Қауіпсіздік сертификаты: қорған ба, қора ма?

Газет мақаласы "Айқын" газеті №112

Нұр-Сұлтан қаласының тұрғындарына Теле2 және Altel операторлары таратқан SMS-хабарлама ел ішінде қызу талқыға түсіп жатыр.

Қауіпсіздік сертификаты: қорған ба, қора ма?

Қауіпсіздік сертификатын орнату туралы ұсыныс жазылған хаттан ештеңе түсінбеген болсаңыз, біз талдап көруге тырыстық. Аталған сертификатты орнатпаған жағдайда не болады? Бұрын-соңды көпшілік үшін беймәлім бұл дүние расымен қажет пе? Мамандармен тілдесіп, осы мәселенің мән-жайын анықтауға тырыстық. Әңгіменің басын әлгі sms-тің мәтінінен бастасақ. Бәлкім, ол хат сізге де келген болар. Әдет­тегідей, маңызы жоқ дүние болар деген оймен өшіріп тастаған да шығарсыз. «Құрметті абонент! «Байланыс туралы» Заңның 26-бабына сәйкес Интернетке қол жеткізу үшін Сізге қауіпсіздік сертификатын http://qca.kz ор­нату қажет. Интернетке шығу мүмкіндігі бар әрбір абоненттік құрылғыға (смартфон, планшет, ноутбук және т.б.) орнатуды сұраймыз. Құрылғыдағы қауіп­сіздік сертификатының болмауы, белгілі бір Интернет-ресурстарға шығумен қиындықтар туғызады. Сіздің Altel». Қарапайым қолда­нушы ретінде бұл хабарламадан кейін «интернетке еш шектеусіз кіруім үшін сертификатты орна­туым керек екен, мына сілте­ме­мен өтіп, қосып алайын» деген ой келуі мүмкін. Кейбір сыни ой­лай­тын жұртшылық «орнатпаса не болады? Орнатқаннан өзіме зиян келмей ме?» деген сауалдың жауабын іздеп кетеді.

Қош, сілтеме арқылы өтіп, мұн­да жатқан не сыр бар демекші, сайтқа кірдік. Qaznet сенімді сер­тификатын орнату батырмасына тап болдық. Сол жерде жүктеп алуға тікелей сілтеме салынған. Төменде қалай орнату керегі жазылған нұсқау тұр. Алдымен өз операциялық жүйеңізге лайық сертификатты жүктейсіз. Одан кейін смартфоныңыздағы «Бап­таулар» бөліміне кіріп, мынадай қадамдар жасауыңыз керек: «Не­гізгі – Qaznet Trust Network» сер­тификатын таңдап, «орнату» де­генді басасыз. Одан кейін тағы бір рет орнату батырмасын басу керек екен. Соңғы қадамы «Бап­таулардағы» негізгі бөлімнен «осы құрылғы жөнінде ақпарат» дегенге кіріп, «сенім сертифи­каттарын баптау» дегенді басып, Qaznet Trust Network-ты қосасыз. Сайтта тұрған бар ақпарат осы. Одан бөлек мәлімет алғымыз кел­ген еді, бірақ сайтқа қосылудың қорғал­мағаны жайлы ескерту жасалған терезе ашылды. Ешқан­дай техни­калық білімі жоқ юзер үшін мәселе осы жерде тұйыққа тірелді.

Әлеуметтік желі қолдану­шы­ларының бірі Оразай Қыдырбаев сертификат жайлы мәлімет ал­ғысы келіп, ұялы байланыс опе­ра­торларымен тілдесіпті. «Те­ле­фоныма қауіпсіздік сертифи­ка­тын орнату жайлы хат келген. Толығырақ ақпарат алмақ болып Tele2 байланыс қызметінің call–орталығына қоңырау шалған едім. Бүкіл әлем htpps стандарт­та­рымен өмір сүріп жатқанда «велосипед ойлап табуға» қандай қажеттілік бар екенін, мұндай сертификатты орнатуға, білуім бойынша, қолданушылардың ақ­параттық қауіпсіздігіне аса қатты мән беретін АҚШ секілді мемлекеттер де міндеттемейтінін айттым. Оператор «Байланыс ту­ралы Заңның» 26-бабына сілтей отырып, қауіпсіздігіміз үшін ор­натуым қажет екенін айтты. Қан­дай қауіпсіздік жайлы сұрап едім, «хакерлік шабуылдар мен экс­тремистік пропагандадан қор­ғау үшін» деді. Қауіпсіздік сер­­ти­фикатын орнатпаған жағ­дайда не болатынын сұрағанымда, кейбір интернет ресурстарға қосылуда қиындықтар туындайтынын тү­сіндірді. Артынша мен операторға интернетке қосылғаным үшін Tele2 компаниясына ай сайын ақша төлейтінімді әрі менің ин­тернетке қосылуымды шектеу­ге ешкімнің хақысы жоқ екенін айтып едім, ол «интернетіңіз шектелмейді» деді. «Tele 2 жібер­ген хатта кейбір интернет-ресурс­тарға қосылуда қиындық туын­дайтыны жазылған ғой, неге өтірік жазасыздар?» деген сұра­ғыма, кейбір ресурстар бұрыннан шектеулі екенін әрі сертификат орнатпасам ештеңе өзгермейтінін айтып жауап берді. «Ештеңе өз­гермейтін болса, неге хатта қор­қытып, манипуляция жасай­сыздар?» деп, келесі сұрағымды қойдым. Оператор ол хатты Tele2 жазбағанын түсіндірді. Ол хат Tele2 атынан келген болса, қа­лайша басқа біреу жазуы мүмкін десем, хабарламаны заңгерлер дайындағанын, ал Tele2 оны жай ғана халыққа жеткізгенін айтты. Жалпы оператордың бір сөзі екін­ші сөзіне қарсы келіп, қа­уіпсіздік сертификаты жайлы күмәнімді күшейте түсті. Сөйтіп оны орнатпауға шешім қабыл­дадым», – дейді ол.

Әрмен қарай, осы сала маман­дарымен тілдесуге бекіндік. Бұл не қылған сертификат деген сауалды қойып, егжей-тегжей түсіндіріп беруін сұрадық.

Қазақстан интернет-қауым­дастығының президенті Шавкат Сабировтың БАҚ өкілдерінің осы мәселеге қатысты сұрағына берген жауабын ұсынайық. «Бай­ланыс туралы» Заңда барлы­ғы анық жазылған. 2016 жылдың 1 қаңтарынан бастап Қазақстан­нан тыс шекараға «шығып», мә­лімет алғысы келетіндер ұлт­тық қауіпсіздік сертификатын ор­натуы керек» деп анық жазылған. Ол үшін белгілі бір байланыс опе­раторының қамтамасыз ете­тін сертификатын жүктеу қажет. Яғни интернет әлемінде «серуен­дегісі» келген адам мемлекеттің сертификатын орнатуы шарт. Өйткені қазіргі таңда интернеттегі қауіпсіздік мәселесі күллі жа­һанда бар. Соны шешу үшін экс­перттер түрлі тәсілдер мен меха­низмдер ұсынады. Осыған ұқсас сертификат орнату сынды әдістер сәтсіз аяқталып келді. Бүкіл әлем мойындап отыр. Сәтсіз ғана емес, қауіпсіз режимде жұмыс істеудің ең сұрықсыз тәсілі десе болады. Техникалық немесе адами фак­тордың салдарынан серти­фи­катты бұзып алған жағдайда, алаяқтар қолданушылар туралы барлық мәліметке қол жеткізе алады», – дейді Сабиров.

Қауіпсіздік куәлігін орнату – ерікті рәсім. Ол хакер­лерден, сон­дай-ақ басқа ұқсас сертифи­каттардан қорғал­­ған. Сонымен қатар қауіпсіздік сертификатын мерзім­ді түрде қайта шығаруға болады. Жалпы айт­қан­да цифр­лық даму процесі енді тек алға жылжып, түрлі жаңа технология­лар шықпаса, кері құлдырамай­тыны анық.

2011 жылы ирандық хакер Comodo компаниясының жалған сертификатын жасаған. Алты жылдан кейін осыған ұқсас оқиға Symantec сертификаттарымен де болады. Осылайша хакерлер Google мен Mozilla компания­ларының сервистеріне қол жет­кізеді. Бір кездері Нидерландыда мемлекеттік органдарға сертифи­кат орнату бастамасы көтеріліп, оның соңы сәтсіздікке ұшыраған. DigiNotar сертификатын бұзып алып, нәтижесінде барлық мем­лекеттік хабарламалар қолды болады. Жалпы алғанда осы уа­қытқа дейін осындай тәжірибе жасап көрген елдердің ешбірінде сәтті іске аспаған екен. ICANN сынды халықаралық ұйымдар мұндай қадамның өте қауіпті екенін айтып, дабыл қағып отыр. Өйткені сертификатты енгізу арқылы түгел мемлекеттік қор­ғаусыз қалуы бек мүмкін. Жеке хаттарды былай қойғанда, банк­тік деректер де қолды болатын түрі бар.

Цифрлық даму, инновация және аэроғарыш өнеркәсібі ми­нистрінің орынбасары Абы­лай­хан Оспанов ешкімді күштеп орнатқызбайтындарын жеткізді. «Аталған норма заңға 2015 жылы енгізілген. Қазіргі таңда опера­тор­лар тұрғындарға техникалық қауіпсіздік сертификатын ор­натуға мүмкіндік беруге міндетті. Өйткені бұл сертификат интер­нетке қосулы кезде жеке дерек­терді қорғайды. Мұның жақсы тұсын айтар болсақ, бір сайттан екіншісіне жолдайтын хакер­лердің амалынан қорғаласыз. Әркім ерікті түрде орнатады. Яғни қаламасаңыз, сертификатты жүктемесеңіз де болады» деп пікір білдірді вице-министр.

Ақпараттық қауіпсіздік са­ласының маманы Ерсұлтан Ер­мағамбетов сертификаттың сон­шалық қауіпті емес екенін айтып отыр. «Соңғы ширек ға­сырда IT технология қарқынды дамып келеді. Күллі әлем IT-тех­ноло­гияның өркендеуіне атса­лысып, таңғаларлық жаңалықтар жа­рық­қа шығып жатыр. Қазіргі әлеу­мет­тік желілер мен мессенд­жерлер өміріміздің ажырамас бөлігіне айналып келеді. Бәрі электронды режимге жылжып бара жатыр. Бірақ бұл сала қанша қарқынды дамып, адам өмірін жеңілдет­ке­німен сонымен қатар кейде қо­лайсыз жақтары да орын алып жатады. Кибершабуылдар, вирус­тар, трояндар, ғаламтор құрттары т.б секілді жағдайлар қазір бізде де күрделі пробле­ма­лардың бірі болып есептеледі. Отандық IT мамандар бұл проб­лемалармен күресу жолдарын қарастырып, тынбай еңбек етіп жатыр. Соңғы шыққан жаңалық қауіпсіздік сертификаты – жақсы ойласты­рыл­ған қорғаныс ме­ха­низмі. Се­бебі ғаламтор желісінде әртүрлі сайттар мен сервистер 100% се­німді емес. Жағымсыз жағдайдың бір түрі осы ғалам­тордағы сер­вистер мен сайттар арқылы болып жатады. Үйдегі компьютерге не­месе ірі компа­нияның корпо­ра­тивтік желісіне бұл зиянкес бағдарламалар мо­ральдық және материалдық шығындарға әкеп соғуы мүмкін. Ғаламтор желісінде болатын онлайн банк транзак­циялары секілді маңызды опера­циялар қауіпсіз режимде орын­далады. Қауіпсіздік сертификаты HTTPS шифрлау протоколын пайдала­нып, бірақ тек Қазақстан Респуб­ликасының заңнамасы бұзылған немесе белгілі бір Ин­тернет-ресурсқа және қызметке ғана қолданылатын барлық Ин­тернет-ресурстарға қолданыл­майды. Сонымен қатар бұл қа­уіпсіздік сертификаты WhatsApp, Telegram, Viber үшін басқа крип­то­графиялық технологияларды қолданып, қызметтерге қолда­нылмайды немесе шифрлан­байды. Қауіпсіздік сертификаты еліміздің уәкілетті органдарының, елдің аумағынан заңсыз ақпа­ратқа қол жеткізуді алып тастау немесе шектеу туралы заңды та­лаптарын қамтамасыз ету функ­циясын орындайды. Бұдан басқа, қауіп­сіздік туралы куәлік сізге ресурс­тарға тұтастай емес, әртүр­лі интернет-ресурстардағы жеке шоттарға кіруді блоктауға мүм­кіндік береді. Басқаша айтқанда, егер Facebook қолданушылары ел заңнамасын бұзса, сертификат қазақстандық пайдаланушыларға тұтастай алғанда Facebook-ға емес, өзінің бетіне қол жеткізуге мүмкіндік береді.


Қауіпсіздік куәлігін орнату – ерікті рәсім. Ол хакерлерден, сон­дай-ақ басқа ұқсас сертифи­каттардан қорғалған. Сонымен қатар қауіпсіздік сертификатын мерзімді түрде қайта шығаруға болады. Жалпы айтқанда цифр­лық даму процесі енді тек алға жылжып, түрлі жаңа технология­лар шықпаса, кері құлдырамай­тыны анық.

Келесі қадам – qca.kz сайты жайлы деректер іздеуге жалғасты. 2019 жылдың 20 маусымында Ас­қар Дюсекеевтің атына тір­келген. Бір қызығы, сол сайттың өзін браузерлер сенімсіз деп тап­ты. Сонда да сайтқа кіреміз де­генмен, әрмен қарай аталған мекенжайға енуге мүмкіндік бол­мады. Әлеу­меттік желіде Асқар Дюсекеевтің LinkedIn-дегі профилі бар екен. IT департамен­тінің директоры деп қана көрсе­тілген. Ал Facebook-тегі парақ­шасында «Сертификаттар бил­еу­шісі, хабарламаларыңның оқыр­маны, ұрланған кредит карта­ла­рының сатушысы» деп әзіл аралас ақпарат енгізіп қойған. Бірақ кейіннен ол деректерді алып тастағанын да байқадық.

Сала мамандарының пікірі әлі де екіге бөлініп жатыр. Бірі бұл сертификаттың пайдалы тұс­тарын тізбелесе, енді бірі қауіпті деп отыр. Мәселен, IT маманы Ра­йымбек Егембердиев желідегі парақшасында сертификат ту­ралы бірнеше жазба жариялаған. «Сертификатты орнатпай қою – шешім емес. Жаңалықтардан кейбір өкіл­дер «сертификат ор­нату әркімнің өз еркі» дегенін оқып отырмын. Не деген қулық? Сіз сертифи­кат­ты орнатпасаңыз да, трафик – бақылауда. Опе­раторлар мен про­вайдер деңге­йінде MITM ша­буыл жасалып отырғандықтан, сіз орнатсаңыз да, орнатпасаңыз да трафигіңіз бақыланып отыр. Тек айырма­шылығы сертификат орнатыл­маса браузерлер байла­ныстың қауіпсіз емес екенін, ор­тада біреу бақылап отыруы мүмкін екенін айтып, ескертумен болады. Қа­зірше жалғыз шешім ол – VPN. Әлде де сертификатты енгізуден бас тартуына үміт бар:

Браузерлер Қазақстан сертификатын қара ті­зімге ендіріп тастаса, онда сіз сайттарды мүлдем аша алмай қаласыз. Firefox-та бұл нәрсе жақында орындалып қалуы мүмкін, Chrome әлі белгісіз.

Бүкіл трафикті анализ жасау – қыруар ресурс. 17 млн адамның кем де­генде тең жартысында интернет байланысы бар болар, олардың мәліметтерінің барлығын сақтау үшін де өте үлкен шығын керек, осыны Қазақстан орындай алмай бас тартуы мүмкін», – дейді ол.

Ерікті түрде іске асырылады деп сендірген амалдың соңы не болары әлі белгісіз. Бірақ басқа елдердегі тәжірибелерге қарасақ, басы тасқа соғылғанын байқадық. Біздің жағдай қалай болар екен?