Сарсаңға түсірген қауіпсіздік сертификаты
Сарсаңға түсірген қауіпсіздік сертификаты

Өткен аптада елордалық тұрғындар интернет бай­ланысының нашарлап кеткенін, әсіресе әлеуметтік желілерге қатысты проблема туындап жатқанын айтты. Сөйтсе, 6 желтоқсанда Нұр-Сұлтанда ірі кибержаттығу ұйымдастырылған екен. Былтыр басталған қауіпсіздік сертификаты туралы әңгіме биыл да жалғасын тапты. ҰҚК өкілдері «жасайтын тәжірибе жасалды, енді сертификатты өшіре беруге болады. Бірақ құрыл­ғыларыңызда тұра бергені тіпті жақсы» деп отыр.  

Кибержаттығу қалай өтті?

Әлгі кибержаттығу жайлы тү­сіндіре кетейік. 6 желтоқсанда ел тарихында тұңғыш рет осындай іс-шара өтті. Бір күн бойы ха­керлер eGov порталын, мем­ле­кеттік органдардың сайттарын бұзуға әрекет жасап, әлеуметтік желіде түрлі фейк таратты. Псев­дохакерлер рөлінде Киберша­буылдарды зерттеу және талдау орталығының мамандары болса, қорғаушылар – Ұлттық қауіпсіздік комитеті мен мемлекеттік техни­калық қызмет. Иә, бәрі қолдан жасалып, алдын ала жоспарланған. Әрине, мұндай тексеріс келешек үшін қажет. Болашақта осындай жағдай шынымен бола қалса, қан­дай реакция таныту керек, кибер­шабуылдарға қаншалықты төтеп бере алатынымызды бағам­дауға жақсы амал. Бас қала тұрғындарына жат­­т­ы­ғудан бірнеше күн бұрын ұялы телефондарына ұлттық қауіп­сіздік сертификатын орнатуға ұсыныс жасалған мәтіні бар хат тараған. Егер телефонға әлгі сертификатты жүктемесе, ше­телдік сайттарға кі­ре алмай қа­лады. Сөйтіп, жат­тығу күні шынында Google, Facebook, YouTube, Instagram сияқты сер­вистерде ақау көп байқалды. Көбі шағымданды. Тіпті, кей мектептер дүйсенбі таңертең өте­тін онлайн сабақтарды кейінге ше­геруге мәжбүр болды. Себебі оқу плат­формалары жексенбіде ашыл­май қалған. Интернетке қа­тысты ақау ертеңіне бір қалыпқа келді. Кейін осыған байланысты арнайы брифинг өтіп, түсіндірме жасалды. ҰҚК-нің Ақпараттық қауіпсіздік департаменті өкілдері жаттығу біткенін, енді қауіпсіздік серти­фикатын өшіре беруге бола­тынын айтқан. Кибер­жаттығулар енді адамдардың қа­тысуынсыз жалғаса береді екен. Оның қандай нәтиже беретіні де алда белгілі бола жатар.

Сертификат қалсын ба, ағайын?

Бірақ бізге қызық көрінгені, Ақпараттық қауіпсіздік депар­та­менті директорының орын­басары Ғалымбек Тәтеновтың мына сөзі: «Қалай болған күннің өзінде қауіпсіздік сертификатын жүктеп алу­ға кеңес береміз. Егер осындай жағдай тағы бола қалса, қайта ора­лып жүргенше, қазір жүктеп алған жөн. Әрі сертификат тұрса, заңға қайшы сайттар өздігімен бұғат­талып тұрады. Өзіме жүктеп ал­дым, өшіретін ойым жоқ». Есіңіз­де болса, былтыр осы тақырып талқыға түскенде ұлттық қауіп­сіздік сертификатының сенімді екеніне, сонымен қатар жеке мәлі­меттерге қол сал­май­тынына қа­тысты күмән көп болған. Көп­шіліктің өзіне серти­фикат орна­туға қарсы шыққан себебі – қауіп­сіздік сертификатын жүк­теуге қинағаны. Яғни, «егер сертификат болмаса, шетелдік сайттарға кіре алмайсыз, сон­дықтан сізде басқа таңдау жоқ» деген месседж бай­қалған. Дегенмен шенеуніктер қауіп­сіздік сертификатының қаза­стан­дықтардың жеке деректерін жина­майтынын айтып отыр. Яғни, банк картасының құпиясөзі, элек­тронды поштасының паролі деген сияқты мәліметтерді ал­майды-мыс. Демек, сөздеріне сен­сек, сіздің жеке мәліметіңіз желіге ешқашан «жүзіп» кетпейді деп сендіріп отыр. Сендіру тұрмақ, сөз берді десек дұрыс болар. «Сөзімізге жауап береміз. Қауіп­сіздік сертификаты жүйесіндегі барлық ақпараттың қауіпсіздігін қамтамасыз ету үшін қолдан кел­ген шараның бәрін қолда­намыз» деген еді Цифрлық даму, инно­вациялар және аэроғарыш өнер­кәсібі министрлігінің Ақпараттық қауіпсіздік жөніндегі комитетінің төрағасы Руслан Әбдіқалықов.

Сәтсіз бастамалар сабақ бола ма?

 Былтыр жазда осы тақырып қызу талқыға түскенде «Қауіп­сіздік сертификаты: Қорған ба, қора ма?» деген тақырыппен са­раптама әзірлегенбіз. Араға жыл салып, алдымыздан осы мәселе қайта шықты. Ендеше жалпы ұлттық қауіпсіздік сертифи­кат­тарын орнатуға өзге елдер қалай қарайтынын талдап көрсек. Қан­шалықты жемісті жүзеге асқан? Мысалы, ең алғашқы осындай бастама он жыл бұрын қолға алынған. 2011 жылы аталған сер­ти­фикатты орнатуды Гол­ландия бастаған. Барлық мемлекеттік құрылымға DigiNotar атты ком­пания сертификат қояды. Ша­малы уақыттан соң оны хакерлер бұзып алып, серти­фикатта болған барлық ақпарат қолды болған. Артынша әр департаменттің өзі­нің ішінде қауіпсіздік депар­таменттері пайда болып, әлгі идея сәтсіз аяқталған. Тағы бір мысал кел­тірсек, осыған ұқсас жағдай Иран­да болған. Олар да сол жылдары серти­фикат қояды. Сөй­тіп, үш айдан кейін ол да Голлан­дия­дағыдай қолды болады. Тіпті, 300 мыңға жуық mail-аккаунттың логині мен паролі бүкіл әлемге жария болған. Біздің мемлекеттік органдар ұсынып отырған серти­фикаттың қауіпсіздікті қамта­масыз ете алмайтынын, сонымен бірге жалпақ жұртқа қауіп ту­дыратынын Қазақстанның интер­нет қауымдастығы пре­зиденті Шавкат Сабыров айтып отыр. Оның айтуынша, аталған идея түкке тұрғысыз. «Ұлттық масш­табта мұндай серти­фикаттарды орнатудың қауіпсіз емесін бүкіл әлем мойындап отыр. Бұл жерде үш негізгі пунктті атап өтуге бо­лады. Біріншіден, оны бұзып тастауы мүмкін. Екіншіден, жеке де­ректер мемлекеттің қолына өтуі ғажап емес. Үшіншісі, мәлімет­терді үшінші тұлғаларға сатуы мүмкін», – дейді Сабыров.

Жеке деректер желіде «жүзіп» жүрмесін

 Ал ақпараттық қауіпсіздік саласының маманы Ерсұлтан Ер-мағамбетов болса, сертификаттың соншалықты қауіпті емес екенін айтып отыр. «Қазір әлеуметтік желілер мен мессенджерлер өмі­ріміздің ажырамас бөлігіне айна­лып келеді. Бәрі электронды ре­жимге жылжып бара жатыр. Бірақ бұл сала қанша қарқынды дамып, адам өмірін жеңіл­деткенімен, кейде қолайсыз жақтары да орын алып жатады. Кибершабуылдар, вирустар, трояндар, ғаламтор құрттары сияқты жағдайлар қазір бізде де күрделі проблемалардың бірі. Отандық IT мамандар бұл проблемалармен күресу жолдарын қарастырып, тынбай еңбек етіп жатыр. Соңғы шыққан жаңалық қауіпсіздік сертификаты – жақсы ойластырылған қорғаныс меха­низмі. Себебі ғаламтор желісінде әртүрлі сайт пен сервис 100% сенімді емес. Үйдегі компьютерге немесе ірі компанияның кор­поративтік желісіне бұл зиянкес бағдарламалар моральдық және материалдық шығынға әкелуі мүмкін» деп ойын білдірді ІТ-маманы. Сонымен бірге банк карта­сының құпиясөзі не басқа да құ­пия мәліметтердің келесі біреуге берілуіне қатысты Ермағамбетов былай дейді: «Қауіпсіздік сер­тификаты HTTPS шифрлау про­токолын пайдаланып, бірақ тек Қазақстан Республикасының заңнамасы бұзылған немесе бел­гілі бір интернет-ресурсқа және қызметке ғана қолданылатын бар­­лық интернет-ресурсқа қол­данылмайды. Сонымен қатар бұл қауіпсіздік сертификаты WhatsApp, Telegram, Viber үшін басқа криптографиялық тех­ноло­гия­ларды қолданып, қызметтерге қолданылмайды немесе шифр­­ланбайды. Қауіпсіздік сертифи­каты еліміздің уәкілетті орган­дарының, елдің аумағынан заңсыз ақпаратқа қол жеткізуді алып тас­­тау немесе шектеу туралы заң­ды талаптарын қамтамасыз ету функциясын орындайды. Бұдан басқа, қауіпсіздік туралы куәлік сізге ресурстарға тұтастай емес, әртүрлі интернет-ресурстағы жеке шоттарға кіруді блоктауға мүм­кіндік береді. Басқаша айтқанда, егер Facebook қолданушылары ел заңнамасын бұзса, сертификат қазақстандық пайдаланушыларға тұтастай алғанда Facebook-ке емес, өзінің бетіне қол жеткізуге мүм­кіндік береді». Айтпақшы, брифингте Әбді­қалықовтың байқаусызда айтып қал­ған мына сөзі естен кетпейді. 2019 жылы Google, Mozilla және Apple сынды интернет-ком­па­ниялар неліктен біздің серти­фи­катты бұғаттағаны туралы сұ­рақ­қа, ол «Біздің мемлекет NATO елде­рінің емес, Ұжымдық қауіп­сіздік туралы шарт ұйымының қатарында. Саяси сенімсіздік танытып отырғандары себеп. Өйт­кені ешкім біздің арнайы қыз­меттің шетелдікіндей тиімді жұ­мыс істегенін қаламайды. Бұл механизмдерді ойлап тапқан біз емес. Бар болғаны біз басқаларға қарадық. Бізде үнемі екіжақты стандарт болады. Мысалы, әлде­кім сертификат орнатса, оныкі дұрыс, демократияның белгісі дейді. Ал енді басқа бір ел осыны қолға алса, «олай етуге болмайды» деп шығады» деген еді. Бұл жерде қауіпсіздік сертификаттарын ор­нату министрліктің қолайына келеді деген сыңай байқалып қал­ғандай болды. Әлбетте, кейін шенеуніктің айтқанына байла­нысты министрлік «Ол сөз ми­нистрлік ұстанымын білдір­мей­ді», – деді. Қалай десек те, тә­жірибе жасалды, жаттығу өтті. Пре­зиденттің «Киберқалқан» бағ­­дарламасы аясында берілген тапсырмасы екенін де түсіндік. Әйтсе де, қалқан қыламыз деп жүргенде «қораға» кіріп кетпесек болғаны.

Жадыра АҚҚАЙЫР