21/7/2019 Жаңалықтар / Қазақстан жаңалықтары

Қазіргі уақытта, менің ойымша, Қазақстан Республикасының бір немесе бірнеше мемлекеттік органдарының қызметкерлері бірқатар коммерциялық құрылымдардың көмегімен Қазақстан халқына қарсы қылмыс жасауда.

21/7/2019 Жаңалықтар / Қазақстан жаңалықтары

Жоқ, мен заңсыз заттарды қабылдаған жоқпын. Мұның бәрін сұрыптап, талқылауға тырысайық.

Не болып жатыр? Ал болып жатқан жайт мындай бет алуда - біз «қауіпсіздік сертификатын» орнатқан барлық адамдар үшін ақпараттық қауіпсіздік деңгейінің төмендеуіне әкелетін әрекеттерді жасауымызға мәжбүрміз. Бұл өз кезегінде ҚР азаматтары мен азаматшаларыныңматериалдық шығындарымен кезігуіне алып келеді. Бұл қылмыстық заңда қалай анықталады? Алаяқтық па?Өздерінің қызметтік жағдайын пайдаланып, алдын ала сөз байласу арқылы әлеуметтік қауіпті жолмен жасалған адамдар тобының болуы әбден мүмкін. Егер мұның бәрі тауарлар мен қызметтерді сатып алу үшін мемлекеттік бюджеттен бұрын негізделмеген шығындарды ақтау үшін болса, мүмкін, бұрын жасалған қылмысты жасыру мақсатымен жүзеге асырылуда.

Неліктен алаяқтық? Сертификат орнатуды қолдайтыны туралы ресми түрде айтылған нәрсенің бір бөлігі өтірік, бірақ олар кемшіліктер туралы толығымен ақпарат айтпай отыр.

Мені танымайтын адамдар үшін: мен саясаттанушы емеспін, құқық қорғаушы емеспін, философ емеспін. Мен қарапайым инженермін, «Ақпарат қауіпсіздігі және оны қорғау» мамандығы бойынша жоғары техникалық білім алдым және өз білімім мен дағдыларымды 20 жылдан астам уақыт тәжірибеде қолданып жүрмін.

Сонымен, бастапқы мысал үшін ҚР СКСДРП вице-министрі Абылайхан Оспановтың 19 шілде күні Басқармада өткен брифингте айтқан ескертулерін алайық. Менің білуімше, мемлекеттік органдардан басқа ресми мәлімдемелер болған жоқ. Түсінбеушілікке жол бермеу үшін мен дәйексөзді жасаған материалға сілтеме беремін.

Бұл норма«Байланыс туралы» заңға 2015 жылы енгізілген. Бүгінгі таңда операторларкөпшілікке өз құрылғыларына техникалық қауіпсіздік сертификатын жүктеу, орнату мүмкіндігін ұсынулары қажет.

Ия, Қазақстан Республикасының заңнамасында мұндай нормалар бар. Меніңше, олар түсініксіз, бірақ бар. Егер байланыс операторларының өздері жасаған істерін заңды түрде жасамауға мүмкіндіктері болса, олар оны пайдаланатынына сенімдімін.

Жақсы артықшылықтары бар. Бұл фишинг сайттарына кірмеуге мүмкіндік береді. Сіздібір сайттан екінші сайтқа сілтеу арқылы сіз өзіңіз сақтаған жеке мәліметтердің ағып кетуі мүмкін болатынхакерлер шабуылының аясындақолданылатын сайттардың бар екенін білесіз. Бұл – сіздің төлем карточкаларыңыз және сіз жүргізетін барлық транзакциялар туралы ақпарат.

Ұлттық сертификатты орнату фишингке қарсы күресте көмектеспейді. Оның қалай енгізілгенін ескере отырып, оның зиян келтіруі мүмкінекендігін түсіну қажет. Вице-министр осындай мәлімдеме жасай отырып, ол өзінің өтірік айтуымен адамдарға құрметсіздік білдіріп қана қоймайды, сонымен қатар Үкіметтіңбарлық қызметкерлеріне көлеңке түсіреді.

Сіз куәлікті орнатпасаңыз да болады. Сіз сертификатты орнатпады екен деп сіздің Интернет өшіріліп тасталмайды. Сізде толық қол жетімділік болады. Талқылап көрейік.

Ия, сіз куәлікті орнатпасаңыз да болады (әзірге), сіздің құрылғыңыздағы Интернетте өшірілмейді (әзірге). Бірақ оған толық қол жетімділік болмайды. Әлеуметтік желілерде азаматтар скриншоттарды жариялап үлгерді, онда кейбір танымал сайттар ашылмайтыны белгілі болды. Орнатылған сертификаттың өзінде де, сайттың өзі немесе браузер өндірушісінің бастамасы бойынша сайттар ашылмауы мүмкін. Бұл пайдаланушының шолғышынан серверге барар жолда бүлінген сайт сертификатын табуға байланысты жасалады. Ал бұл өз кезегінде хакерлік шабуылдың (MITM, ортадағы адам) белгілері: шабуылдаушы трафикті алушы мен берушіарасындағы қозғалыс жолында жасайтын зат. Нәтижесінде, шабуылдаушы осындай трафиктің барлығын (парольдерді, несие карталары туралы ақпаратты және т.б. қоса) талдауға мүмкіндік алады.

Қазір браузерлер мен операциялық жүйелерді өндірушілер біздің елімізде болып жатқан жағдаймен не істеу керектігі туралы түсінікке келуге тырысуда. Түрлі ұсыныстар бар: құпия ақпараттың құпиялылығынан бастап сайттарға кіру қаупі бар ұлттық қауіпсіздік туралы куәлігіміздің қара тізіміне дейін. Соңғы жағдайда, ұлттық «қауіпсіздік сертификаты» орнатылған кезде, сайттар, әдетте, ашылуды тоқтатады.

Сонымен қатар, егер сіз шифрлауды қолдансаңыз (сайт адресінің басында https: //) және сізде ұлттық сертификат орнатылмаған болса, «құзыретті» мемлекеттік орган (иә, дұрыс, ажыратқыш байланыс операторларында емес) кез-келген сайтқа кіруді бұғаттай алады. Бұл ұялы байланыс операторлары тарататын хабарламадағы қарапайым мәтін:

Абоненттік құрылғыларда қауіпсіздік сертификаты болмаған жағдайда, кейбір Интернет-ресурстарға қол жеткізуге байланысты техникалық шектеулер туындауы мүмкін.

Ал, десертке келсек. Сіз үшін «зиянды» ақпаратқа қол жеткізуді шектеуге және сіздің құпия ақпаратыңызға қол жеткізуге қосымша «құзыретті» мемлекеттік орган сайттан келіп түскен ақпаратты шолғышқа өзгерте алады. Мысалы, «Аблязов» сөзін «Иванов» етіп өзгерте алады. Және керісінше болуы да мүмкін: яғни, сіз «Бүгін менімен кинотеатрға кім барады?» деген хабар жіберсеңіз, ол сайтқа «Бүгін рұқсат етілмеген митингте менімен кім барады?» деген хабар келеді.

Ия, әрине, мен бұның бәрі дәл қазір болады деп айтып жатқан жокпын, бірақ мемлекет мұны жүзеге асыруға мүмкіндік жасауда. Мұның болашақта қолданылатындығына менің күмәнім жоқ. Мұны өзінің қызметтегі міндетінің негізінде қолдануы керек адамдар да, сіздің есебіңізден заңсыз байығысы келетіндер де пайдаланады.

Айта кету керек, қауіпсіздік сертификаттары 2019 жылдың 17 шілдесінде ойлап табылған жоқ. Бұл әлдеқайда ертерек жасалған болатын. Олар Интернеттегі барлық дерлік қауіпсіздікке негізделген. Мәселе не болды, деп сұрайсыз ба сіз? Неліктен біздің ұлттық «қауіпсіздік сертификаты» нашар? Ең болмағанда, интернетте қабылданған нормалар мен ережелерге сәйкес оған сенбеу фактісі. Әлемде сертификатталған бірнеше сенімді органдар бар, олар туралы ақпарат браузерлерде және операциялық жүйелерде жазылады. Олар тиісті тексерулерден өтеді. Біздікі өтпеді және сенімді адамдар тізіміне енгізілмеді. Енді бізге оны өз қолымызбен орнатуды (жүктеп алуды) және өзімізге сенімді екенін көрсетуді ұсынуда.

Мұны жаймен айтқанда өрескел түрде ұсынуда. «Қауіпсіздік сертификатын» трафикті шифрлауды қолданбайтын сайттан қотарып алуды ұсыну фактісі әлі де қауіпсіздік шұңқыры болып табылады. Ақырында, жүктеу сатысында оны сәл басқаша ауыстыруға болады және сіз оған өз құрылғыларыңызға «сенімді» мәртебесін бересіз.

Егер сіз сертификаттың өзіне қарасаңыз, ол одан да қызықты болады. Міне, «Мемлекеттік техникалық қызмет» РМК берген анықтамалардың бірі, ол қарапайым мәтінмен жазылған.

«Қауіпсіздік сертификаты»: Жазасыз қылмыс?

Http://qca.kz/ал бұлай сайтынан жүктеу ұсынылатын ұлттық «қауіпсіздік сертификаты» көрінеді. Ол қандай да бір мемлекеттік органға тиесілі деген сөзге жақын да емес.

«Қауіпсіздік сертификаты»: Жазасыз қылмыс?

Ал, Facebook сертификаты туралы ақпарат қандай болатынын көрейік. Оны DigiCert Inc шығарды жән ол операциялық жүйелер мен браузерлердің сенімді тізіміне енгізілді, тиісті куәліктермен қол қойылды.

«Қауіпсіздік сертификаты»: Жазасыз қылмыс?
«Қауіпсіздік сертификаты»: Жазасыз қылмыс?
«Қауіпсіздік сертификаты»: Жазасыз қылмыс?

Менің ойымша, сізде мынадай сұрақ туындауы мүмкін: «Бірақ DigiCert Inc-тің жігіттері кенеттен кез-келген АҚШ барлау агенттігімен, әрине, АҚШ-тың ұлттық қауіпсіздігін қамтамасыз ету аясында ынтымақтастық орнатқысы келетін болса ше?». Теориялық тұрғыдан, бұл мүмкіндікті жоққа шығаруға болмайды. Егер олар «қаласаңыз», трафикті оқудың барлық ләззаттары ұлттық «қауіпсіздік сертификаты» үшін сипатталғандай болады. Бірақ осындай жағдайлардың бірі туралы белгілі болғанда ғана (және MITM-ге шабуыл жасау үшін сертификаттарды қолданғанда оны жасыру мүмкін болмайды) бұл компанияның сертификаттары сенімсіз деп танылады, демек олар қол қойған барлық куәліктер автоматты түрде сенімсіз болады.

Жанжал елеусіз қалмайды. Олардың барлық елеулі іс-әрекеттері азайып, айтарлықтай уақыт ішінде мемлекет тарапынан толық қолдау сұрауға мәжбүр болады. Басқаша айтқанда, мен мұндай оқиғаның ықтималдығын шамалы деп санаймын.

DigiCert Inc қол қойған сертификаттар MITM режимінде ұлттық «қауіпсіздік сертификаты» сәтті іске қосылған жағдайда, пайдаланушының шолғышынан құзыретті органның арнайы құрылғысына ұлттық куәлікпен, ал арнайы құрылғыдан Facebook-ке DigiCert Inc. куәлігімен шифрланады. Яғни осы схемамен шифрлау біздің куәлігімізге қосылады. Бұл сіздің ақпараттық қауіпсіздік деңгейіңізді арттыра ма? Әрине жоқ.

Біздің мемлекетіміздің азаматтары үшін жарияланған жеңілдіктерді басшылыққа ала отырып, мемлекет Қазақстан Республикасының ұлттық қауіпсіздігін қамтамасыз етуге тырысады деп айтуға болады, тек бұл туралы айтуға ұялып жатқандай. Егер солай болса, онда мақсат, әрине, асқақ, бірақ ол «Қазақстан Республикасының ұлттық қауіпсіздігі туралы» 2012 жылғы 6 қаңтардағы № 527-IV Қазақстан Республикасының Заңына сәйкес келмейді.

Осы заңға сәйкес ұлттық қауіпсіздікті қамтамасыз ету - бұл ұлттық мүдделерді нақты және ықтимал қатерлерден қорғауға бағытталған ұлттық қауіпсіздік субъектілерінің қызметі. Ал ұлттық мүдделер - бұл мемлекеттің заңнамамен бекітілген саяси, экономикалық, әлеуметтік және басқа қажеттіліктерінің жиынтығы, олардың іске асырылуы мемлекеттің адамның және азаматтың құқықтарын, қазақстандық қоғамның құндылықтары мен конституциялық құрылыстың негіздерін қорғауға қабілеттілігін айқындайды.

Сонымен, ұлттық «қауіпсіздік сертификаты» бар қазіргі әрекеттерде мен жеке адам, не азаматтың құқығын қорғауды, сондай-ақ қазақстандық қоғамның құндылықтарын, конституциялық құрылыстың негізін көріп тұрған жоқпын.

ҚР ИСҚИАП, ҚР Ішкі істер министрлігі, ҚР Ұлттық қауіпсіздік комитеті. Мен жоғарыда аталған мемлекеттік органдардың қайсысы осы жобаның бастамашысы болып табылатынын білмеймін (мен бұл Қазақстан Республикасының ИСҚИАП емес деп сенгім келеді), бірақ тәжірибе оның солардың бірінде қызмет ететіндігін көрсетеді. Егер ол мәлімдеме жасап, оның өзі екенін мойындаса, жақсы болады. Халық өзінің «батырларын» өздері білуі керек. Бірақ бұл Қазақстан Президенті де болуы мүмкін. Олай болса, бұл да мойындаудың уақыты.

Қазақстан Республикасының байланыс операторларының қызметкерлері, сіздердің көпшілігіңізді жеке білемін, біз бір уақытта әр түрлі уақытта жұмыс істедік, біз әлі де біреумен тығыз байланыстамыз, біреумен бұрыннан достық қарым-қатынаста келеміз. Ия, сіздер бірнеше жыл бойы шешім қабылдаған адамдарға осындай шаралардың зияны туралы ақпаратты жеткізуге тырысқандарыңызды түсінемін. Ия, төменде жазғандарымның барлығы сіздерге ұнамай қалуы мүмкін екенін түсінемін, ал кейбіреулер мені жауларының тізіміне енгізуі мүмкін екендігін де білемін. Бірақ шындық қымбатырақ. Қазір сіздер серіктессіздер. Менің ойымша, пилоттық жобаны іске асырумен айналысатындардың бәрі, компанияның бірінші басшыларынан бастап, сертификаттың орнатылуы туралы SMS-хабарлама шығарған қызметкерлерге дейін. Погондағы жігіттерден айырмашылықтарыңыз (олар бұйрықтарға бағынуы керек), сізде таңдау болды. Сіздер айтпақсыздар: «Қандай таңдау? Бұл заңды талап!» Еліміздің заңнамасы мұны шынымен талап етеді делік. Бірақ ешкім бас тартуға және өз еркімен кетуді ойламады ғой. Қазіргі таңда керемет компаниядан жаман емес позициядан бас тартпай, өз орныңда нықтап қала беру - бұл бәрібір қуаныш екенін білемін, алайда мұнда әрқайсысыңыз өзіңіз таңдау жасайсыз.

Сізлдер «қауіпсіздік сертификатының» халық үшін қазіргі кездегі жұмысының салдары туралы нақты түсіндіңіздер және білдіңіздер. Сонымен, қайталаймын, мен үшін сіздер халыққа қарсы қылмыс жасаған адамсыздар. Сіздердің кейбіреулеріңізге мұны жеке әңгімеде айтқанмын. Егер сіздер қосымша талқылағыларыңыз келсе, мен әрқашан өз саламның мамандарымен сұхбаттасуға дайынмын.

Ал әлем ше? Ұлттық «қауіпсіздік сертификаттары» туралы не айтуға болады? Менің білуімше, әлемде бірде-бір жоба сәтті болған жоқ. Алайда, кейбір компаниялар өздерінің сертификаттарын өз серверлерінде және қызметкерлердің жұмыс құрылғыларында қолданады. Бірақ, жұмыс беруші-қызметкер мен мемлекет-халықарасындағы қатынас бірдей емесекендігін түсінетін шығарсыздар.

Қазақстан халқы, отандастар, сіз Ұлы Даланың азат адамдарысыз және өз құрылғыларыңызға ұлттық «қауіпсіздік сертификатын» орнатуды немесе орнатпауды өз беттеріңізше шеше аласыздар. Мен өзіме не болып жатқанын, куәлікті орнатудың жақсы жақтары мен кемшіліктерін айту үшін қол жетімді түрде міндет қойдым. Маған немесе басқаларға сенуді сұрамаймын. Әртүрлі көздерден ақпарат алыңыз, салыстырыңыз және қорытынды жасаңыз. Қандай таңдау жасасаңыз да, мен оны құрметтеймін.

Владимир Туреханов, 21.07.2019

Бұл да қызықты

2018 жылдың 20-21 қыркүйегінде Астанада, ЭКСПО Конгресс-орталығында Қазақстан машина жасаушылар одағының және ҚР Инвестициялар және Даму министрлігінің ұйымдастыруымен «Қазақстанның төртінші өнеркәсіп революциясы жағдайында дамудың жаңа мүмкіндіктері» атты VI Қазақстан машина жасаушылар форумы өз жұмысын бастайды.