В последние годы в Казахстане все чаще поднимаются вопросы о целесообразности внедрения национального сертификата безопасности, а также запрета на использование Интернета через незащищенные шифрованием протоколы. Идея хоть и не обсуждалась широкой общественностью, ряд экспертов-скептиков успел заявить о его потенциальной возможности для «прослушки» всего внешнего трафика и нарушения политики конфиденциальности пользователей Интернета. Свое мнение на тему обеспечения информационной безопасности имеет и директор школы программирования «GRAND master»
Алмат КУАНЫШБАЕВ. Ему слово.
- В информационном пространстве Казахстана сегодня множество электронных и программных систем и сервисов, которые, несомненно, облегчают нашу с вами жизнь. И практически каждая из этих систем имеет уязвимости, причем в большинстве случаев элементарные. Это, нужно отметить, лакомый кусочек для хакеров. По статистике Алматинского Центра анализа и расследования кибератак (ЦАРКА), в 2016 году произошла утечка информации в 83 процентах госорганов Казахстана. И не случайно, что у нас в государственных органах и учреждениях образования ввели запрет на использование мобильных устройств, оснащенных Интернет-модулями, фото- и видеокамерами.
Сегодня собрать досье на человека в Интернете не представляет особого труда. Например, была обнародована статистика Казахстанской Ассоциации IT-компании о том, что в Кызылординской области люди в возрасте от 18 до 55 лет практически не умеют правильно обращаться с компьютером. Это говорит о цифровой безграмотности наших соотечественников. В пятницу 13 мая 1984 года в мире впервые был запущен вирус «Иерусалим», который, распространяясь по сети, удалял все данные в компьютерах. С тех пор различные компьютерные вирусы продолжают прогрессировать и разрастаться. Появились новые виды, основанные на возможности несанкционированного и неправомерного доступа к информации. Замыслы у злоумышленников при этом могут быть любые: от кражи денег до шпионажа.
Нам нужно привыкнуть жить в информационном мире и в первую очередь понять, что сегодня самое главное - это информационная безопасность. Практически нет ни одной системы безопасности, которую нельзя было «взломать». Есть политика информационной безопасности, есть методы защиты. И если пользователи Интернета будут соблюдать их, то они будут защищены. Но зачастую парадокс в том, что не вирус заражает компьютер, а сам пользователь – потому что именно он открывает зараженный документ, переходит на «интересный» сайт, качает нелицензионное программное обеспечение и так далее. Словом, нам нужно научиться соблюдать элементарные правила поведения в информационном мире, привить эти навыки родным и близким. Эти и другие темы – основные на проводимых нами встречах и в семинарах под названием «Киберпятница».
Говоря о необходимости цифровой «гигиены», хотелось бы сказать еще вот о чем. Есть такое понятие, как «социальная инженерия»- метод управления действиями человека без использования технических средств. Не так давно наш Центр с разрешения местного акимата провел такое исследование. Представившись сотрудниками управления внутренней политики, мы звонили в государственные органы, акиматы районов, школы и запрашивали информации о IT-сотрудниках. И что вы думаете? Нам удалось собрать полную информацию о них, включая паспортные данные, адреса, электронные почты, номера телефонов – все, что считается конфиденциальным и не должно передаваться третьим лицам. Бывало, получали ответы на фирменных бланках с печатями.
- Что скажете по поводу идеи внедрения национального электронного сертификата безопасности?- Этот вопрос находится не один год в повестке дня соответствующих министерств и ведомств. В настоящее время разработаны подзаконные акты, которые будут регулировать эти вопросы. Изменения в законе о связи, направленные на регулирование отношений с передачей шифрованной информации, подразумевает внедрение определенных норм, которые будут регулировать шифрованный трафик, передаваемые за пределами Казахстана и получаемые извне. Естественно, неосведомленных в этом вопросе пользователей ресурсов в первую очередь беспокоит конфиденциальная безопасность. Люди почему-то склонны думать о том, что с введением новшества спецслужбы будут отслеживать всю информацию, передающуюся по сети. Но на самом деле это не так. Цель внедрения сертификата состоит в повышении безопасности казахстанских пользователей Интернета при пользовании зарубежными ресурсами, а также для борьбы с международным терроризмом, детской порнографией, транснациональной преступностью. Дело в том, что социальные сети и мессенджеры, такие как «В Контакте», «Mail.ru», «Facebook», «Google», «WhatsApp» и другие, находятся за рубежом. И все сообщения, которые мы пишем, находятся «у них», и нет никакой гарантии в том, что к ним нет доступа спецслужб этих стран. История с Эдвардом Сноуденом – бывшим сотрудником ЦРУ и АНБ – наглядно показала, что от этого не застрахован никто, включая самых высших чинов государств.
В силу моей профессиональной деятельности часто слышу вопрос о возможности тотальной «прослушки». Люди наивно полагают, что, мол, у спецслужб есть какое-то чудо-устройство, с помощью которого при желании можно «сканировать» всех и вся. Вместе с тем они забывают о том, что в каждом телефоне есть протокол защиты, который прежде надо взломать. Это, во-первых. А во-вторых, никакие спецслужбы и государственные органы не имеют права на подобные действия без разрешения органов прокуратуры и суда. Об этом гласит закон, и нарушать его не вправе никто.
- В случае внедрения сертификата безопасности, каковым представляется механизм его работы?- Это будет своего рода информационная таможня. Информация, передаваемая за границы Казахстана и, наоборот, через зарубежные мессенджеры будет проходить в зашифрованном виде. И это правильно, ведь как уже говорил, пользователи Интернета не соблюдают элементарные меры информационной безопасности. Это чревато последствиями. Например, на браузер можно записать вредоносную программу, код, по которым в последующем можно контролировать каждый вход, заполучить доступ к налоговым отчетам организаций и ведомств, денежным средствам граждан. На этот счет можно привести немало примеров. Вот для чего нужен сертификат безопасности. Он не пропустить вредоносные программы и спамы, делая фильтрацию, будет их автоматически блокировать.
Как сказал основатель и владелец «Лаборатории Касперского» Евгений Касперский, «чем больше государство будет нуждаться на онлайн-обработке материалов, тем больше для него угроз». Сегодня мир на пороге пятой промышленной революции. Хотим мы того или нет скоро всюду будет властвовать цифровая технология, обуславливая необходимость укрепления информационной безопасности. И не случайно в Послании «Третья модернизация Казахстана: глобальная конкурентоспособность» Глава государства Нурсултан Назарбаев отметил все большую актуальность борьбы с киберпреступностью и поручил Правительству и Комитету национальной безопасности принять меры по созданию системы «Киберщит Казахстана».
- Если плюсы новшества так очевидны, то какие трудности с его внедрением?- Трудности, на мой взгляд, заключаются в том, что у нас не на должном уровне ведется разъяснительная работа. Люди на самом деле не знают, зачем стране нужен сертификат безопасности. Вместе с тем еще свежи в памяти печальные истории с «Синим китом», переходом наших соотечественников в ряды боевиков террористической организации ИГИЛ и другие. Их фигуранты переписывались через социальные сети, а надлежащего контроля со стороны государства не было. Здесь, конечно, есть и упущения
родителей.
И еще. Сама новость о том, что в Казахстане планируется внедрение национального сертификата безопасности, средствами массовой информации изначально была подана не корректно – с намеком на тотальную «прослушку». Соответственно, отсюда и протестное отношение общества к новшеству.
Отдельная тема для разговора – уровень квалификации отечественных IT-специалистов. В марте нынешнего года в стране произошла хакерская атака на казахстанские банки, в результате чего работа ряда из них была парализована. Это говорит о низком уровне кадров. Есть даже анализ о том, что в случае чего 90 процентов банков второго уровня страны не сумеют отразить хакерские атаки. Не хочу никого обидеть, но зачастую наши «айтишники» даже не умеют создавать обычные почтовые серверы. Весь оборот документации госорганов, передаваемый через социальные сети, является секретной информацией. Снова возникает резонный вопрос, на который отвечал выше: а внешняя контрразведка этих стран может прочитать наши письма. Конечно, да. Потому что исходные данные, которые мы отправляем через привычные нам мессенджеры – зарубежные. И здесь помощь сертификата безопасности была бы очень кстати. С его помощью информация будет проходить через серверы в зашифрованном виде, и «посредники» не смогут ее прочесть. А пока, к сожалению, в этом плане в Казахстане везде и всюду информационная «дыра».
Есть и техническая сторона вопроса, которую надо учесть. Если сертификат на исходном коде будет создан неправильно, то хакеры могут его «взломать», что чревато последствиями для Интернет-пользователей. Поэтому учитывая уровень подготовки отечественных специалистов, я бы рекомендовал регуляторов проекта обратиться к зарубежным специалистам, имеющим опыт в этом деле.
- Спасибо за беседу.
Записал Жанибек ИСАЕВ