"Кибершабуылдарды талдау және тергеу орталығы" мамандары осындай байламға келген.
Ұялы операторлар елордалық абоненттеріне "хакерлік және басқа да кибершабуылдарды болдырмау бойынша іс-шаралардың жүргізілуіне байланысты қауіпсіздік сертификатын орнату қажет" деген SMS-хабарламалар жолдауда. Онда Интернетке шыға алатын әрбір абоненттік құрылғыға – смартфон, планшет, ноутбуктарға және өзгелеріне сертификат орнату сұралады. Сондай-ақ қауіпсіздік сертификаты жоқ құрылғылар интернет-ресурстарға қолжетімділік жөнінен проблемаға ұшырауы мүмкіндігі ескертіледі.
Осының алдында цифрлық даму, қорғаныс және аэроғарыш өнеркәсібінің вице-министрі Абылайхан Оспанов бұл ерікті шара екенін және оны орнатпауға да болатынын айтқанымен, онысы жоқ құрылғылар қауіпсіздіктен айырылатынын айтып, үрейлендіріп те қойды.
Сарапшылар сертификаты жоқ құрылғылар ғаламторға шығудан қиындық көруі ықтималдығын жоққа шығармайды. Киберқылмыстардың алдын алу және талдау, еліміздегі ақпараттық қауіпсіздік инфрақұрылымын дамыту, киберинциденттерге шұғыл әрекет ету үшін құрылған ІТ-саласы заңды тұлғаларының бірлестігі – "Кибершабуылдарды талдау және тергеу орталығы" (КТТО) сонымен бірге, мемлекеттік органдарда осы арқылы азаматтардың хат алмасуына қол жеткізу мүмкіндігі пайда болады деген пікірде.
Айта кетер жайт, отандық ұялы операторлар шетелдік емес, отандық Qaznet Trust Network сертификатын орнатуды сұрап отыр. Осы арқылы азаматтар хакерлік шабуылдардан қорғалып қана қоймай, сондай-ақ заңға қайшы контентті қараудан да шеттетіледі деп күтілуде.
КТТО директоры Арман Әбдірасыловтың байламынша, ұлттық сертификатты орнату бірінші кезекте, меморгандардың Қазақстандағы трафикті дешифрлауына жол ашады.
"Әрине, билікте қазақстандықтардың өзара жазысқан хатын оқуға мүмкіндік пайда болады. Бұл лаңкестікпен, қылмыспен тиімді күрес үшін керек. Бірақ азаматтарды мұның бәрі қаншалықты заңды жүретіні алаңдатады. Өйткені билікке де, құқық қорғау органдарына да сенім аз. Айталық, лаңкестер террорлық актіге әзірленіп жатыр делік, олар WhatsApp немесе Facebook арқылы хат алмасуда. Олардың хаттарына қалай толық қол жеткізуге болады? Ең қарапайым жолы – WhatsApp бас кеңсесіне хабарласып, белгілі бір адамдардың хаттарының көшірмелерін беруді сұрау. Бірақ олар өз беделін ойлап, клиенттерінің құпиясын ашудан бас тартады немесе созбалаңға салады. Қазіргі кезде өзге елдерді араластырмай, бұл міндетті өз бетінше шешудің төл құралы Қазақстанда жоқ. Сондықтан осындай мәселелерге арналған ұлттық техникалық тетіктер пайда болуы үшін амалсыз, халыққа жақпайтын тәсілдерді қолдануға мәжбүр", – дейді Арман Әбдірасылов.
Оның айтуынша, қауіпсіздік сертификатын орнату нәтижесінде билікте трафикті дешифрлау және анонимділікті жою мүмкіндіктері пайда болады.
"Бүкіл трафик мұқият шифрландырылған. Алайда оны бұзып кіретін жергілікті құрал пайда болмақ. Біз қазір онсыз да браузерге "по умолчанию", яғни "үнсіз келісім бойынша" орнатылған сертификаттарды пайдаланамыз. Құрылғыны шығарушы жаһандық өндірушілер соларға сенім білдірген. Ол сертификаттардың иелері – Еуропада, озық елдерде орналасқан куәландырушы орталықтар. Шифрлау кілтіне де тек сол иелері ғана қол жеткізеді, тиісінше, Қазақстан кілттерді ала алмайды. Салдарынан, ұлттық құқық қорғау органдары пәрменсіз болып шығады", – дейді орталық басшысы.
Маман мәліметінше, ұсынылып отырған қазақстандық сертификат "сенім білдірілгендер" тізіміне енгізілмеген. Сол себепті "қауіпсіз емес" деген анықтауыш берілген. Оны сенім білдірген сертификаттар қатарына қосу үшін Microsoft-пен келіссөздер жүргізілуге тиіс. Бірақ ол жағдайда Майкрософт Қазақстан Үкіметіне өз талаптарын таңады.
"Осылайша, қазақстандық сертификат "үнсіз келісім бойынша" орнатылатын жүйесіне қосылмаған. Сондықтан да ұялы операторлар абоненттен көрсетілген сілтеме арқылы өтіп, оны қолмен орнатуды талап етуде. Яғни, "сертификатты орнату" нүктесін басу арқылы қазақстандық қауіпсіздік сертификатын сіз өзіңіз сенім білдірген сертификатқа айналдырасыз. Рас, сертификатты жаппай орнатып шығу құқық қорғау органдарының қылмыстарға лайықты үн қатуына шынымен мүмкіндік береді. Бірақ бар проблема халықтың оларға сенімінің жоқтығына тіреледі", – дейді Арман Әбдірасылов.
Яғни, екіұшты сөйлемей, немесе жоққа шығара бермей, отандық құқық қорғау органдары шифр кілттерін қалай пайдалатындарын және қандай қолда болатынын ашық түсіндіргені жөн. Бұл азаматтардың сенімін арттырады. Өйткені қазақстандықтарға қатысты шифрлау кілттері әлдебір шетелдік комипанияда немесе жатжұртта емес, өз мемлекетімізде болады.
Сарапшылар бұл науқан бәрібір жүзеге асырылатынына сенімді. Өйткені "Байланыс туралы" заңда ұлттық түбірлі қауіпсіздік сертификаттары орнатылуға тиістігі бекітілген.
"Дегенмен түбірлі сертификаттар орнатуға қатысты барлық ұқсас тәжірибелер сәтсіздікке ұшырады. Мұны бүкіл әлем мойындады. Егер әлдебір себеп бойынша бұл сертификат ұрланса немесе сырттан бұзылса, осы сертификат қолданатын барлық деректер, бір елдегі азаматтар туралы барлық ақпарат тегіс қаскүнемдердің қолына түседі", – деп алаңдаушылық білдіреді интернет-қауымдастық президенті Шавкат Сабыров.
Белгілі ІТ-маман Ерлан Оспанов қауіпсіздік сертификатына қатысты жағдайды қарапайым тілмен түсіндірді.
"Біз бәріміз күнде ашық алаңда сөйлесуге мәжбүрміз делік. Сыбырласуға мүмкіндік жоқ. Тек бірі-бірімізден 10 метр қашықтықтан айқайлап сөйлесе аламыз. Бәріміз қазақша сөйлескендіктен, құпия ештеңе айта алмаймыз. Бірақ құпия сөйлесу қажеті бар. Мысалы, мен ар жақтағы адамға пәлен жерде тығып қойған алтынымды әкеліп берші дегім келеді. Алайда, естіп қалғандардың бәрі лап қойса — құрыдым ғой! Содан амал табамыз. Мен ар жақтағы адаммен алдын ала келісемін. Алтынды ендігәрі "нан" деп айтайық деймін. Әкел дегенді "апар" деп айтайық деймін. Тағысы тағылар. Содан ертеңіне жұрттың көзінше "ей, нан апарып тасташы!" деймін, ол болса — маған алтын алып келеді! Оны бәрі көреді. Ендеше құпия да осы жерде ашылды! Бізді естіген жұрттың нан дегеніміз — алтын, әкел дегеніміз — апар екеніне көзі тез жетеді", – дейді ол.
Әйтсе де, шифрдің жауы – заңдылық.
"Егер мен екінші күні де "нан апаршы" дегенде ол тағы алтын әкелсе, қарақшылар қанжарын сайлай береді. Ендеше мен серіктесіммен енді басқаша белгі беру жүйесін жасаймын. Оң аяғымды көтерсем – алтын, сол көзімді қыссам – әкел дегенім деймін. Кездескен сайын өзгертіп отырамыз. Қауіпсіздік сертификаттары да солай. Сіз электронды поштаға не онлайн-банкингке кіргенде, сервер мен сіздің жабдығыңыздың арасында уақытша белгілер жүйесі орнайды. Сондықтан сіздің логиніңіз бен құпиясөзіңізді ортадағы телеком-делдалдар оқи алмайды. Әр қосылыс (сессия) сайын сіз жаңа тілде сөйлесіп жатқан сияқты боласыздар. Оқи алмағанда қалай. Оқуы да мүмкін, айталық, шифрді шешуге қазіргі ең күшті компьютерді қойса, кемі 400 жыл кетеді деген есеп-қисап бар. Ал төрт ғасырдан кейін ол құпия ешкімге керек емес. Енді бізге қазір qca.kz сайтындағы сертификатты орнату арқылы тура "көзімізше сөйлесе беріңдер" деп отыр. Енді бұзылған пошта, шоттан жоғалған ақша, көңілдеспен алмасқан жүрекжарды лебіздер эрасына қадам басқан емес, нағыз ортасына секіріп түсеміз. Осы жаңалық органдардан бұрын хакерлерге үлкен сыйлық деуге болады. Мысал дөрекі, нюанстары көп. Дегенмен шамасы осы", – дейді Ердан Оспан.
Халықтың және сарапшылардың алаңдаушылығын басу үшін вице-министрдің шағын мәлімдемесі аздық етеді. Биліктің халыққа толымдырақ жауап қатқаны маңызды.
Жанат Ардақ