Группа правозащитников и экспертов по цифровым правам и свободам выражают озабоченность по поводу повторной инициативы государства по внедрению сертификата безопасности, аналогичного прошлогоднему Qaznet Trust Network*, на личные устройства казахстанцев, имеющие выход в интернет. Речь идет о массовой смс-рассылке от операторов связи вечером 5-го и в течение дня 6-го декабря 2020 года абонентам в городе Нур-Султан. Абонентов уведомляли о необходимости установки на их устройствах сертификата безопасности в рамках учений “Кибербезопасность Нур-Султан 2020”, проводимых 6 декабря Министерством цифрового развития, инноваций и аэрокосмической промышленности и Комитетом национальной безопасности.

По закону «О связи» сертификат безопасности – это набор электронных цифровых символов, применяемый для пропуска трафика, содержащего протоколы, поддерживающие шифрование. Порядок выдачи и применения сертификатов безопасности определяет Комитет национальной безопасности Республики Казахстан.

По официальной информации сертификат безопасности устанавливается в рамках законодательства в целях ограничения распространения по сети телекоммуникаций информации, запрещенной вступившим в законную силу решением суда или законами Республики Казахстан.

По итогам прошедших учений на брифинге госорганов 7 декабря один из спикеров, представитель РГП ГТС КНБ Рамиль Бектемиров признал использование в казахстанском сертификате технологии man-in-the-middle или MITM («человек посередине, посредник» — в этих случаях вместо прямой связи между вашим браузером и конечным сайтом возникает связь через третью сторону, которая получает доступ к данным). Данный метод представляет собой инструмент слежки, потому что с установкой такого сертификата весь исходящий и входящий трафик на личных устройствах, включая историю поиска в браузерах, переписку в социальных сетях и мессенджерах, вводимые пароли, данные банковских аккаунтов, может стать доступен «лицу посередине» — органам нацбезопасности и другим «посредникам».

Кроме этого, доступ к “неблагонадежным” по мнению госорганов иностранным сайтам, которые в большом количестве и по различным основаниям ограничиваются в Казахстане сейчас и, чаще, без решений судов, будет в принципе невозможен.

Настораживает также секретность, которая окружает внедрение сертификата государством. Открывающийся с его установкой доступ государства к информационному трафику с личных устройств пользователей мобильного интернета дает широкие возможности для манипуляций, цензуры и злоупотреблений со стороны представителей власти. Более того, установка данного сертификата может представлять из себя угрозу кибербезопасности граждан – взлом или “дыра” в сертификате приведет к уязвимости данных на устройствах, где он установлен.

Хотя отказ установить сертификат на своем устройстве не будет, по уверению представителей власти, преследоваться по закону, он станет необходимым условием доступа к мобильной связи каждого абонента, пользующегося услугами казахстанских операторов мобильной связи. Законом «О связи» и Правилами выдачи и применения сертификата безопасности операторы связи обязаны распространить сертификат среди своих абонентов и внести соответствующие изменения в условия предоставления услуги. В этом случае отказаться от установки будет уже невозможно. Обычному пользователю придется установить сертификат на свое личное устройство для доступа в интернет.

Мы считаем, что данная инициатива нарушает права человека, гарантированные Международным пактом о гражданских и политических правах и Конституцией Республики Казахстан, а именно нарушает право на неприкосновенность частной жизни, включая на тайну переписки, создает угрозу для свободы выражения мнений, включая право свободно искать, получать и распространять информацию и создает возможность для широкой онлайн-цензуры, обоснованной не просто соображениями безопасности. Также сама секретность процедуры внедрения такого сертификата может быть расценена как ограничение права граждан на доступ к управлению делами государства.

Мы опасаемся за наши с вами свободы и свободу интернета, не хотим массовой тотальной слежки за собой, и не хотим такого будущего нашей стране.

Если вам не безразлична собственная приватность, если вы, так же как и мы, обеспокоены подобным ограничением универсальных и неотъемлемых прав человека, подпишите заявление, указав свое имя и фамилию, город и организацию под постом на нашей странице в Facebook.

#InternetFreedom #HumanRights #Security

* Летом прошлого года попытка внедрения сертификата национальной безопасности Qaznet Trust Network на мобильных устройствах жителей Астаны встретила негодование не только казахстанских и международных правозащитников, но и таких интернет-гигантов как Apple, Alphabet Inc. (Google) и Mozilla, которые сочли эту инициативу способом «шпионажа» за гражданами, «инструментом перехвата» зашифрованного интернет-трафика, способным скомпрометировать данные интернет-пользователей. Apple, Google и Mozilla заявили, что будут блокировать сертификат безопасности на своих платформах. Вскоре Президент Казахстана Касым-Жомарт Токаев в своем сообщении в Twitter заверил казахстанцев, что «защищенность информационного пространства РК доказана» и что впредь сертификат будет использоваться исключительно в случаях вторжения извне.