/img/tv1.svg
RU KZ
Hang Seng 23 372,43 KASE 2 155,58
РТС 955,34 FTSE 100 5 510,33
DOW J 21 641,19 Алюминий 1 552,50
Сертификат безопасности: как это было

Сертификат безопасности: как это было

Проблемы с доступом в Интернет, опасения за информацию и пароли и судебные иски.

07 Август 2019 20:12 17649

Сертификат безопасности: как это было

Автор:

Елена Тумашова

Внедрение сертификата безопасности оказалось проверкой информационного пространства Казахстана на защищенность от внешних угроз. А заодно и своеобразным «стресс-тестированием» казахстанцев на толерантность к подобным инициативам государства, когда участникам теста не дается полная информация о том, что происходит и в какой роли они невольно оказались.

Пока длилось испытание, пользователи высказывали различные мнения, в том числе о возможной «тотальной слежке» со стороны государства и попытках ограничить Интернет в стране, и, конечно, опасались, что кто-то получит доступ к их персональным данным и паролям.

Те же, кто сертификат не устанавливал, столкнулись с проблемами доступа не только к некоторым соцсетям и сайтам, но и к почтовым и компьютерным программам, необходимым для работы.

Inbusiness.kz решил восстановить хронологию запуска этой инициативы, за три недели наделавшей столько шума и в конце концов оказавшейся просто тестом.

В середине июля жители Нур-Султана стали получать сообщения от операторов сотовой связи, в которых говорилось о необходимости установки пользователями на каждое свое электронное устройство, имеющее выход в Интернет, сертификата безопасности. Иначе могут возникнуть проблемы с доступом к некоторым интернет-ресурсам.

На сайтах мобильных операторов размещено описание того, что такое доверенный сертификат и зачем он нужен. Ключевое: Qaznet внедряется для защиты от хакеров, интернет-мошенников, киберугроз и противоправного контента. И, как написано на сайте Kcell, «в связи с участившимися случаями хищения персональных и учетных данных, а также денежных средств с банковских счетов казахстанцев».

Пользователи же, напротив, усомнились в защитных свойствах этого программного обеспечения и стали высказывать опасения, что «третья сторона» с его помощью получит доступ к персональным данным граждан. Такое же мнение высказывали и IT-специалисты.

19 июля вице-министр цифрового развития, инноваций и аэрокосмической промышленности Аблайхан Оспанов дал пояснения на пресс-конференции: внедрение сертификата безопасности в столице – это пилотный проект, по «результатам которого будет принято дальнейшее решение».

Законодательная норма об установке технического сертификата безопасности была принята еще в 2015 году, и провайдеры должны были представлять пользователям возможность устанавливать это ПО.

Устанавливать сертификат или нет – это выбор самого пользователя, давал тогда пояснения вице-министр, и он сам, как только получит СМС от мобильного оператора, воспользуется этим предложением.

Разработчиком сертификата безопасности оказалась Государственная техническая служба Комитета национальной безопасности.

Позже разъяснения давал министр цифрового развития, инноваций и аэрокосмической промышленности РК Аскар Жумагалиев.

Журналисты попросили его объяснить, зачем необходимо устанавливать сертификат, он ответил вопросом.

«Вот как вы думаете, детям полезно видеть в Интернете материалы, которые касаются экстремистского, террористического характера, порнографии, в конце концов?» – сказал министр.

И добавил: «Есть сегодня всякого рода ситуации, когда атаки на те или иные сайты происходят, какие-то вирусы. То есть вот этот сертификат безопасности вам будет помогать».

Министр тоже установил сертификат на свой смартфон, о чем стало известно на брифинге 26 июля.

Аскар Жумагалиев продемонстрировал журналистам гаджет и сообщил, что получил СМС и без проблем установил софт.

Вообще же государственные служащие, по его словам, используют этот сертификат безопасности уже полтора года. И за последний месяц инструмент позволил выявить более 8 млн фактов вирусной активности и защитить от 130 тыс. кибератак, которым подверглись государственные органы.

По поводу проблем с доступом к некоторым ресурсам в Сети глава ведомства сказал, что «работы по наладке оборудования, связанные с сертификатом безопасности, только начались» и что проблемы с доступом, которые могут возникнуть, будут временными.

Тогда же заместитель директора Государственной технической службы КНБ Зекен Исмаилов пояснил, что расшифровка зашифрованного трафика, которую, как говорилось в СМИ, позволяет делать этот сертификат, происходит в онлайн-режиме и применяется только к противоправному контенту.

«Грубо говоря, вашу переписку, историю посещений, страницу соцсети и пароли никто хранить не собирается. Есть список противоправного контента, он определен предписаниями уполномоченных органов и решениями судов», – сказал он.

2 августа комментарии дала и Генеральная прокуратура – в ответ на непрекращающиеся в обществе дискуссии о необходимости его установки, о возможной «слежке» и т. д.

«Генеральная прокуратура обращает внимание на то, что государство гарантирует соблюдение конституционных прав на неприкосновенность частной жизни, личной и семейной тайны, переписки, телефонных переговоров, сообщений. Их нарушение влечет ответственность, вплоть до уголовной», – говорилось в сообщении ведомства.

6 августа стало известно, что испытания сертификата безопасности закончились 7 августа.

КНБ сообщил в пресс-релизе, что тестирование применения сертификата безопасности завершено и в результате создана система по предотвращению киберугроз как в кибер-, так и в информационном пространстве. И в ближайшее время на официальном сайте будут размещены инструкции по удалению этого ПО с личных устройств.

Между тем юристы Алматы, Нур-Султана и Караганды подали судебные иски в отношении крупных мобильных операторов, которые, как посчитали юристы, обязывают абонентов устанавливать сертификаты безопасности.

Председатель Палаты юридических консультантов г. Нур-Султана Ануарбек Скаков прокомментировал для телеканала Atameken Business:

«Мы посчитали, что это нарушение наших прав, права на доступ к информации… Требуем, чтобы суд обязал прекратить данные действия со стороны сотовых операторов, чтобы они прекратили рассылать данные сообщения, требовать установки сертификата и ограничивать доступ к интернет-ресурсам».

Официальный ответ Beeline, распространенный 6 августа: «Компания не требует установить сертификат, а лишь информирует своих абонентов о данной операции. Оператор не является разработчиком этого сертификата и не ограничивает доступ пользователей связи к ресурсам Интернета».

7 августа пояснения дал Президент РК Касым-Жомарт Токаев.

«КНБ по моему поручению провел тестирование сертификата безопасности в рамках программы «Киберщит». Доказана защищенность информационного пространства Республики Казахстан и возможность использования сертификата только в случаях вторжения извне», – написал глава государства в Twitter.

Он отметил, что быстрое завершение тестирования «показало высокий уровень технической оснащенности на случай кибератак извне, ранее имевших место неоднократно».

«Главное – неудобств пользователям Интернета в Казахстане не будет. Все опасения не имеют оснований», – говорится в посте Президента, размещенном 6 августа в 11:31 в указанной выше соцсети.

Елена Тумашова

Смотрите и читайте inbusiness.kz в :

Киберпреступность: все под прицелом

Какие меры принимают государство и бизнес, чтобы отвести главную угрозу XXI века.

25 Октябрь 2019 15:42 10678

Киберпреступность: все под прицелом

О том, благодаря чему стране удалось добиться определенного успеха в защите от кибератак, а также о новых вызовах, расскажем более подробно в материале inbusiness.kz

Тем более на этой неделе Премьер-министр Аскар Мамин поделился хорошей новостью – Международный союз электросвязи повысил позицию Казахстана в Глобальном индексе кибербезопасности 2018 года до 40-го места, тогда как годом ранее он занимал 83-е.

Вирусы, спамы, фишинг – все это элементы атак, которым подвержены как обычные граждане, так и компании, и даже целые государства. Вспомнить хотя бы мартовский тотальный блэкаут в Венесуэле, ставший результатом кибератаки на ГЭС. Тогда вся (!) страна осталась без электричества, был не только нанесен колоссальный урон экономике страны, но и погибли люди в обесточенных больницах.

В Казахстане меры по кибербезопасности также принимаются на уровне государства. Так, глава Правительства рассказал о концепции «Киберщит Казахстана» участникам заседания, в числе которых были министр цифрового развития, инноваций и аэрокосмической промышленности Аскар Жумагалиев, замминистра внутренних дел Алексей Калайчиди, аккредитованные в Казахстане послы США, Канады, Нидерландов, Великобритании, поверенный в делах Европейского союза Рамунас Янушаускас, а также представители компаний Ericsson, Microsoft, Honeywell, Citibank и Mastercard.

Что такое «Киберщит Казахстана»?

В июне 2017 года Правительством РК была утверждена концепция кибербезопасности («Киберщит Казахстана»).

Реализация концепции включает в себя два этапа: первый этап – с 2017-го по 2018 год, второй этап – 2019-2022 годы.

Сейчас в рамках реализации «Щита» усовершенствована нормативно-правовая база, созданы Национальный координационный центр информационной безопасности и Совет по вопросам кибербезопасности.

«Для дальнейшего обеспечения положительной динамики необходимо приложить усилия для защиты нашей экономики от растущих угроз международной и местной киберпреступности. Согласно прогнозам Всемирного экономического форума, к 2022 году ущерб мировой экономике от киберпреступлений может превысить $8 трлн», – отметил Аскар Мамин.

Неделей раньше в южной столице прошло еще одно мероприятие, касающееся кибербезопасности, – конференция «Информационная безопасность бизнеса в Казахстане».

В ходе мероприятия были озвучены результаты опроса, проведенного международной антивирусной компанией ESET. Согласно результатам исследования, 93% компаний Казахстана сталкивались с внешними киберугрозами, с внутренними – 87%.

Наиболее распространенными для бизнеса угрозами стали спам (в мультивариативном опросе его отметили 79% респондентов), вредоносное ПО (66%), фишинг (25%), шифраторы (18%), корпоративный шпионаж (13%), DDoS-атаки (11%) и целевые атаки (10%).

Каждая десятая компания Казахстана пострадала от намеренных утечек корпоративных данных из-за действий сотрудников.

В ходе исследования также выяснилось, что 75% компаний боятся потерять свою финансовую информацию.

Неудивительно, что из-за актуальности информационной безопасности большинство компаний Казахстана так или иначе противодействуют киберугрозам. 96% респондентов используют антивирусные решения для защиты рабочих станций от вредоносных программ. 61% уделяют внимание контролю и обновлению ПО, 55% контролируют внешние устройства, подключаемые к корпоративной сети, а 23% выделяют критически важные сети.

При этом лишь 20% компаний проводят внешний аудит корпоративной сети на предмет устойчивости к киберугрозам. Также крупные компании внедряют системы защиты от DDoS-атак (16%) и системы DLP для предотвращения утечек информации (14%).

Уровень заражения кибервирусами в Казахстане составляет 8%. Если учесть, что в странах Европы, США и Японии он нулевой, то эти восемь процентов смотрятся уже не так оптимистично.

«Киберзащищенность Казахстана по сравнению с другими странами Центральной Азии, безусловно, лучше», – уверен руководитель отдела технического сопровождения продуктов и сервисов компании ESET Сергей Кузнецов. Но при этом он отметил, что 74% казахстанцев используют пиратский софт, но это – если говорить в целом про домашних пользователей и компании. А в соседнем Узбекистане, по словам Сергея Кузнецова, пиратский софт используют около 80% компаний.

Относительно перспектив развития безопасности эксперт считает, что тема кибербезопасности в Казахстане обсуждается регулярно и активно. «Дело даже не в вендорах, которые приезжают – Касперский или другие, а именно в государственном уровне принятия решений», – пояснил он.

О правильности действий государства сказал и Евгений Питолин, управляющий директор «Лаборатории Касперского» в Казахстане, странах Средней Азии и Монголии. «Государство делает много, но важна и ответственность общественности», – считает Питолин.

МСБ под атакой

К слову, по данным «Лаборатории Касперского», за первые семь месяцев этого года с атаками на мобильные телефоны столкнулись около 6% казахстанских пользователей. Кроме того, 58% казахстанцев подвергались атакам так называемых локальных угроз – тех, которые попадают на устройства не из Сети, а с различных съемных носителей, например, USB-накопителей.

Что не может не настораживать, так это информация о том, что киберпреступники все больше атакуют организации, в частности, малый и средний бизнес. Так, с января по июль этого года в Казахстане с киберугрозами из Интернета столкнулось 10% корпоративных пользователей, а с локальными преступниками – 39%.

4000 компаний были атакованы банковскими «троянцами» с целью кражи денег у юридических лиц. Злоумышленники действовали следующим образом: отправляли в компании зараженные документы под видом стандартных сообщений, например, от налоговой или об оплате дебиторской задолженности. Зараженный файл может быть также замаскирован и под обычное резюме. А кража средств происходит за счет подмены платежных поручений, которую в компании могут сразу не заметить.

В то время как государство и частные компании принимает различные и достаточно эффективные меры по киберзащите, одной из главных проблем, по мнению экспертов, является низкая цифровая грамотность обычных пользователей. Здесь и простые пароли от аккаунтов в соцсетях, и переходы по подозрительным ссылкам, и заполнение анкет с личными данными на незнакомых сайтах. Специалисты рекомендуют не пренебрегать базовыми правилами безопасности в Интернете и хотя бы проверять сообщения от незнакомых адресатов.

Тот же Евгений Касперский, приезжавший в Алматы пару месяцев назад, признался, что предпочитает пользоваться кнопочным телефоном, а страницу в Instagram ведет через чужой телефон. К слову, на той встрече он предложил несколько простых и базовых правил по киберзащите: проверять подлинность адреса отправителя письма и содержащейся в нем ссылки; не оставлять личных данных на подозрительных страницах и не скачивать программы и контент из неофициальных источников. Компаниям он рекомендовал время от времени проводить тренинги по повышению киберграмотности для сотрудников; обязательно делать резервное копирование и шифрование файлов для дополнительной защиты в случае утери устройства и утечки данных; регулярно обновлять программное обеспечение и выбирать подходящее решение для защиты бизнеса с простым управлением и проверенными функциями безопасности.

Ну а самой страшной угрозой эксперты называют атаки на стратегические объекты инфраструктуры.

Диана Даниярова​

Сертификат тотальной безопасности

От кого собирались защитить казахстанцев установкой сертификатов безопасности и стоит ли забыть про них после заявления КНБ о завершении тестирования?

16 Август 2019 14:48 6449

Сертификат тотальной безопасности

Для начала напомним: в середине июля жители столицы стали получать на свои мобильные телефоны сообщения с просьбой установить некий государственный сертификат безопасности – Qaznet Trust Network. Такая забота о кибербезопасности многим показалась несколько сомнительной. С какой стати вдруг мобильные операторы просят установить некое приложение, которое защитит от неизвестного контента?

А позже стало известно: идея установки сертификата исходит не от мобильных операторов.

«Нас попросили уполномоченные органы уведомлять абонентов Нур-Султана о необходимости установить сертификат безопасности»,рассказал руководитель службы по связям с общественностью «Tele2 Казахстан» Олжас Бибанов. По его словам, просьба касается лишь жителей столицы.

Kcell и Activ объяснили необходимость нового приложения подробнее:

«В связи с участившимися случаями хищения персональных и учетных данных, а также денежных средств с банковских счетов казахстанцев был внедрен сертификат безопасности… Внедрение сертификата безопасности поможет в области защиты информационных систем и данных, а также в выявлении хакерских кибератак интернет-мошенников на системы информационного пространства страны… В случае отсутствия сертификата безопасности на абонентских устройствах могут возникнуть технические ограничения с доступом к отдельным интернет-ресурсам».

Beeline отметил, что «есть требование законодательства, когда все устройства, которые выходят в Интернет, должны быть обеспечены сертификатом безопасности».

Странным было многое. Почему сертификат нужен только жителям столицы? Получается, кибербезопасность остального населения не важна. И совсем уж пугающим звучало «в случае отсутствия сертификата могут возникнуть ограничения с доступом к отдельным интернет-ресурсам». Причем многие астанинцы, кто не установил сертификат, действительно стали испытывать проблемы не только с доступом к некоторым сайтам, но и к соцсетям и мессенджерам.

Как тут не вспомнить ближайших соседей. В Китае доступ в Интернет контролирует система фильтрации трафика China’s Great Firewall. Это часть государственной системы безопасности Golden Shield Project (проект «Золотой щит»), позволяющая блокировать зарубежные сайты и фильтровать потенциально вредоносный контент.

К тому же отечественные специалисты заявили, что сертификат безопасности сможет контролировать весь трафик в стране и получить доступ к данным пользователей – переписке, паролям, истории поиска и посещения сайтов.

Солидарны с ними эксперты из-за рубежа. Так, профессор компьютерных наук, эксперт исследовательской группы Censored Planet Эрик Вустроу, уверен, что установка сертификата может повлечь за собой больше негативных последствий, чем позитивных, и не защищает от хакеров и онлайн-атак. Вместо этого сертификат позволяет видеть наши данные, наблюдать за нашим трафиком и потенциально изменять онлайн-информацию.

«Эта так называемая мера безопасности выглядит, скорее, как попытка правительства ужесточить цензуру и усилить возможности для слежки, – заявил директор правозащитного отдела Комитета по защите журналистов (CPJ) Кортни Радш.

Об этом же сказано в опубликованном документе экспертов из исследовательской группы Censored Planet при Мичиганском университете в США. Они протестировали сертификат и среди его функций отметили: вторжение в обмен данными между пользователями и веб-ресурсами, перехват трафика, модификацию контента и слежку.

Радоваться о прекращении тестирования сертификата преждевременно. Ведь, в своем сообщении КНБ отметил, что «применение сертификата безопасности в дальнейшем будет осуществляться при возникновении угрозы национальной безопасности». Правда, добавил, что делать это будут «с предварительным уведомлением граждан Республики Казахстан».

А пока наступило затишье, юристы во главе с Жангельды Сулеймановым подали иски к четырем операторам мобильной связи.

«Есть пробелы. В законе («О связи» ) не говорится ничего об абонентах. Но есть правила выдачи и применения сертификата безопасности. В них написано, что операторы обеспечивают распространение сертификатов среди абонентов. Выходит, что операторы обязаны просить, требовать установки. В случае противоречия между двумя правовыми актами различного уровня закон выше. Здесь будем разбираться», – отметил Сулейманов.

Об этом же законе напоминает и гражданский активист Бэлла Орынбетова:

«В стране в 2015 году приняли Закон «О связи». В нем говорится о сертификате. По-моему, необходимо внести поправки в закон и исключить это. В заявлении пресс-службы КНБ говорится, что применение сертификата безопасности в дальнейшем будет осуществляться при возникновении угрозы. Мы должны приложить усилия, для того чтобы поставить точку в этом вопросе».

Практически такое же мнение высказал IT-специалист Райымбек Егембердиев в интервью СМИ:

«Пока не изменится Закон «О связи», никакой гарантии нет, что сертификаты не попытаются внедрить еще раз. Кроме того, немного не понятно, что будет дальше, на какое время отодвигаются сроки внедрения сертификата. В 2016 году уже были такие попытки. Спустя три года снова попытались внедрить».

Так что радоваться приостановке сертификата Qaznet Trust Network рано. Пока не будут внесены поправки в Закон «О связи», настойчивые просьбы установить сертификат безопасности могут повторяться. А вместе с ним будет попираться право на неприкосновенность частной жизни, гарантированное Конституцией РК (статья 18).

Страны, в которых контролируют Интернет:

– В Китае действует система «Золотой щит», блокирующая многие сайты. Поднебесной недоступны все сервисы Google, а также Instagram, Twitter, WhatsApp, Pinterest, Facebook, Tinder, Netflix и многие другие. Зачастую блокировке подвергаются западные издания, такие как The New York Times, The Wall Street Journal, The Economist, The Independent, LeMonde, Financial Times, Bloomberg и Reuters.

– В Индии Интернет фильтруется с помощью системы NETRA, которая была создана организацией оборонных исследований и разработок. Система находится под контролем разведбюро Индии и направлена на противодействие терроризму. В августе 2018 года правительство Индии в рамках борьбы с дезинформацией рассматривало возможность блокировки Facebook, Instagram, WhatsApp и Telegram, но инициатива не была реализована.

– В Северной Корее фактически нет Интернета. Он доступен лишь нескольким процентам населения: спецслужбам, некоторым высшим чиновникам и научным работникам. Их деятельность в Интернете находится под контролем.

Интернет в КНДР заменяет внутренняя сеть «Кванмён», полностью изолированная от внешнего мира. Специальное ведомство копирует сайты из настоящего Интернета, подвергает их цензуре и выгружает в «Кванмён». А большая часть контента «Кванмён» – это материалы, восхваляющие правительство КНДР и пропагандирующие чучхе.

– В Иране правительство активно занимается фильтрацией контента, не соответствующего госидеологии. Помимо этого, Интернет регулируется религиозными соображениями. Каждый провайдер в Иране должен получить одобрение как Телекоммуникационной компании Ирана (TCI), так и Министерства культуры и исламской ориентации. Провайдеры обязаны устанавливать программное обеспечение для фильтрации интернет-контента и электронной почты.

– В Туркменистане заблокированы большинство известных международных сервисов. В стране существует единственный государственный провайдер – «Туркментелеком», который и занимается цензурой.

Стоит отметить, что многие страны, такие как Турция, Пакистан, Вьетнам, Венесуэла, время от времени глушат различные сайты и соцсети (Facebook, Twitter), преимущественно западные.

Диана Даниярова

Смотрите и читайте inbusiness.kz в :

Подписка на новости: