Группа правозащитников и экспертов по цифровым правам и свободам выразила озабоченность инициативой государства по внедрению сертификата безопасности на личные устройства казахстанцев, имеющие выход в интернет.
В начале декабря многие абоненты получили сообщение от операторов связи. Их уведомляли необходимости установки на их устройствах сертификата безопасности в рамках учений «Кибербезопасность Нур-Султан 2020».
По закону «О связи» сертификат безопасности – это набор электронных цифровых символов, применяемый для пропуска трафика, содержащего протоколы, поддерживающие шифрование. Порядок выдачи и применения сертификатов безопасности определяет Комитет национальной безопасности РК.
По официальной информации сертификат безопасности устанавливается в рамках законодательства в целях ограничения распространения по сети телекоммуникаций информации, запрещенной вступившим в законную силу решением суда или законами Республики Казахстан.
Однако на брифинге по итогам прошедших учений один из спикеров, представитель РГП ГТС КНБ Рамиль Бектемиров, признал использование в казахстанском сертификате технологии man-in-the-middle или MITM («человек посередине, посредник» — в этих случаях вместо прямой связи между вашим браузером и конечным сайтом возникает связь через третью сторону, которая получает доступ к данным).
«Данный метод представляет собой инструмент слежки, потому что с установкой такого сертификата весь исходящий и входящий трафик на личных устройствах, включая историю поиска в браузерах, переписку в социальных сетях и мессенджерах, вводимые пароли, данные банковских аккаунтов, может стать доступен «лицу посередине» — органам нацбезопасности и другим «посредникам»», — сообщили правозащитники на своей странице в Facebook.
Кроме этого, доступ к «неблагонадежным» по мнению госорганов иностранным сайтам, которые в большом количестве и по различным основаниям ограничиваются в Казахстане сейчас и, чаще, без решений судов, будет в принципе невозможен.
«Настораживает также секретность, которая окружает внедрение сертификата государством. Открывающийся с его установкой доступ государства к информационному трафику с личных устройств пользователей мобильного интернета дает широкие возможности для манипуляций, цензуры и злоупотреблений со стороны представителей власти. Более того, установка данного сертификата может представлять из себя угрозу кибербезопасности граждан – взлом или «дыра» в сертификате приведет к уязвимости данных на устройствах, где он установлен», — поясняют специалисты.
Хотя отказ установить сертификат на своем устройстве не будет, по уверению представителей власти, преследоваться по закону, он станет необходимым условием доступа к мобильной связи каждого абонента, пользующегося услугами казахстанских операторов мобильной связи. Законом «О связи» и Правилами выдачи и применения сертификата безопасности операторы связи обязаны распространить сертификат среди своих абонентов и внести соответствующие изменения в условия предоставления услуги. В этом случае отказаться от установки будет уже невозможно. Обычному пользователю придется установить сертификат на свое личное устройство для доступа в интернет.
«Мы считаем, что данная инициатива нарушает права человека, гарантированные Международным пактом о гражданских и политических правах и Конституцией Республики Казахстан, а именно нарушает право на неприкосновенность частной жизни, включая на тайну переписки, создает угрозу для свободы выражения мнений, включая право свободно искать, получать и распространять информацию и создает возможность для широкой онлайн-цензуры, обоснованной не просто соображениями безопасности. Также сама секретность процедуры внедрения такого сертификата может быть расценена как ограничение права граждан на доступ к управлению делами государства. Мы опасаемся за наши с вами свободы и свободу интернета, не хотим массовой тотальной слежки за собой, и не хотим такого будущего нашей стране», — обратились к казахстанцам правозащитники.
К слову, летом прошлого года попытка внедрения сертификата национальной безопасности Qaznet Trust Network на мобильных устройствах жителей Астаны встретила негодование не только казахстанских и международных правозащитников, но и таких интернет-гигантов как Apple, Alphabet Inc. (Google) и Mozilla, которые сочли эту инициативу способом «шпионажа» за гражданами, «инструментом перехвата» зашифрованного интернет-трафика, способным скомпрометировать данные интернет-пользователей. Apple, Google и Mozilla заявили, что будут блокировать сертификат безопасности на своих платформах.
Вскоре Президент Казахстана Касым-Жомарт Токаев в своем сообщении в Twitter заверил казахстанцев, что «защищенность информационного пространства РК доказана» и что впредь сертификат будет использоваться исключительно в случаях вторжения извне.
