”Сертификаты безопасности” и киберучения. Что происходит?: 07 декабря 2020, 10:00 – новости на Tengrinews.kz

”Сертификаты безопасности” и киберучения. Что происходит?: 07 декабря 2020, 10:00 - новости на Tengrinews.kz Сертификаты
Содержание
  1. Сертификат безопасности казахстана что это
  2. "сертификаты безопасности" и киберучения. что происходит?
  3. Что делать с сертификатом безопасности казахстана (qaznet trust network)
  4. "киберщит казахстана": в кнб подробно рассказали, для чего нужен сертификат безопасности | my-sertif.ru
  5. «киберучения» от кнб. казахстанцам вновь навязывают «сертификаты безопасности»
  6. В кнб ответили, нужно ли устанавливать сертификат безопасности
  7. В чем опасность установки «национального сертификата безопасности»?
  8. Вердикт: ложь и манипуляция
  9. Вердикт: манипуляция
  10. Вердикт: полуправда
  11. Вердикт: правда
  12. Мне нечего скрывать, я законопослушный гражданин! пусть читают, смотрят, даже могут писать от моего имени.
  13. Национальный сертификат позволит уберечь данные казахстанцев от фишинга?
  14. Сертификат позволит защитить казахстанцев и их детей от опасных сайтов?

Сертификат безопасности казахстана что это

А теперь перейдем непосредственно к сертификату Qaznet Trust Network.

Данный сертификат наше правительство предлагает «добровольно» установить на все свои устройства всем пользователям интернета.

Распространите среди жильцов нашего ЖЭКа. А если не будут брать — отключим газ!
к/ф Бриллиантовая рука

Главное добровольно…

Или добровольно сертификат или интернет. «Или… или…», руки Вам пока никто не выкручивает.

Самый главный и единственный вопрос: Для чего нужно устанавливать сертификат безопасности Казахстана?

Главный и единственный ответ: Для того чтобы владелец сертификата имел возможность читать все передаваемые данные между вашим браузером и конечным сайтом, а так же иметь возможность влиять на них, от вашего имени.

Все.

Это один Вопрос и один технический Ответ.

Все остальные ответы, которые можно услышать от сытых и довольных жизнью людей, уровня: «это даст пользователям возможность занимать удобную позу и использовать смазку.. при изнасиловании».

"сертификаты безопасности" и киберучения. что происходит?

Пресс-конференция в СЦК о проведении киберучений в городе Нур-Султане. Спикеры: председатель Комитета по информационной безопасности МЦРИАП РК Руслан Абдикаликов, заместитель директора департамента информационной безопасности КНБ РК Галымбек Татенов, представитель РГП “ГТС” Рамиль Бектемиров и президент ОЮЛ “Центр анализа и расследования кибератак” (“ЦАРКА”) Олжас Сатиев.

Напомним, что в выходные казахстанские пользователи испытывали трудности с доступом в YouTube, Facebook и другие социальные сети.

В Министерстве цифрового развития, инноваций и аэрокосмической промышленности Казахстана рекомендовали казахстанцам установить “сертификат безопасности”. Позже мобильные операторы опубликовали инструкции, как установить сертификат безопасности.

Начало пресс-конференции в 10:00.

Смотрите онлайн-трансляции на YouTube-канале Tengri TV.

Самые важные новости вместе с фото и видео! Доставляем прямо на твой телефон. Подпишись на Telegram-канал my-sertif.ru!

Что делать с сертификатом безопасности казахстана (qaznet trust network)

Пока Конституция Республики Казахстан, часть 18 оба пункта, еще на нашей стороне (или уже нет?), то мы все еще имеем право: «на тайну личных вкладов и сбережений, переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений», что нарушается установкой данного сертификата.

Выразить я могу только свое мнение, нисколько не навязывая его другим:

  1. Откладывать установку сертификата НЕбезопасности насколько можно (выполняется);
  2. Давать честную, техническую информацию о данном сертификате, о его функциях, действительно назначении и необходимости установки (выполняется);
  3. При появлении проблем доступа к ресурсам связанных с навязыванием установки сертификата, писать на egov.kz (по закону обращение будет переслано кому нужно) с указанием нарушения конституционных прав и требованием законодательного обоснования нарушения данного раздела Конституции РК;
  4. Не лишним будет продублировать вопрос в Виртуальную приемную президента Республики Казахстан;
  5. Переживать что у нас нет политических организаций, которые могли бы отстоять право гражданина на приватность и «непубличность». 🙂

Технические решения:

  1. Установить данный сертификат только в браузер Mozilla Firefox (пока его не запретили) и использовать только его для работы с гос.сайтами требующим данный сертификат. Данный браузер единственный, который имеет собственное хранилище сертификатов, поэтому доступ к расшифровке данных будет предоставлен только сайтами открытыми в этом браузере (выполняется);
  2. Установка виртуальной машины для работы с гос.сайтами.

"киберщит казахстана": в кнб подробно рассказали, для чего нужен сертификат безопасности | my-sertif.ru

мужчина смотрит на мобильный телефон
Иллюстративное фото: pixabay.com: UGC

В комитете нацбезопасности подробно рассказали о введении государственного сертификата безопасности, а также о том, для чего он нужен, пишет my-sertif.ru.

В КНБ напомнили, что сертификат безопасности был разработан еще в 2021 году, однако тогда не было целевой программы.

В 2021 году Нурсултан Назарбаев поручил разработать программу “Киберщит Казахстана”, которая и включает в себя сертификат безопасности.

Как рассказали в ведомстве, этот сертификат создан для того, чтобы защитить казахстанцев от хакерских атак, интернет-мошенников и иных видов киберугроз. В пример в КНБ привели игру “Синий кит” (доведение человека до самоубийства), распространившуюся в 2021 году в соцсетях.

«Владельцы социальных сетей не контролировали ситуацию, а у нас не было возможности ограничить доступ к данной информации», – уточнили в комитете.

По данным КНБ, сертификат безопасности разработан отечественными специалистами, иностранцы к разработке не привлекались.

«Мы строим “Киберщит Казахстан”, который по техническим решениям уникален и разработан под особенности Казахстана. Он использует лучшие решения мировых вендоров в сфере кибербезопасности и не схож с китайским», -уточнили в комитете.

Про сертификаты:  Классический массаж обучение в Ростов-на-Дону - Школа массажа Панфилова

Напомним, ранее казахстанцы получили SMS с просьбой об установке сертификата безопасности. Мнения экспертов по поводу данного нововведения разделились. Многие забеспокоились о возможной «слежке» и тому подобном.

В министерстве цифрового развития, инноваций и аэрокосмической промышленности поспешили успокоить казахстанцев, рассказав о плюсах в установке национального сертификата безопасности.

Высказались о нововведении и в генпрокуратуре. В надзорном органе заверили, что государство гарантирует соблюдение прав на неприкосновенность частной жизни, личную и семейную тайну, переписку и так далее.

Главное на NURTV News>>

Оригинал статьи: https://www.my-sertif.ru/society/1809265-kibersit-kazahstana-v-knb-podrobno-rasskazali-dla-cego-nuzen-sertifikat-bezopasnosti/

«киберучения» от кнб. казахстанцам вновь навязывают «сертификаты безопасности»

МОТИВАЦИЯ: «РОСТ КИБЕРАТАК НА ЦИФРОВОЕ ПРОСТРАНСТВО КАЗАХСТАНА»

Накануне министерство цифрового развития, инноваций и аэрокосмической промышленности (МЦРИАП) и комитет национальной безопасности заявили о проведении совместных учений по теме «Кибербезопасность Нур-Султан — 2020». Необходимость проведения учений МЦРИАП мотивировал «ростом кибератак на цифровое пространство Казахстана». Госорганы напомнили об установке «сертификата безопасности», вокруг которого был шум летом 2021 года.

«В период проведения киберучений возможно возникновение различных проблем с доступом к некоторым зарубежным интернет-ресурсам, которые могут быть устранены путём установки сертификата безопасности», — говорится в релизах МЦРИАП и КНБ.

Началом учений определили 6 декабря, однако дату окончания не сообщили. Жители столицы 6 декабря стали замечать проблемы с доступом к различным зарубежным информационным сайтам и социальным сетям.

В июле 2021 года казахстанские власти призывали казахстанцев установить так называемый «сертификат безопасности» Qaznet Trust Network. Однако продукт подвергся массовой критике со стороны интернет-пользователей и экспертов, которые единогласно предупреждали о том, что «сертификат» не может защитить от киберугроз, даже напротив — может способствовать передаче персональных данных третьим лицам.

Правозащитник проекта Internet Freedom Kazakhstan Елжан Кабышев в комментарии Азаттыку полагает, что новый «сертификат безопасности» по своему функционалу похож на «прошлогодний». Эксперт объясняет, что при установке этого «сертификата безопасности» личные данные пользователя будут доступны третьим лицам.

— Есть MITM (man in the middle), то есть человек посередине. Если устанавливаете сертификат на свое устройство, весь трафик от вашего устройства сначала будет идти через этот сертификат, а затем — в запрашиваемые сайты, к которым вы обращаетесь. То есть пароли, истории посещений ресурсов данный сертификат будет прочитывать. Переписки тоже. Это происходит, потому что вы установили сертификат на свое устройство, откуда выходите в интернет. И MITM — человек посередине — будет получать данные через этот сертификат, — предупреждает Кабышев.

«СЛЕДОВАТЬ РЕКОМЕНДАЦИЯМ ГОСОРГАНОВ ПРОСТО ОПАСНО»

Один из мотивов призыва к установке «сертификата» сотовые операторы называют «ограничение запрещенного законодательством Казахстана контента». По словам Кабышева, процедура отнесения контента к статусу «запрещенный» сомнительна.

— Возникают вопросы четкости и ясности законодательства, потому что те основания, которые предусматривают как запрещенный контент, расплывчатые. И на основании этого возникают вопросы о прозрачности деятельности госорганов в части запрещенных материалов и правоприменительной практики по ограничению доступа к таким материалам. Опасно ограничивать доступ к сайтам посредством сертификата. Получается, что идет цензура. Поэтому, конечно же, у общества есть недоверие, — отмечает эксперт.

Кабышев уверен, что следовать рекомендациям госорганов просто опасно.

— К примеру, за утечку персональных данных ЦИКом, Генпрокуратурой никто не привлекался к ответственности. И тут (в случае с «сертификатом». — Ред.) опять пилотный проект, но кто будет нести наказанность в случае утечки? Да, может практика измениться, но опыт предыдущих утечек показал, что никто из госорганов не понес наказания. А сертификат безопасности — это огромный объем данных интернет-трафика пользователей. И это не говоря о том, внедрят ли его полностью на территории страны, — размышляет Кабышев.

В Internet Freedom Kazakhstan задаются вопросом: являются ли испытания временными, или внедрение и использование «сертификата» планируется на постоянной основе, что подразумевает 4-й пункт 3-1 статьи 26 закона «О связи» и пункт 8 приказа председателя КНБ от 27 марта 2021 года.

Собеседник Азаттыка также добавил, что сейчас специалисты планируют собрать данные по технической части «сертификата» и анонсированных «учений» и на основании данных составить отчет, который будет включать вопросы прав и свобод человека и влияние этих «учений» на права граждан.

IT-специалист из Алматы Дос Ильяшев также не рекомендует устанавливать этот «сертификат» и отмечает, что он нужен не абонентам, а операторам связи.

— У нас есть провайдеры, пусть им ставят этот сертификат, чтобы они на своем уровне фильтровали трафик, а абонентов конечных заставлять ставить — это неправильно. В мире нигде так не делают. Если нас защищают от фишинговых атак, финансовых махинаций, то это правильно. Но если что-то другое, то нет, свобода слова превыше всего, — говорит Ильяшев.

«НЕСЛУЧАЙНО СОВПАЛО С ПРЕДВЫБОРНЫМ ПЕРИОДОМ»

Собеседник не исключает связь между действиями властей на ограничение доступа к иностранным интернет-ресурсам с внутриполитической ситуацией в Казахстане накануне парламентских выборов.

Про сертификаты:  Выдача сертификата (его дубликата) на региональный материнский (семейный) капитал – Детям – Семьям и детям – Меры соцподдержки – Щелковское управление социальной защиты населения

— Если исходить из того, что написано, сертификат будет защищать от контента, который нарушает законы. Наверное, предполагают, что до выборов будет распространяться контент антизаконный, — полагает Ильяшев.

Елжан Кабышев также полагает, что время проведения неслучайно совпало с предвыборным периодом, и поднимает вопрос законности проведения «киберучений» с ограничением граждан в доступе к некоторым интернет-ресурсам.

— Возможно, они готовятся к электоральным процессам таким образом. Лично мне эти учения напоминают то, как если бы проводили реальные учения, а мирных жителей уведомили, что они участвуют в этих учениях и будут в роли заложников. Без их согласия. Я вижу такую ситуацию. Это реально очень странно. Возникают вопросы законности таких мероприятий, почему мирных жителей втягивают в эти учения, которые проводят сами госорганы? Почему они должны устанавливать сертификат безопасности?

Тем временем на сайтах операторов сотовой связи приводится инструкция, как установить этот «сертификат безопасности», а также определение, для чего он нужен. Так, в компании Beeline считают, что «целью применения сертификата безопасности является ограничение распространения по сети телекоммуникаций запрещенной законодательством информации».

В компании Кcell отмечают, что «внедрение сертификата безопасности поможет в области защиты информационных систем и данных, а также в выявлении хакерских, кибератак интернет-мошенников на системы информационного пространства страны, частный, в том числе банковский, сектор до того, как они смогут нанести ущерб». Аltel заявляет, что «сертификат безопасности направлен на то, чтобы предоставить абонентам сотовой связи Казахстана выход в интернет в максимально безопасном режиме».

ПОЧЕМУ ТЕПЕРЬ ЦАРКА В КОМАНДЕ КНБ?

К так называемым киберучениям МЦРИАП и КНБ привлекают Национальный координационной центр информационной безопасности и систему «Киберщит Казахстана», Центр анализа и расследования кибератак (ЦАРКА), а также силы и средства оперативных центров информационной безопасности КВОИКИ (критически важные объекты информационно-коммуникационной инфраструктуры) и операторов связи, подразделения по обеспечению информационной безопасности государственных органов и частные компании.

К слову, при попытке внедрения «сертификата безопасности» в 2021 году Центр анализа и расследования кибератак высказывался против этой затеи. Президент центра Олжас Сатиев в комментарии Азаттыку отметил: «В нашей стране расписаны все роли участников процесса управления страной».

— В списке регуляторов ЦАРКА, естественно, нет. Исходя из этого очевидно, что возможность влияния на маршрут движения государства у нас отсутствует. Законы пишет отраслевое министерство, мы, конечно, можем их оспаривать в установленном порядке, но вынуждены подчиняться, — сказал Сатиев.

Глава ЦАРКА при этом подчеркнул: «В вопросе с сертификатом безопасности мы уже выражали свое мнение и останемся ему верны».

— Мы считаем его применение неуместным в обычное время, а применение в особые периоды — террористическая угроза, военные действия и подобное — возможным при определении четких нормативных процедур. Мы считаем, что внедрение сертификата неуместно в обычное время. И если вопрос об отказе от него не стоит у государства, то нужно хотя бы четко регламентировать, в каких ЧС его будут включать и на какие ресурсы, — объяснил позицию ЦАРКА Олжас Сатиев.

Он также сообщил, что «в предстоящих киберучениях» ЦАРКА отведена роль «хакерской группы, атакующей критическую инфраструктуру Казахстана, не более».

— В случае нашего отказа для этих работ были бы привлечены другие специалисты. Исходя из этой логики, мы согласились принять участие в предстоящих киберучениях. Мы — ведущая компания по информационной безопасности в Казахстане, и я не вижу проблем, почему бы нам не участвовать в том, в чем мы лучшие в Казахстане. Нас попросили проверить веб-ресурсы госорганов, что мы и так постоянно делаем. Киберучения — это комплекс мероприятий. Мы участвуем именно в этой части, — ответил Сатиев.

Он добавил, что «учения должны быть не больше недели», а «мероприятия с сертификатом, возможно, займут пару дней».

В кнб ответили, нужно ли устанавливать сертификат безопасности

Заместитель директора департамента информационной безопасности КНБ РК Галымбек Татенов рассказал, нужно ли казахстанцам устанавливать на свои устройства казахстанский сертификат безопасности, передает my-sertif.ru.

В минувшие выходные в столице были проведены киберучения, многие жители Нур-Султана не могли зайти в социальные сети.

Председатель комитета по информационной безопасности МЦРИАП РК Руслан Абдикаликов заявил, что этап с использованием сертификата завершен, однако учения еще продолжаются.

Один из пунктов учений связан с использованием сертфииката безопасности, его считаем исполненным. Сами учения будут продолжаться и дальше. У нас в стране около 200 государственных веб-ресурсов и около 400 информационных систем. Мы все должны проверить на готовность. Этап связанный с сертификатом безопасности завершен – пояснил он.

Галымбек Татенов ответил на вопрос журналиста о необходимости установки сертификата после учений.

Сейчас устанавливать сертификат – технические условия не побуждают. Но в будущем, чтобы исключить проблемы, если возникнет какая-либо ситуация, чтобы не возвращаться и заново не устанавливать сертификат, пусть он стоит на вашем устройстве, – ответил он.

Про сертификаты:  Как экспортировать файл открытого ключа

Журналист уточнила, будет ли у нее доступ к сети, если она откажется устанавливать сертификат.

Вы можете его не ставить. Элемент установки сертификата безопасности на свое устройство – вы можете поставить его добровольно. Если вы хотите иметь доступ, чтобы вам весь ресурс не отключался, а только точечная блокировка работала, сертификат помогает это сделать, – объяснил Татенов.

Глава комитета по информационной безопасности МЦРИАП Руслан Абдикаликов подчеркнул, что в отношении сотрудника, который злоупотребит сертификатом и произойдет утечка личных данных, будет возбуждено уголовное дело.

Чтобы получить данные на человека из этой машины, существует закон об оперативно-розыскной деятельности, есть УПК РК, за всеми действиями правоохранительных органов высший надзор осуществляет Генпрокуратура. В отношении сотрудника, кто злоупотребит этим, есть уголовная ответственность. Он будет сидеть в тюрьме, – сказал он.

Он также принес извинения перед жителями столицы за вызванные во время учений неудобства.

В чем опасность установки «национального сертификата безопасности»?

Вы в здравом уме и твердой памяти предоставляете свои персональные данные и другие передаваемые данные в расшифрованном виде кому-то… кому-то…

Вердикт: ложь и манипуляция

Во-первых, как мы видим из списка сайтов, для доступа к которым требуется сертификат во время «пилотного тестирования» в Астане, основная задача сертификата — контроль контента в социальных сетях. То есть — слежка, поиск контента, считающегося по мнению КНБ противоправным, и блокировка подобного контента. Данные о том, как используется данный сертификат для защиты от кибератак (например, фишинга) — отсутствуют.

Вердикт: манипуляция

Как мы уже писали, сертификат не использует принципиально новых технологий. То есть, принципиально ничем не отличается от уже существующих и доверенных технологий защиты от хакерских атак. Разница лишь в том, что ключ от него находится у КНБ. С достаточной уверенностью можно говорить лишь о том, что «противоправный контент» действительно будет на полном контроле.

Вопрос Tengrinews: Не повлияет ли установка государственного сертификата безопасности на приватность казахстанцев и на доступ к их переписке и прочим личным данным?

Ответ КНБ: «Мероприятия по внедрению сертификата безопасности проводятся в соответствии в законодательством Республики Казахстан, с соблюдением требований Законов РК “О допуске к информации”, “О персональных данных и их защите” и других.»

Вердикт: полуправда

Действительно, концепции «Киберщита» тогда ещё не было. Однако, напомним, что попытка внедрения сертификата в 2021 году вызвала возмущение IT-сообщества, а самому сертификату было отказано во включении в список доверенных. Причём проблемы у сертификата тогда были ровно те же, что и сейчас — связанные с MiTM.

На вопрос, что из себя представляет государственный сертификат безопасности Tengrinews получили следующий ответ:

«Сертификат безопасности — набор электронных цифровых символов размером 2 килобайта, применяемый для пропуска трафика, содержащего протоколы, поддерживающие шифрование, что позволяет пользователю устанавливать защищенное SSL/TLS-соединение с сервером.»

Вердикт: правда

Собственно, это просто основные характеристики любого сертификата безопасности, судя по всему — рерайт из Википедии с уточнением размера файла. Никакой пользы и дополнительной информации данный ответ не несёт.

На вопрос о бюджетных средствах, которые могут быть потрачены на введение сертификата безопасности пресс-служба КНБ сообщила следующее:

«Установка сертификата безопасности не требует финансовых вложений.»

Мне нечего скрывать, я законопослушный гражданин! пусть читают, смотрят, даже могут писать от моего имени.

Конечно.

Любому законопослушному гражданину и просто человеку нечего скрывать кроме того, что он посчитает «своим», личным.

Но в данной ситуации это абсолютно равнозначно ходить по большому городу и раздавать всем прохожим толстый блокнот — список со всеми своими аккаунтами (доступ к банкингам тоже не забудьте) и обязательно всей вашей перепиской с друзьями,  детьми и родственниками.

Некоторым прохожим ваши личные переживания будут очень интересны, а если ваши диалоги вдруг будут опубликованы — настоящему законопослушному гражданину нечего скрывать!

Об этой информации обязательно нужно знать всем, нет ничего личного и приватного у действительно законопослушного гражданина.

Ой! Или вы вы считали, что доступ к вашим данным будут иметь только самые честные и неподкупные люди, чьи имена известны и всех «избранных» можно пересчитать на пальцах одной руки?

Ваши данные это не только то что вы делаете в данный момент, но и данные, что вы уже сделали (после установки сертификата), их нужно где-то хранить.

Национальный сертификат позволит уберечь данные казахстанцев от фишинга?

Нет.

Сертификат позволит защитить казахстанцев и их детей от опасных сайтов?

Нет.

Установка сертификата дает только расшифровку/изменение ваших передаваемых данных, осуществление атаки «main in middle» (Википедия) против своего гражданина, на государственном уровне.

Отслеживать какие сайты посещают пользователи и блокировать сайты, провайдеры могут и делают уже давно.

Оцените статью
Мой сертификат
Добавить комментарий