Казахстан предпринял новую попытку обязать граждан установить корневые сертификаты

Казахстан предпринял новую попытку обязать граждан установить корневые сертификаты

После установки на устройстве пользователя сертификат позволит властям перехватывать весь HTTPS-трафик.

В столице Казахстана Нур-Султан прошли киберучения, в рамках которых граждане должны были установить на свои устройства национальный сертификат безопасности.

За последние пять лет это уже третья попытка правительства Казахстана обязать граждан установить на свои устройства корневые сертификаты, если они хотят получать доступ к иностранным интернет-ресурсам. После установки на устройстве пользователя сертификат позволит властям перехватывать весь HTTPS-трафик с помощью атаки «человек посередине» (Man-in-the-Middle, MitM).

Как сообщалось в декабре 2015 года, закон Республики Казахстан «О связи» обязывает операторов связи пропускать зарубежный зашифрованный трафик с применением сертификата безопасности. Предполагалось, что новый национальный сертификат безопасности должен защитить граждан Казахстана во время доступа к использующим шифрование зарубежным интернет-ресурсам. Однако в то время операция по внедрению сертификатов так и не была проведена. Во второй раз крупные казахстанские провайдеры, включая Kcell , Beeline, Tele2 и Altel, попытались внедрить системы перехвата HTTPS-трафика в 2019 году, но производители браузеров добавили правительственный сертификат в список заблокированных.

6 декабря 2020 года в столице Казахстана прошли киберучения «Кибербезопасность Нур-Султан 2020», ставшие третьей попыткой установить сертификаты на устройства казахстанцев. В ходе мероприятия операторы связи переадресовывали своих абонентов на web-страницу с инструкцией по установке корневого сертификата и рассылали SMS-сообщения, уведомляющие граждан о новых правилах.

«С 6 декабря в Нур-Султане проводятся учения “Кибербезопасность Нур-Султан 2020”. Для сохранения доступа к некоторым иностранным интернет-ресурсам просим Вас установить на все свои устройства сертификат безопасности», – гласил текст SMS-сообщения.

6 декабря интернет-пользователи в столице жаловались на невозможность получить доступ к Google, Twitter, YouTube, Facebook, Instagram и Netflix без сертификата. В министерстве цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан (МЦРИАП) принесли извинения за причиненные неудобства.

«Мы постарались провести эти учения таким образом, чтобы максимально наши граждане не почувствовали неудобства, которые создаются этими учениями. Мы приносим свои извинения в связи с тем, что определенные неудобства возникали. Конечно, это сказывалось на работе иностранных интернет-ресурсов. Почему мы начали именно в выходные дни – это было связано с тем, что в это время человек максимально свободен, нет никаких рабочих моментов. В это время, наверное, минимум неудобств причинили мы нашим гражданам», – приводит информагентство Sputnik слова председателя комитета по информационной безопасности МЦРИАП Руслана Абдикаликова.

По словам Абдикаликова, в настоящее время все мероприятия с использованием сертификата безопасности завершены. Остается только фаза киберучений, связанных с отражением хакерских атак на государственные органы.

Киберучения проводятся с целью проверки готовности государственных органов, подразделений по обеспечению информационной безопасности, оперативных центров информационной безопасности и критически важных объектов информатизации противостоять киберугрозам.

Источник: Securitylab