможности пользоваться некоторыми интернет-ресурсами.
Чтобы прояснить ситуацию, мы связались с директором Центра анализа и расследований кибератак (ЦАРКА) Арманом Абдрасиловым. По его словам, сертификаты распространяемые провайдерами — безопасны, а их единственное назначение — помочь отечественным правоохранительным органам делать свою работу. Благодаря сертификатам, полиции и спецслужбам будет проще получать доступ к информации злоумышленников (деанонимизация террористов и преступников). Разумеется, признает специалист, метод такого прямого вмешательства будет не популярен у населения, но не стоит забывать, что Казахстан чаще всего лишен возможности обратиться к Facebook или WhatsApp напрямую. Теперь же не придется надеяться на сотрудничество коллег из-за океана.
Другой вопрос в том, не попадут ли ключи к сертификату в руки злоумышленников? На фоне скандалов с утечками личных данных казахстанцев в публичный доступ, проблема как никогда актуальна. Директор ЦАРКА считает, что во избежание подобных ситуаций внедрение сертификатов должно проходить под общественным контролем. Специалисты из Центра анализа и расследований кибератак предложили государственным органам свою помощью в соблюдении всех норм безопасности.
Ранее в социальный сети Facebook появилась новость о том, что сайт, распространяющий новые сертификаты, не входит в доменную зону gov и принадлежит частному лицу — Аскару Дюсекееву, адрес проживания которого совпадает с адресом Дома Министерств в Нур-Султане. По словам Армана Абдрасилова, вероятно, это сотрудник министерства, который занимался приобретением сайта для размещения на нем сертификата. В дальнейшим, считает спикер, ресурс скорей всего зарегистрируют на юридическое лицо.
Вице-министр цифрового развития, инноваций и аэрокосмической промышленности заявил, что внедрения сертификата проходит в режиме пилотного проекта и только в столице, и никто не принуждает граждан устанавливать его. Пока что.
“Сегодня это добровольно. Вам предоставляют такую возможность, по желанию можете установить или не устанавливать", - сообщил вице-министр цифрового развития, инноваций и аэрокосмической промышленности Аблайхан Оспанов.