К сожалению, мода на ангажированный характер публикаций, который навязывают обществу практически все крупные соцсети, иногда мешает прислушаться к голосам профессионалов. Растянувшееся на долгих 4 года внедрение национального сертификата безопасности относится именно к той сфере общественных интересов, где техническая экспертиза не должна служить неким опциональным довеском к вороху субъективных оценок блогеров и активистов.
Впрочем, нельзя сказать, что специалисты IT-сферы намеренно избегают публичных высказываний на тему информационной гигиены. Например, вызвавшая много шума пресс-конференция с участием министра цифрового развития, инноваций и аэрокосмической промышленности Аскара Жумагалиева в каком-то смысле была ответом на дискурс, который время от времени поднимает Центр анализа и расследования кибератак (ЦАРКА). Кроме самого министра, на вопросы журналистов о судьбе национального сертификата безопасности отвечали Руслан Абдикаликов из Комитета по информационной безопасности и Зекен Исмаилов из государственной технической службы при КНБ РК.
Айтишники в отличие от журналистов не склонны оценивать инициативы государства по шкале этичности и правомерности внедряемых инициатив, зато способны дать общественности техническое понимание нововведения. Возможно, нам всем сейчас не хватает именно такого подхода к анализу государственных инициатив, особенно на ниве объявленной правительством цифровизации экономики.
Довольно показателен в этом случае круглый стол журналистов и представителя организации Internet Freedom, который прошел за день до памятного выступления Аскара Жумагалиева. Журналист Сергей Дуванов, транслировавший встречу на Facebook-канале Polyton club, созвал активистов для разговора на тему «Сертификат безопасности: плюсы и минусы». И при всем уважении к общественным деятелям, остро переживающим за нашу с вами информационную безопасность, о самом механизме действия сертификата почти ничего не было сказано.
На самом деле именно специалисты по кибербезопасности должны дать ответ на главный вопрос: насколько дееспособен и приемлем для массового пользователя предлагаемый государством сертификат безопасности?
Возьму на себя смелость предположить, что первый шаг к этой независимой технической экспертизе, в котором так нуждается общество, был сделан именно командой вышеупомянутого ЦАРКА.
В одном из прошлых бесед со мной директор этой негосударственной организации Арман Абдрасилов упоминал о том, что его эксперты когда-то были включены в общую работу по созданию основ информационной безопасности государственных органов и частных организаций Казахстана. Инициатором привлечения специалистов к этому непростому делу было, конечно, Министерство оборонной и аэрокосмической промышленности РК.
Неудивительно, что руководству ЦАРКА удалось внести в этот шумный и эмоциональный дискурс вокруг сертификата толику холодного трезвого расчета: компания срочно организовала непубличную встречу компетентных товарищей из различных структур, чтобы сообща выработать механизм объективной технической экспертизы государственного сертификата безопасности.
Встреча состоялась в тот же день – 26 июня, почти сразу же после памятной пресс-конференции с участием Аскара Жумагалиева. О заинтересованности государственных органов в этом разговоре говорит и состав участников: кроме специалистов по кибербезопасности из компании ЦАРКА, в дискуссии принял участие представитель государственной технической службы при КНБ РК, а также человек из Министерства оборонной и аэрокосмической промышленности РК. Имена участников, естественно, не афишировались.
Учитывая непубличный характер встречи, я связался с директором ЦАРКА, чтобы задать ему пару вопросов относительно выводов и заключений, к которым пришли участники.
Арман Абдрасилов в целом подтвердил опасения журналистов: эксперты по кибербезопасности действительно оценивают национальный сертификат безопасности как мощный инструмент в руках государства.
По заявлениям властей, этот инструмент будет использоваться только для фильтрации трафика, однако у него есть еще масса других возможностей, которые вызывают у эксперта вполне законные опасения. Например, возможность просмотра содержания шифрованного трафика, в том числе паролей обычных пользователей, а также подмена информации.
«Государство заверяет нас в том, что, вынужденно получив мощный инструмент, будет использовать его только на 10% возможностей. При этом просит поверить на слово, не предоставляя никаких методов общественного контроля», – делится опасениями Арман. И добавляет, что других методов точечной фильтрации пользовательского трафика без блокирования всего ресурса у наших контролирующих органов пока нет. Такой вариант возможен лишь при условии, что крупнейшие соцсети, которыми мы привыкли пользоваться каждый день, согласятся перенести свои сервера под доменом KZ на территорию Казахстана.
Но многолетние переговоры казахстанских властей с международными информационными платформами Facebook и YouTube не дали пока результатов. Эти организации признают только решение американского суда.
«Сложности добавляет и политический мотив внедрения сертификата, – замечает Арман, – и это мешает объективной оценке возможностей данного инструмента. Например, действие национального сертификата не распространяется на мобильные приложения популярных соцсетей и мессенджеров типа Facebook и WhatsApp, там «вшиты» собственные сертификаты».
Еще одной темой разговора с представителями контролирующих органов стал непосредственно регламент доступа к соцсетям без использования национального сертификата. У Армана сложилось впечатление, что власти до сих пор не определились с графиком блокировки соцсетей для тех, кто решил не использовать сертификат в своих компьютерах: либо доступ к соцсетям без сертификата будет перекрыт, либо предусмотрят некий период открытого доступа в течение суток.
Впрочем, Арман Абдрасилов оценивает итоги встречи с официальными лицами довольно оптимистично. Главным достижением этого редкого в наших казахстанских реалиях прямого диалога экспертного сообщества и контролирующих органов стала договоренность продолжить дискурс. Вполне возможно, что следующая встреча экспертов и властей на тему внедрения сертификата безопасности пройдет уже в публичном формате.