Өткен аптада елордалық тұрғындар интернет байланысының нашарлап кеткенін, әсіресе әлеуметтік желілерге қатысты проблема туындап жатқанын айтты. Сөйтсе, 6 желтоқсанда Нұр-Сұлтанда ірі кибержаттығу ұйымдастырылған екен. Былтыр басталған қауіпсіздік сертификаты туралы әңгіме биыл да жалғасын тапты. ҰҚК өкілдері «жасайтын тәжірибе жасалды, енді сертификатты өшіре беруге болады. Бірақ құрылғыларыңызда тұра бергені тіпті жақсы» деп отыр.
Кибержаттығу қалай өтті?
Әлгі кибержаттығу жайлы түсіндіре кетейік. 6 желтоқсанда ел тарихында тұңғыш рет осындай іс-шара өтті. Бір күн бойы хакерлер eGov порталын, мемлекеттік органдардың сайттарын бұзуға әрекет жасап, әлеуметтік желіде түрлі фейк таратты. Псевдохакерлер рөлінде Кибершабуылдарды зерттеу және талдау орталығының мамандары болса, қорғаушылар – Ұлттық қауіпсіздік комитеті мен мемлекеттік техникалық қызмет. Иә, бәрі қолдан жасалып, алдын ала жоспарланған. Әрине, мұндай тексеріс келешек үшін қажет. Болашақта осындай жағдай шынымен бола қалса, қандай реакция таныту керек, кибершабуылдарға қаншалықты төтеп бере алатынымызды бағамдауға жақсы амал. Бас қала тұрғындарына жаттығудан бірнеше күн бұрын ұялы телефондарына ұлттық қауіпсіздік сертификатын орнатуға ұсыныс жасалған мәтіні бар хат тараған. Егер телефонға әлгі сертификатты жүктемесе, шетелдік сайттарға кіре алмай қалады. Сөйтіп, жаттығу күні шынында Google, Facebook, YouTube, Instagram сияқты сервистерде ақау көп байқалды. Көбі шағымданды. Тіпті, кей мектептер дүйсенбі таңертең өтетін онлайн сабақтарды кейінге шегеруге мәжбүр болды. Себебі оқу платформалары жексенбіде ашылмай қалған. Интернетке қатысты ақау ертеңіне бір қалыпқа келді. Кейін осыған байланысты арнайы брифинг өтіп, түсіндірме жасалды. ҰҚК-нің Ақпараттық қауіпсіздік департаменті өкілдері жаттығу біткенін, енді қауіпсіздік сертификатын өшіре беруге болатынын айтқан. Кибержаттығулар енді адамдардың қатысуынсыз жалғаса береді екен. Оның қандай нәтиже беретіні де алда белгілі бола жатар.Сертификат қалсын ба, ағайын?
Бірақ бізге қызық көрінгені, Ақпараттық қауіпсіздік департаменті директорының орынбасары Ғалымбек Тәтеновтың мына сөзі: «Қалай болған күннің өзінде қауіпсіздік сертификатын жүктеп алуға кеңес береміз. Егер осындай жағдай тағы бола қалса, қайта оралып жүргенше, қазір жүктеп алған жөн. Әрі сертификат тұрса, заңға қайшы сайттар өздігімен бұғатталып тұрады. Өзіме жүктеп алдым, өшіретін ойым жоқ». Есіңізде болса, былтыр осы тақырып талқыға түскенде ұлттық қауіпсіздік сертификатының сенімді екеніне, сонымен қатар жеке мәліметтерге қол салмайтынына қатысты күмән көп болған. Көпшіліктің өзіне сертификат орнатуға қарсы шыққан себебі – қауіпсіздік сертификатын жүктеуге қинағаны. Яғни, «егер сертификат болмаса, шетелдік сайттарға кіре алмайсыз, сондықтан сізде басқа таңдау жоқ» деген месседж байқалған. Дегенмен шенеуніктер қауіпсіздік сертификатының қазастандықтардың жеке деректерін жинамайтынын айтып отыр. Яғни, банк картасының құпиясөзі, электронды поштасының паролі деген сияқты мәліметтерді алмайды-мыс. Демек, сөздеріне сенсек, сіздің жеке мәліметіңіз желіге ешқашан «жүзіп» кетпейді деп сендіріп отыр. Сендіру тұрмақ, сөз берді десек дұрыс болар. «Сөзімізге жауап береміз. Қауіпсіздік сертификаты жүйесіндегі барлық ақпараттың қауіпсіздігін қамтамасыз ету үшін қолдан келген шараның бәрін қолданамыз» деген еді Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің Ақпараттық қауіпсіздік жөніндегі комитетінің төрағасы Руслан Әбдіқалықов.Сәтсіз бастамалар сабақ бола ма?
Былтыр жазда осы тақырып қызу талқыға түскенде «Қауіпсіздік сертификаты: Қорған ба, қора ма?» деген тақырыппен сараптама әзірлегенбіз. Араға жыл салып, алдымыздан осы мәселе қайта шықты. Ендеше жалпы ұлттық қауіпсіздік сертификаттарын орнатуға өзге елдер қалай қарайтынын талдап көрсек. Қаншалықты жемісті жүзеге асқан? Мысалы, ең алғашқы осындай бастама он жыл бұрын қолға алынған. 2011 жылы аталған сертификатты орнатуды Голландия бастаған. Барлық мемлекеттік құрылымға DigiNotar атты компания сертификат қояды. Шамалы уақыттан соң оны хакерлер бұзып алып, сертификатта болған барлық ақпарат қолды болған. Артынша әр департаменттің өзінің ішінде қауіпсіздік департаменттері пайда болып, әлгі идея сәтсіз аяқталған. Тағы бір мысал келтірсек, осыған ұқсас жағдай Иранда болған. Олар да сол жылдары сертификат қояды. Сөйтіп, үш айдан кейін ол да Голландиядағыдай қолды болады. Тіпті, 300 мыңға жуық mail-аккаунттың логині мен паролі бүкіл әлемге жария болған. Біздің мемлекеттік органдар ұсынып отырған сертификаттың қауіпсіздікті қамтамасыз ете алмайтынын, сонымен бірге жалпақ жұртқа қауіп тудыратынын Қазақстанның интернет қауымдастығы президенті Шавкат Сабыров айтып отыр. Оның айтуынша, аталған идея түкке тұрғысыз. «Ұлттық масштабта мұндай сертификаттарды орнатудың қауіпсіз емесін бүкіл әлем мойындап отыр. Бұл жерде үш негізгі пунктті атап өтуге болады. Біріншіден, оны бұзып тастауы мүмкін. Екіншіден, жеке деректер мемлекеттің қолына өтуі ғажап емес. Үшіншісі, мәліметтерді үшінші тұлғаларға сатуы мүмкін», – дейді Сабыров.Жеке деректер желіде «жүзіп» жүрмесін
Ал ақпараттық қауіпсіздік саласының маманы Ерсұлтан Ер-мағамбетов болса, сертификаттың соншалықты қауіпті емес екенін айтып отыр. «Қазір әлеуметтік желілер мен мессенджерлер өміріміздің ажырамас бөлігіне айналып келеді. Бәрі электронды режимге жылжып бара жатыр. Бірақ бұл сала қанша қарқынды дамып, адам өмірін жеңілдеткенімен, кейде қолайсыз жақтары да орын алып жатады. Кибершабуылдар, вирустар, трояндар, ғаламтор құрттары сияқты жағдайлар қазір бізде де күрделі проблемалардың бірі. Отандық IT мамандар бұл проблемалармен күресу жолдарын қарастырып, тынбай еңбек етіп жатыр. Соңғы шыққан жаңалық қауіпсіздік сертификаты – жақсы ойластырылған қорғаныс механизмі. Себебі ғаламтор желісінде әртүрлі сайт пен сервис 100% сенімді емес. Үйдегі компьютерге немесе ірі компанияның корпоративтік желісіне бұл зиянкес бағдарламалар моральдық және материалдық шығынға әкелуі мүмкін» деп ойын білдірді ІТ-маманы. Сонымен бірге банк картасының құпиясөзі не басқа да құпия мәліметтердің келесі біреуге берілуіне қатысты Ермағамбетов былай дейді: «Қауіпсіздік сертификаты HTTPS шифрлау протоколын пайдаланып, бірақ тек Қазақстан Республикасының заңнамасы бұзылған немесе белгілі бір интернет-ресурсқа және қызметке ғана қолданылатын барлық интернет-ресурсқа қолданылмайды. Сонымен қатар бұл қауіпсіздік сертификаты WhatsApp, Telegram, Viber үшін басқа криптографиялық технологияларды қолданып, қызметтерге қолданылмайды немесе шифрланбайды. Қауіпсіздік сертификаты еліміздің уәкілетті органдарының, елдің аумағынан заңсыз ақпаратқа қол жеткізуді алып тастау немесе шектеу туралы заңды талаптарын қамтамасыз ету функциясын орындайды. Бұдан басқа, қауіпсіздік туралы куәлік сізге ресурстарға тұтастай емес, әртүрлі интернет-ресурстағы жеке шоттарға кіруді блоктауға мүмкіндік береді. Басқаша айтқанда, егер Facebook қолданушылары ел заңнамасын бұзса, сертификат қазақстандық пайдаланушыларға тұтастай алғанда Facebook-ке емес, өзінің бетіне қол жеткізуге мүмкіндік береді». Айтпақшы, брифингте Әбдіқалықовтың байқаусызда айтып қалған мына сөзі естен кетпейді. 2019 жылы Google, Mozilla және Apple сынды интернет-компаниялар неліктен біздің сертификатты бұғаттағаны туралы сұраққа, ол «Біздің мемлекет NATO елдерінің емес, Ұжымдық қауіпсіздік туралы шарт ұйымының қатарында. Саяси сенімсіздік танытып отырғандары себеп. Өйткені ешкім біздің арнайы қызметтің шетелдікіндей тиімді жұмыс істегенін қаламайды. Бұл механизмдерді ойлап тапқан біз емес. Бар болғаны біз басқаларға қарадық. Бізде үнемі екіжақты стандарт болады. Мысалы, әлдекім сертификат орнатса, оныкі дұрыс, демократияның белгісі дейді. Ал енді басқа бір ел осыны қолға алса, «олай етуге болмайды» деп шығады» деген еді. Бұл жерде қауіпсіздік сертификаттарын орнату министрліктің қолайына келеді деген сыңай байқалып қалғандай болды. Әлбетте, кейін шенеуніктің айтқанына байланысты министрлік «Ол сөз министрлік ұстанымын білдірмейді», – деді. Қалай десек те, тәжірибе жасалды, жаттығу өтті. Президенттің «Киберқалқан» бағдарламасы аясында берілген тапсырмасы екенін де түсіндік. Әйтсе де, қалқан қыламыз деп жүргенде «қораға» кіріп кетпесек болғаны.Жадыра АҚҚАЙЫР