Qaznet сертификаты деген не және ол қауіпсіз бе? | Factcheck.kz

«ата-ана бақылауы» туралы

Орнатылған сертификат қай домендерге кіру немесе тыйым салу керек екенін басқара алады. Мысалы, пайдаланушыға тек мемлекеттік сертификаттау орталығы мақұлдаған домендерге кіруге рұқсат етіледі.

Мұндай тәсілмен «ата-ана бақылауы» функциясын да жүргізуге болады, алайда ол үшін басқа да тәсілдер бар. Мысалы, «қара» тізімдегі домендерді бұғаттау үшін DNS пайдалану.

Mitm-шабуыл дегеніміз не?

Бұл «Саңырау телефон» немесе «Одан әрі айт» ойынына ұқсайды: хабарлама шеңбер бойынша таралады, әрбір қадам «құпия және құпия» болса да, ол соңғы хабарлама бастапқы сияқты болатынына кепілдік бермейді. Хабарлар жолда өзгертілуі, жіберілуі, жазылуы және т. б. мүмкін.

№34 техникалық комитеті немен айналысады?

Ол 2001 жылы Қазақстан Республикасы Экономика және сауда министрлігінің Стандарттау, метрология және сертификаттау жөніндегі комитетінің бұйрығымен «Зерде» Ұлттық инфокоммуникациялық холдингі» АҚ базасында құрылды. ТК-34 құрудың негізгі мақсаты – ақпараттық технологиялар саласында техникалық реттеу жүйесін қалыптастыруға қатысу.

Қаржыландыру көздеріне қатысты Комитет ережесінде мыналар айтылған:

• 6.1 ТК-34 жұмыстарын қаржыландыруды мүдделі ұйымдар шарттық негізде жүзеге асырады.
• 6.2 Мемлекеттік бағдарламалар құрамында орындалатын жұмыстар республика бюджетінен қаржыландырылады. 
• 6.3 ТК-34 қызметін қаржыландыру көздері:

— нормативтік және әдістемелік құжаттарды әзірлеуге бөлінетін мақсатты бюджеттік және бюджеттен тыс қаражат; 

— Қазақстан Республикасының заңнамасымен тыйым салынбаған басқа да көздер.

«Зерде» холдингінің еншілес компаниялары арасында «Қазтелерадио» АҚ және Astana Hub IT стартаптарының халықаралық технопаркі, сондай-ақ my-sertif.ru электрондық үкімет порталын жасаушылар және «Ұлттық ақпараттық технологиялар» АҚ-ның «Қазақстанның қалқаны» киберқауіпсіздік концепциясын әзірлеушілері бар.

Барлығы неден басталды?

2021 жылдың қараша айында Қазақстан Үкіметі «Байланыс туралы Заңға» түзетулер енгізді. Осылайша олар өздеріне Қазнетті бақылауға рұқсат берді. Бұдан кейін ҚР Ұлттық қауіпсіздік комитеті жанындағы Мемлекеттік техникалық қызмет Mozilla-ға «Қазақстан Республикасында ақпарат алмасу үшін ортақ сенімді кеңістік құру» туралы өтініш жолдап, осы браузер үшін «түбірлік сертификатты» пайдалануға рұқсат сұрады.

Бұл ретте олар «сенімді» деп аталатын кеңістік шифрленген байланыстарды бұзатынын, ал қосымшаның өзі тек Электрондық үкімет сервистерінің қауіпсіздігі үшін ғана қажет екенін айтпаған.

Mozilla сертификаттың MITM-шабуылдары туралы бірнеше есептен кейін («man-in-the-middle») өтінішті қабылдамады. Мұндай шабуылдар соңғы шифрлауды бұзады және шифрланған трафиктерді бақылауға мүмкіндік береді.

Сертификатқа 2021 жылы тыйым салынғанына қарамастан, 2021 жылдың шілдесінде жағдай қайталана бастады.  Веб-браузерлер «түбірлік сертификатқа» рұқсат бермегендіктен, интернет-провайдерлер қолданушыларға «өздеріңіз орнатыңыз» деп хат жібере бастады.

Браузерге арналған сертификат дегеніміз не?

Бұл – деректер, яғни олардың көмегімен сіздің браузер сіздің шифрланған байланысыңыз деректерді тасымалдауды аяқтағанын растайды. Сіз браузер орнатқан кезде, онда бірден сертификаттар да орнатылады. Олардың әрқайсысы белгілі бір ұйымның шифрланған сеанспен байланысы үшін жауап береді.

Былайша айтқанда, сертификаттар сіз жүгініп отырған компьютердің иесі кім екенін айтып береді. Алайда бір шифрланған байланыс құпиялылыққа кепілдік бере алмайды. Сіз керек емес адаммен «сөйлесіп» отыруыңыз мүмкін. Сондықтан сертификаттар сенім орнатуға көмектеседі.

Браузерде үнсіз келісім бойынша қандай сертификаттар болуы керектігін кім шешеді?

Бұл туралы браузер жасаушылардың өз ережелері бар. Мысалы, Mozilla кодексімен мына жерден танысуға болады.

Жалпы, ережелердің мағынасы келесідей: үміткерлер өз өтініштерінің мән-мағынасын егжей-тегжейлі түсіндіруі тиіс, сондай-ақ олар Webtrust-ке сәйкес тексеруден өтуі қажет. Бұл «өзге» әрекеттерге жол бермеу үшін қажет.

Мысалы, Mozilla түбірлік сертификатының ережелері былай деп мәлімдейді: «Біз пайдаланушыларымыздың қауіпсіздігіне байланысты Mozilla түбірлік бағдарламасына сертификаттау орталығынан келген сертификаттардың қайсысын енгізуді өзіміз анықтаймыз».

Қазақ қалқаны 2.0

Осындай сертификатты енгізудің алғашқы әрекеті 2021 жылы болды. Ол кезде оны Mozilla өшіріп тастады. Себептерін жоғарыда тізіп бердік. Басты мәселе – «ортадағы адам».

Ресми дерек көздері бұл пайдаланушылардың игілігі үшін жасалатынын айтса, мемлекетке тәуелді байланыс операторлары оларды қостап отыр. Алайда, біз көріп отырғанымыздай, сертификаттың пайдадасынан гөрі қауіпті тұстары көп.

Қауіпсіздік сертификаты құрылғыны бұзудан қорғай ма?

Кем дегенде, қазақстандық билік пен мобильді операторлар сертификат сіздің смартфон мен компьютеріңізді бұзудан қорғайды деп сендіреді. Алайда сертификат арқылы қорғану киберқылмыспен күресудің ең тиімді шешімі емес. Егер 2021 жылы сертификат мемлекеттік қызметтерге арналған болса, онда қазіргі уақытта ол мәліметтерді оқуға арналғанына еш күмән жоқ.

Мұндай жағдайда vpn сервистері көмектесе ма?

Иә, егер олар, әрине, елде бұғатталмаған болса. Дегенмен, айта кететін бірнеше ескерту бар:

Мұны өзіңіз таба аласыз ба?

Иә, сіз мұны Қазақстаннан тыс жерлерден де көре аласыз:

Не істеу керек?

• Біріншіден, бұл сертификатты орнатпау керек және ол талап ететін рұқсат келісімдерін бермеу қажет. 
• Екіншіден, сертификатты орнату ерікті іс екенін есте сақтау қажет және ешкім сізді бұған мәжбүр ете алмайды. Себебі бұл заңға қарсы болар еді. 
• Үшіншіден, егер сертификат бүкіл ел бойынша енгізілетін болса, онда заманауи ақылы VPN-сервистерін пайдалану – жалғыз қауіпсіз шешім болады. Өйткені көптеген тегін VPN-дар осал болып қалады.

Посмотрите видеоролик о том, как получить эцп удаленно, если вы уже зарегистрированы в базе мобильных граждан

Посмотрите видеоролик о том, как получить ЭЦП удаленно, если вы не зарегистрированы в Базе мобильных граждан

Сертификат арқылы әлеуметтік желілердегі жеке парақшаларды бұғаттау мүмкін бе?

Иә. Деректер сеансы ашылғаннан кейін, сертификатты жасаушылар белгілі бір URL адрестерді бұғаттай алады. Мысалы, мысықтарға арналған топтарды жауып тастау болады:

Сертификат дегеніміз не және ол сіздің трафигіңізге қалай әсер етеді?

Вице-министр Оспанов сертификат қауіпсіз дейді. Расында солай ма? 

Сертификат тарапынан рұқсатсыз араласу тіркелді ме?

Иә. 17 шілдеден бастап араласу әрекеттері Нұр-Сұлтанда байқалуда. Атап айтқанда, бұл AS9198 KazTelecom операторының траффигіне қатысты. Мұндай нақты техникалық мәліметтерді Мичиган университетінің зерттеушілер тобы жүргізетін «Censored Planet» жобасы сипаттайды.

Сертификаттау орталығы жібермей қоюы мүмкін бе?

Mozilla «сертификаттарды» бірнеше жағдайда алып тастаған болатын. Олардың бірінде Қытай билігінің сертификаттау орталығынан болса, екіншісінде, жақында — DarkMatter шпиондық фирмасынан келген сертификаттар еді.

Барлық процесс үшін көп уақыт қажет. Сондықтан, егер браузер қандай да бір сертификаттау орталығын қабылдаған болса, онда оны шығарып тастау үшін бірнеше ай кетуі мүмкін.

Сертификатты жасаушылар қай заттарға рұқсат алады?

Сертификатты жасаушылар (немесе жасауға тапсырыс беруші) сіздің барлық мәліметтеріңізді көре алады, демек әлеуметтік желілердегі посттар, кірген сайттар мен сатып алу тарихыңыздан бастап аз қорғалған чаттардағы жеке хаттарыңызға дейін оқи алады.

Тіпті парольдарыңызды да көре алуы мүмкін. Іс жүзінде, Qaznet сертификатын орнату арқылы, сіз өз мәліметтеріңізді үшінші тарапқа ашып бересіз. Сонымен қатар, үшінші тарап сіздің трафикті оқып қана қоймай, оны өзгерте алады. Сертификатқа құқық берген кезде, сіз оған браузердегі кез келген сайттарға арналған сертификаттарды өзгертуге мүмкіндік бересіз. Ешқандай кепілдік және тіпті түсінікті келісім жоқ, сіз сертификатқа өз мәліметтеріңізге толық жол ашасыз.

Mozilla мамандары сертификатты сынақтан өткізіп, шифрлеуді ауыстыру болғанын дәлелдеді.

Яғни деректер таралып кеткен жағдайда, қаскөйлер сіз жіберген контентті өзгерте алады (айтпақшы, бұны сертификатты жасаушының өзі де істей алады). Жалпы, сертификатқа толық қол жеткізіп, иеленген адам сіз интернеттен алатын және жіберетін кез келген контентіңізді ауыстыра алады.

Мысалы, сіз әлеуметтік желіге зиянсыз суретті жібересіз, ал нәтижесінде – экстремистік контентті жариялайсыз. Немесе сізге шын жаңалықтардың орнына ойдан шығарылған немесе цензураға ұшыраған кез келген контентті алмастырып, көрсете алады.

Браузерлерді жасаушылар осы сертификатты пайдалану кезінде пайда болып, алдын ала ашылмайтын, қауіп туралы хабарлайтын арнайы баннерді енгізу нұсқасын қарастырып жатыр. Теория жүзінде Google, Mozilla және басқалары бұл сертификатты өз браузерлерінде оп-оңай бұғаттап тастай алады. 

Ойланатын нәрсе — сіз осы сертификатты жасағандарға қаншалықты сенесіз және оның адалдығына сенімдісіз бе (сертификатты жасаушы туралы төменде оқыңыз).

Жоғарыда айтылғандарды ескере отырып, біз бұл сертификатты мүлдем орнатпауға кеңес береміз.

Сертификатты орнату қажет пе?

Жауап – жоқ. «Байланыс туралы» ҚР Заңы азаматтарды осы сертификатты орнатуға міндеттемейді.Заң тек байланыс операторларына қатысты. Осыған қоса 19 шілдеде ҚР Цифрлы даму вице-министрі Абылайхан Оспанов та орнатудың қажет/міндет емес екенін мәлімдеді.

Тексеру қорытындылары туралы бірден хабарлайтынымыз

1. Сертификатты орнату міндетті емес. Себебі ҚР заңында ондай талап жоқ. Ол тек байланыс операторларына қатысты.
2. Бұл сертификатты орнату – қауіпсіз емес. Сіздің мәліметтеріңіз, соның ішінде жеке ақпараттарыңыз үшінші тұлғаларға, тіпті төртінші және бесінші қол жетімді болады.
3. Бұл сертификат – пошта және мессенджерлерде шифрланбаған хабарламаларды қоса алғанда, елдегі барлық трафикті бақылауға алудың тікелей әрекеті.
4. Осы сертификат бұзылған жағдайда сіздің мәліметтеріңіздің ұрлануына кім жауап беретіні және оның әзірлеушісі мен тапсырыс берушісінің жауапкершілігі қандай екені түсініксіз.
5. Сертификат орнатылатын сайттың өзі ашық мәліметтер бойынша — ҰҚК-де жұмыс істейтін жеке тұлғаға тіркелген. Сертификат туралы ақпарат ашық емес, ал сарапшылардың сөзінше оны әзірлеудегі жұмыстар әдістері ескірген.
6. Егер сертификат бүкіл ел бойынша енгізілсе, бірден-бір қауіпсіз шешім – соңғы нұсқадағы ақылы VPN-сервистерін пайдалану. 

Енді – толық деректер.

Фитосанитарлық пен карантиндік сертификат қандай құжат және оны қайдан аламын?

Қазақстан Республикасының «Өсімдіктер карантині туралы» заңына сәйкес, «карантинге жатқызылған өнімдерге карантинді объектілерді (карантинді зиянды организмдерді)тасығыштар болуыжәне олардың таралуына әсер етуі мүмкін, карантинге жатқызылған өнім тізбесіне енгізілен және оларға қатысты карантиндік шаралар қабылдау қажет болатын өсімдік, өсімдіктен алынған өнім, ыдыс, орам, жүктер, топырақ, организмдер немесе материалдар болып табылады».
Аталмыш өнімдерді Қазақстан Республикасы аумағында облысаралық тасымалдауға уәкілетті органның аумақтық бөлімшесінің өсімдіктер карантині жөніндегі мемлекеттік инспекторы беретін карантиндік сертификат және де Қазақстан Республикасынан тыс жерлерге шығаруға фитосанитарлық сертификат қажет.
Карантиндік, фитосанитарлық сертификат дегеніміз не?
– карантиндік сертификат – мемлекет ішінде тасымалдауға арналған карантинге жатқызылған өнімнің карантиндік жай-күйін куәландыратын құжат;
– фитосанитарлық сертификат- карантинге жатқызылған экспорттық өнімнің карантиндік жай-күйін куәландыратын құжат;
Карантинге жатқызылған өнімді Қазақстан Республикасының аумағында тасуға карантиндік сертификат беру және карантинге жатқызылған өнімді Қазақстан Республикасынан тыс жерлерге шығаруға фитосанитарлық сертификат беру мемлекеттік көрсетілген қызметтерін Қазақстан Республикасы Ауыл шаруашылығы министрлігі Агроөнеркәсіптік кешендегі мемлекеттік инспекция комитетінің аумақтық инспекциялары көрсетеді.
Аталған құжаттарды қайдан, қалай аламын?
Мемлекеттік қызметті көрсету нысаны электронды және қағаз түрінде жүзеге асырылады.
Мемлекеттік қызметтер туралы ақпарат және мемлекеттік көрсетілетін қызметтер стандарттары аумақтық инспекциялардың стендінде, сонымен қатар, Қазақстан Республикасы Ауыл шаруашылығы министрлігінің www.mgov.kz интернет ресурсында орналасқан.
Мемлекеттік қызметті көрсету мерзімі:
1) карантиндік сертификат – көрсетілетін қызметті берушіге құжаттардың топтамасын тапсырған сәттен бастап, сондай-ақ порталға жүгінген кезде-1 (бір) жұмыс күні ішінде;
2) фитосанитарлық сертификат беру-көрсетілетін қызметті берушіге құжаттардың топтамасын тапсырған сәттен бастап, сондай-ақ порталға жүгінген кезде-3 (үш)  жұмыс күні ішінде;
Жұмыс кестесі:
-Дүйсенбі-жұмаға аралығында сағат 9:00-дан 18:30-ға дейін (түскі үзіліс сағат 13:00-ден 14:30-ға дейін).
-Демалыс және мереке күндері- Қазақстан Республикасының еңбек заңнамасына сәйкес көретілетін қызметті беруші белгілеген жұмыс уақыты кестесіне сай атқарады.
-Өтінім қабылдау және мемлекеттік қызмет көрсету нәтижесін беру сағат 9:00-дан 17:30-ға дейін жүзеге асырылады  (түскі үзіліс сағат 13:00-ден 14:30-ға дейін
Мемлекеттік қызмет көрсету тәртібі туралы бірер сөз
Мемлекеттік қызмет алу үшін арнайы орталыққа жүгінген кезде, қандай құжаттар қажет болады? Қаперде жүрер кеңеске мұқият назар салыңыз:
1) осы мемлекеттік қызмет көрсету стандартына қосымшаға сәйкес нысан бойынша өтінім;
2) жеке басын куәландыратын құжат және өкілдін өкілеттілігін растайтын құжат (жеке тұлғаны сәйкестендіру үшін).
3) импорттаушы  елдің өсімдіктер карантині жөніндегі ұлттық қызметінің өсімдіктер карантині саласындағы талаптары (фитосанитарлық сертификат алу кезінде ғана).
Ал электрондық порталда:
1) Мемлекеттік қызмет көрсету стандартындағы қосымшаға сәйкес, электрондық құжат нысанындағы өтінім.
2)импорттаушы елдің өсімдіктер карантині жөніндегі ұлттық қызметінің өсімдіктер карантині саласындағы талаптары (фитосанитарлық сертификат алу кезінде ғана).
Мемлекеттік қызмет көрсетуден бас тартуға мыналар негіз болып табылады:
1) өтініш берушінің карантинге жатқызылған өнімді тексеріп қарауға ұсынбауы;
2) карантинге жатқызылған өнімде карантинді объектілер анықталған жағдайда;
3) импорттаушы елдің фитосанитарлық талаптарына сәйкессіздігі анықталған жағдайда;
4) өтініш берушінің фитосанитарлық сертификат алудан өз еркімен бас тартуы;
5)уәкілетті орган ведомствосының тиісті аумақтық бөлімшелерінен ақпараттарды алғаннан кейін 30 күнтізбелік күн ішінде өнім иесіне фитосанитарлық сертификатты беруден бас тартуға, жеткізу орынының өзгеру жағдайын қоспағанда, бірнеше рет (2 рет және оданда көп)  қызмет берушінің лауазымды тұлғасына карантинге жатқызылған өнімді хабарламау және ұсынбау негіз болып саналады.
Аталмыш мемлекеттік қызметтер толығымен тегін көрсетіледі.
Жоғарыда көрсетілген құжаттарсыз өнімдерді тасымалдау-  Қазақстан Республикасының «Әкімшілік құқық бұзушылық туралы» кодексінің 400 бабын бұзу. Ендеше, қажетті құжаттар әрдайым жаныңызда болсын.
Өсімдіктер карантині бойынша туындаған сұрақтарға толық ақпарат алу үшін мына мекен –жайға хабарласуыңызға болады:
Арал қаласы ,М.Сәдібеков көшесі №118 тел.8(72433)2-36-89
Эл.меккен –жай: ermaganbetov.b@minagri.gov.kz

Б. Ермагамбетов,

ҚР АШМАӨК МИК-нің, Арал аудандық аумақтық

инспекциясы бас маманы, өсімдіктер карантині

жөніндегі мемлекеттік инспекторы.