Нұр-Сұлтан қаласының тұрғындарына Теле2 және Altel операторлары таратқан SMS-хабарлама ел ішінде қызу талқыға түсіп жатыр.
Қауіпсіздік сертификатын орнату туралы ұсыныс жазылған хаттан ештеңе түсінбеген болсаңыз, біз талдап көруге тырыстық. Аталған сертификатты орнатпаған жағдайда не болады? Бұрын-соңды көпшілік үшін беймәлім бұл дүние расымен қажет пе? Мамандармен тілдесіп, осы мәселенің мән-жайын анықтауға тырыстық. Әңгіменің басын әлгі sms-тің мәтінінен бастасақ. Бәлкім, ол хат сізге де келген болар. Әдеттегідей, маңызы жоқ дүние болар деген оймен өшіріп тастаған да шығарсыз. «Құрметті абонент! «Байланыс туралы» Заңның 26-бабына сәйкес Интернетке қол жеткізу үшін Сізге қауіпсіздік сертификатын http://qca.kz орнату қажет. Интернетке шығу мүмкіндігі бар әрбір абоненттік құрылғыға (смартфон, планшет, ноутбук және т.б.) орнатуды сұраймыз. Құрылғыдағы қауіпсіздік сертификатының болмауы, белгілі бір Интернет-ресурстарға шығумен қиындықтар туғызады. Сіздің Altel». Қарапайым қолданушы ретінде бұл хабарламадан кейін «интернетке еш шектеусіз кіруім үшін сертификатты орнатуым керек екен, мына сілтемемен өтіп, қосып алайын» деген ой келуі мүмкін. Кейбір сыни ойлайтын жұртшылық «орнатпаса не болады? Орнатқаннан өзіме зиян келмей ме?» деген сауалдың жауабын іздеп кетеді.
Қош, сілтеме арқылы өтіп, мұнда жатқан не сыр бар демекші, сайтқа кірдік. Qaznet сенімді сертификатын орнату батырмасына тап болдық. Сол жерде жүктеп алуға тікелей сілтеме салынған. Төменде қалай орнату керегі жазылған нұсқау тұр. Алдымен өз операциялық жүйеңізге лайық сертификатты жүктейсіз. Одан кейін смартфоныңыздағы «Баптаулар» бөліміне кіріп, мынадай қадамдар жасауыңыз керек: «Негізгі – Qaznet Trust Network» сертификатын таңдап, «орнату» дегенді басасыз. Одан кейін тағы бір рет орнату батырмасын басу керек екен. Соңғы қадамы «Баптаулардағы» негізгі бөлімнен «осы құрылғы жөнінде ақпарат» дегенге кіріп, «сенім сертификаттарын баптау» дегенді басып, Qaznet Trust Network-ты қосасыз. Сайтта тұрған бар ақпарат осы. Одан бөлек мәлімет алғымыз келген еді, бірақ сайтқа қосылудың қорғалмағаны жайлы ескерту жасалған терезе ашылды. Ешқандай техникалық білімі жоқ юзер үшін мәселе осы жерде тұйыққа тірелді.
Әлеуметтік желі қолданушыларының бірі Оразай Қыдырбаев сертификат жайлы мәлімет алғысы келіп, ұялы байланыс операторларымен тілдесіпті. «Телефоныма қауіпсіздік сертификатын орнату жайлы хат келген. Толығырақ ақпарат алмақ болып Tele2 байланыс қызметінің call–орталығына қоңырау шалған едім. Бүкіл әлем htpps стандарттарымен өмір сүріп жатқанда «велосипед ойлап табуға» қандай қажеттілік бар екенін, мұндай сертификатты орнатуға, білуім бойынша, қолданушылардың ақпараттық қауіпсіздігіне аса қатты мән беретін АҚШ секілді мемлекеттер де міндеттемейтінін айттым. Оператор «Байланыс туралы Заңның» 26-бабына сілтей отырып, қауіпсіздігіміз үшін орнатуым қажет екенін айтты. Қандай қауіпсіздік жайлы сұрап едім, «хакерлік шабуылдар мен экстремистік пропагандадан қорғау үшін» деді. Қауіпсіздік сертификатын орнатпаған жағдайда не болатынын сұрағанымда, кейбір интернет ресурстарға қосылуда қиындықтар туындайтынын түсіндірді. Артынша мен операторға интернетке қосылғаным үшін Tele2 компаниясына ай сайын ақша төлейтінімді әрі менің интернетке қосылуымды шектеуге ешкімнің хақысы жоқ екенін айтып едім, ол «интернетіңіз шектелмейді» деді. «Tele 2 жіберген хатта кейбір интернет-ресурстарға қосылуда қиындық туындайтыны жазылған ғой, неге өтірік жазасыздар?» деген сұрағыма, кейбір ресурстар бұрыннан шектеулі екенін әрі сертификат орнатпасам ештеңе өзгермейтінін айтып жауап берді. «Ештеңе өзгермейтін болса, неге хатта қорқытып, манипуляция жасайсыздар?» деп, келесі сұрағымды қойдым. Оператор ол хатты Tele2 жазбағанын түсіндірді. Ол хат Tele2 атынан келген болса, қалайша басқа біреу жазуы мүмкін десем, хабарламаны заңгерлер дайындағанын, ал Tele2 оны жай ғана халыққа жеткізгенін айтты. Жалпы оператордың бір сөзі екінші сөзіне қарсы келіп, қауіпсіздік сертификаты жайлы күмәнімді күшейте түсті. Сөйтіп оны орнатпауға шешім қабылдадым», – дейді ол.
Әрмен қарай, осы сала мамандарымен тілдесуге бекіндік. Бұл не қылған сертификат деген сауалды қойып, егжей-тегжей түсіндіріп беруін сұрадық.
Қазақстан интернет-қауымдастығының президенті Шавкат Сабировтың БАҚ өкілдерінің осы мәселеге қатысты сұрағына берген жауабын ұсынайық. «Байланыс туралы» Заңда барлығы анық жазылған. 2016 жылдың 1 қаңтарынан бастап Қазақстаннан тыс шекараға «шығып», мәлімет алғысы келетіндер ұлттық қауіпсіздік сертификатын орнатуы керек» деп анық жазылған. Ол үшін белгілі бір байланыс операторының қамтамасыз ететін сертификатын жүктеу қажет. Яғни интернет әлемінде «серуендегісі» келген адам мемлекеттің сертификатын орнатуы шарт. Өйткені қазіргі таңда интернеттегі қауіпсіздік мәселесі күллі жаһанда бар. Соны шешу үшін эксперттер түрлі тәсілдер мен механизмдер ұсынады. Осыған ұқсас сертификат орнату сынды әдістер сәтсіз аяқталып келді. Бүкіл әлем мойындап отыр. Сәтсіз ғана емес, қауіпсіз режимде жұмыс істеудің ең сұрықсыз тәсілі десе болады. Техникалық немесе адами фактордың салдарынан сертификатты бұзып алған жағдайда, алаяқтар қолданушылар туралы барлық мәліметке қол жеткізе алады», – дейді Сабиров.
Қауіпсіздік куәлігін орнату – ерікті рәсім. Ол хакерлерден, сондай-ақ басқа ұқсас сертификаттардан қорғалған. Сонымен қатар қауіпсіздік сертификатын мерзімді түрде қайта шығаруға болады. Жалпы айтқанда цифрлық даму процесі енді тек алға жылжып, түрлі жаңа технологиялар шықпаса, кері құлдырамайтыны анық.
2011 жылы ирандық хакер Comodo компаниясының жалған сертификатын жасаған. Алты жылдан кейін осыған ұқсас оқиға Symantec сертификаттарымен де болады. Осылайша хакерлер Google мен Mozilla компанияларының сервистеріне қол жеткізеді. Бір кездері Нидерландыда мемлекеттік органдарға сертификат орнату бастамасы көтеріліп, оның соңы сәтсіздікке ұшыраған. DigiNotar сертификатын бұзып алып, нәтижесінде барлық мемлекеттік хабарламалар қолды болады. Жалпы алғанда осы уақытқа дейін осындай тәжірибе жасап көрген елдердің ешбірінде сәтті іске аспаған екен. ICANN сынды халықаралық ұйымдар мұндай қадамның өте қауіпті екенін айтып, дабыл қағып отыр. Өйткені сертификатты енгізу арқылы түгел мемлекеттік қорғаусыз қалуы бек мүмкін. Жеке хаттарды былай қойғанда, банктік деректер де қолды болатын түрі бар.
Цифрлық даму, инновация және аэроғарыш өнеркәсібі министрінің орынбасары Абылайхан Оспанов ешкімді күштеп орнатқызбайтындарын жеткізді. «Аталған норма заңға 2015 жылы енгізілген. Қазіргі таңда операторлар тұрғындарға техникалық қауіпсіздік сертификатын орнатуға мүмкіндік беруге міндетті. Өйткені бұл сертификат интернетке қосулы кезде жеке деректерді қорғайды. Мұның жақсы тұсын айтар болсақ, бір сайттан екіншісіне жолдайтын хакерлердің амалынан қорғаласыз. Әркім ерікті түрде орнатады. Яғни қаламасаңыз, сертификатты жүктемесеңіз де болады» деп пікір білдірді вице-министр.
Ақпараттық қауіпсіздік саласының маманы Ерсұлтан Ермағамбетов сертификаттың соншалық қауіпті емес екенін айтып отыр. «Соңғы ширек ғасырда IT технология қарқынды дамып келеді. Күллі әлем IT-технологияның өркендеуіне атсалысып, таңғаларлық жаңалықтар жарыққа шығып жатыр. Қазіргі әлеуметтік желілер мен мессенджерлер өміріміздің ажырамас бөлігіне айналып келеді. Бәрі электронды режимге жылжып бара жатыр. Бірақ бұл сала қанша қарқынды дамып, адам өмірін жеңілдеткенімен сонымен қатар кейде қолайсыз жақтары да орын алып жатады. Кибершабуылдар, вирустар, трояндар, ғаламтор құрттары т.б секілді жағдайлар қазір бізде де күрделі проблемалардың бірі болып есептеледі. Отандық IT мамандар бұл проблемалармен күресу жолдарын қарастырып, тынбай еңбек етіп жатыр. Соңғы шыққан жаңалық қауіпсіздік сертификаты – жақсы ойластырылған қорғаныс механизмі. Себебі ғаламтор желісінде әртүрлі сайттар мен сервистер 100% сенімді емес. Жағымсыз жағдайдың бір түрі осы ғаламтордағы сервистер мен сайттар арқылы болып жатады. Үйдегі компьютерге немесе ірі компанияның корпоративтік желісіне бұл зиянкес бағдарламалар моральдық және материалдық шығындарға әкеп соғуы мүмкін. Ғаламтор желісінде болатын онлайн банк транзакциялары секілді маңызды операциялар қауіпсіз режимде орындалады. Қауіпсіздік сертификаты HTTPS шифрлау протоколын пайдаланып, бірақ тек Қазақстан Республикасының заңнамасы бұзылған немесе белгілі бір Интернет-ресурсқа және қызметке ғана қолданылатын барлық Интернет-ресурстарға қолданылмайды. Сонымен қатар бұл қауіпсіздік сертификаты WhatsApp, Telegram, Viber үшін басқа криптографиялық технологияларды қолданып, қызметтерге қолданылмайды немесе шифрланбайды. Қауіпсіздік сертификаты еліміздің уәкілетті органдарының, елдің аумағынан заңсыз ақпаратқа қол жеткізуді алып тастау немесе шектеу туралы заңды талаптарын қамтамасыз ету функциясын орындайды. Бұдан басқа, қауіпсіздік туралы куәлік сізге ресурстарға тұтастай емес, әртүрлі интернет-ресурстардағы жеке шоттарға кіруді блоктауға мүмкіндік береді. Басқаша айтқанда, егер Facebook қолданушылары ел заңнамасын бұзса, сертификат қазақстандық пайдаланушыларға тұтастай алғанда Facebook-ға емес, өзінің бетіне қол жеткізуге мүмкіндік береді.
Қауіпсіздік куәлігін орнату – ерікті рәсім. Ол хакерлерден, сондай-ақ басқа ұқсас сертификаттардан қорғалған. Сонымен қатар қауіпсіздік сертификатын мерзімді түрде қайта шығаруға болады. Жалпы айтқанда цифрлық даму процесі енді тек алға жылжып, түрлі жаңа технологиялар шықпаса, кері құлдырамайтыны анық.
Келесі қадам – qca.kz сайты жайлы деректер іздеуге жалғасты. 2019 жылдың 20 маусымында Асқар Дюсекеевтің атына тіркелген. Бір қызығы, сол сайттың өзін браузерлер сенімсіз деп тапты. Сонда да сайтқа кіреміз дегенмен, әрмен қарай аталған мекенжайға енуге мүмкіндік болмады. Әлеуметтік желіде Асқар Дюсекеевтің LinkedIn-дегі профилі бар екен. IT департаментінің директоры деп қана көрсетілген. Ал Facebook-тегі парақшасында «Сертификаттар билеушісі, хабарламаларыңның оқырманы, ұрланған кредит карталарының сатушысы» деп әзіл аралас ақпарат енгізіп қойған. Бірақ кейіннен ол деректерді алып тастағанын да байқадық.
Сала мамандарының пікірі әлі де екіге бөлініп жатыр. Бірі бұл сертификаттың пайдалы тұстарын тізбелесе, енді бірі қауіпті деп отыр. Мәселен, IT маманы Райымбек Егембердиев желідегі парақшасында сертификат туралы бірнеше жазба жариялаған. «Сертификатты орнатпай қою – шешім емес. Жаңалықтардан кейбір өкілдер «сертификат орнату әркімнің өз еркі» дегенін оқып отырмын. Не деген қулық? Сіз сертификатты орнатпасаңыз да, трафик – бақылауда. Операторлар мен провайдер деңгейінде MITM шабуыл жасалып отырғандықтан, сіз орнатсаңыз да, орнатпасаңыз да трафигіңіз бақыланып отыр. Тек айырмашылығы сертификат орнатылмаса браузерлер байланыстың қауіпсіз емес екенін, ортада біреу бақылап отыруы мүмкін екенін айтып, ескертумен болады. Қазірше жалғыз шешім ол – VPN. Әлде де сертификатты енгізуден бас тартуына үміт бар:
Браузерлер Қазақстан сертификатын қара тізімге ендіріп тастаса, онда сіз сайттарды мүлдем аша алмай қаласыз. Firefox-та бұл нәрсе жақында орындалып қалуы мүмкін, Chrome әлі белгісіз.
Бүкіл трафикті анализ жасау – қыруар ресурс. 17 млн адамның кем дегенде тең жартысында интернет байланысы бар болар, олардың мәліметтерінің барлығын сақтау үшін де өте үлкен шығын керек, осыны Қазақстан орындай алмай бас тартуы мүмкін», – дейді ол.
Ерікті түрде іске асырылады деп сендірген амалдың соңы не болары әлі белгісіз. Бірақ басқа елдердегі тәжірибелерге қарасақ, басы тасқа соғылғанын байқадық. Біздің жағдай қалай болар екен?