×
484.11
528.79
5.03
#правительство #финансы #назначения #акимы #январские события #война в Украине
484.11
528.79
5.03

«Рамки рукопожатия» и личные данные, или Как в Казахстане контролируется свобода интернет-слова

19.09.2024, 15:25
«Рамки рукопожатия» и личные данные, или Как в Казахстане контролируется свобода интернет-слова
Коллаж Ulysmedia

Сегодня, 19 сентября, казахстанские эксперты в сфере интернет-безопасности и свободы слова выпустили большое исследование, в котором проанализировали ситуацию со «свободой сети» в республике. Согласно их выводам, ситуация не обнадеживающая. Анализ данных показал, что в Казахстане регулярно используются протоколы «безопасности», которые позволяют государственным службам при необходимости и «без суда и следствия» подсматривать за личной жизнью жителей страны. Корреспондент редакции Ulysmedia.kz пообщался с авторами доклада и узнал, каким образом государство может беспрепятственно получать доступ к персональным данным пользователей. Что стоит за блокировкой «нежелательного и неугодного» контента в республике? Какие операторы связи могут «сливать» личные данные без вашего согласия? И каков риск попадания персональной информации в руки нежелательных организаций и «мошенников».

Внедрение «Большого брата»?

Стоит отметить, что в последние годы об интернет-цензуре в нашей стране было сказано довольно много. На протяжении нескольких лет в Казахстане принимаются законы, которые ужесточают правила пользования различными интернет-ресурсами. Среди последних – закон «Об онлайн-платформах и онлайн-рекламе» и закон «По вопросам государственной статистики и управления данными».

Задачами первого прямо называются обеспечение прозрачности функционирования онлайн-платформ, безопасности информационного пространства в республике и недопущение противоправного контента. Однако многие эксперты сходятся во мнении, что законодатели попытались установить правовой статус популярных у казахстанцев социальных сетей и мессенджеров, таких как Facebook, WhatsApp и Telegram. Причем практически все из них находятся в иностранных юрисдикциях, не подчиняющихся законам РК. То есть вводится определенная система «добровольной цензуры», названная в законе «модерацией».

При этом самой резонансной попыткой внедрения «Большого брата» в Казахстане стал 2020 год. Напомним, 5 декабря министерство цифрового развития обнародовало новость о проведении в столице учений «Информационная безопасность Нур-Султан - 2020». В тот раз у пользователей возникали серьезные проблемы с доступом к некоторым зарубежным интернет-ресурсам. Для устранения проблем госорганы предложили установить специальный «сертификат безопасности», который разрешал пользователям не только зайти на интересующие их сайты, но и в целом позволял выйти в сеть. 

Многие граждане и IT-компании, включая зарубежные, негативно отреагировали на эту инициативу. В том числе возмутились такие гиганты, как Apple, Google и Mozilla.

Что под контролем

Причиной негодования послужил тот факт, что государственные органы использовали так называемый MITM (man-in-the-middle - человек посередине - прим. редакции. Позже в нашей стране в шутку его назовут «Казах посередине). Это означает, что между пользователем и запрашиваемым сайтом появляется третье лицо. В нашем случае - это государственные органы, которые контролируют трафик и получают данные абонента через сертификат безопасности. Стоит отметить, что через трафик могут передаваться данные различного характера: персональные данные, данные банковских аккаунтов, пароли и многое другое.

Также эта технология, наряду с DPI (технология проверки сетевых пакетов по их содержимому с целью регулирования и фильтрации трафика - прим. редакции), позволяет выявлять и в дальнейшем блокировать запрещенный контент. При этом судиться с операторами связи или с государственными органами гражданам фактически бессмысленно - ведь оператор связи предоставляет услугу по доступу в интернет, а не к отдельным сайтам. А у государственных органов с каждым новым законопроектом в области интернет-безопасности появляются действенные основания использования «сертификата». 

Рамки «рукопожатия»

Согласно анализу данных OONI, организации Internet Freedom Kazakhstan (IFKZ) и Евразийского цифрового фонда, было выявлено, что в Казахстане онлайн-цензуре подверглось множество интернет-ресурсов, среди которых – новостные СМИ, правозащитные организации, а также сайты, на которых выкладывали инструменты обхода блокировок.

  - Мы задокументировали использование новейшего корневого сертификата (НУЦ РК), выпускаемого , а также его использование для выпуска шести различных промежуточных сертификатов, использованных для проведения атак типа "man-in-the-middle" (MITM) в рамках “TLS-рукопожатия” в случае подключения к 14 различным доменным именам в 19 различных сетях Казахстана, - говорят исследователи.

И подчеркивают, что только с июня 2023 года по июнь 2024 года было заблокировано 17 новостных СМИ, четыре сайта с петициями, несколько интернет-ресурсов правозащитных организаций, среди которых – всемирно известная Human Rights Watch, а также 73 сайта с инструментами по обходу этих самых блокировок.

Стоит отметить, что, согласно исследованию, многие из ресурсов стали жертвами именно MITM-атаки в рамках TLS-рукопожатия (соединения между клиентом и сервером - прим. редакции).

Согласно существующим законам, использование и внедрение сертификата безопасности не является противозаконным. Однако формально ограничивает конституционные права граждан - право на поиск, получение и распространение информации, свободу слова и тайну переписки.

  - Сам функционал MITM подразумевает, что сертификат имеет функцию слежки за пользователями интернета. Поэтому ограничение запрещенного контента посредством “сертификата безопасности” является чрезвычайно эффективной онлайн-цензурой. Отмечу, что в законодательных нормах до сих пор остается много вопросов. Многие из них до сих пор отличаются “особой расплывчатостью”, когда речь идет о правовых основаниях для ограничения контента. Это может быть, как терроризм, экстремизм и порнографические материалы, так и “неугодная” информация для государственных органов, - пояснил один из авторов исследования, руководитель проекта «Internet Freedom Kazakhstan» Елжан Кабышев.

В некоторых случаях под блокировку попадали те СМИ, которые вели в Казахстане достаточно «агрессивную политику» в отношении читателей. Среди них - множество российских пропагандистских изданий, а также независимых, которые открыто говорили о различных проблемах в стране. 

Прогосударственные провайдеры 

Так кто из провайдеров сотрудничает с государством и становится тем самым «третьим лишним» в работе между казахстанцами и «свободным интернет пространством»? Аналитики обнаружили признаки TLS MITM в обширном списке провайдеров:

● Uplink LLC (AS8200)

● TimeWeb Ltd. (AS9123)

● JSC Kazakhtelecom (AS9198)

● «Mobile Business Solution» MBS LLP (AS15736)

● Kar-Tel LLC (AS21299)

● Kcell JSC (AS29355)

● Mobile Telecom-Service LLP (AS29555)

● Jusan Mobile JSC (AS35104)

● JSC Alma Telecommunications (AS39824)

● BTcom Infocommunications Ltd. (AS41124)

● JSC Transtelecom (AS41798)

● OBIT-telecommunications, LLC (AS43370)

● SMARTNET TOO (AS43994)

● STARK INDUSTRIES SOLUTIONS LTD (AS44477)

● ForteBank JSC. (AS48502)

● Mobile Telecom-Service LLP (AS48503)

● PS Internet Company LLP (AS48716)

● JSC Kazakhtelecom (AS50482)

● Kar-Tel LLC (AS206026) 

Как видно из списка, многие провайдеры - лидеры в предоставлении услуг связи для большей части населения республики.

   - Тот факт, что так много разных интернет-провайдеров реализуют MITM-атаки с использованием одного и того же сертификата, говорит о высоком уровне координации между разными провайдерами и довольно высоком уровне соответствия провайдерами требований по блокировкам, - отметил эксперт. 

Другими словами, в Казахстане поставщики связи знают о ситуации и не мешают государству использовать инструменты, для мониторинга действий пользователей. При этом сами пользователи даже не подозревают, что в момент использования интернет-сети за ними может наблюдать «третье лицо».

Что с правовой стороной вопроса?

В Казахстане в настоящее время невозможно получить выход в интернет, оставаясь неопознанным. Сейчас услуга доступа в «большую сеть» невозможна для тех, кто не зарегистрировал абонентские устройства сотовой связи. Кроме того, в конце августа этого года на обсуждение парламентариев была вынесена очередная государственная инициатива.

 Чиновники предложили обязать казахстанцев предоставлять свои биометрические данные при подключении к услугам сотовой связи и доступа к интернету. На фоне участившихся «сливов» баз данных в нашей стране этот законопроект, по мнению экспертов, выглядит не обнадеживающе и воспринимается многими достаточно неоднозначно.

  - Граждане нашей страны должны иметь право всегда контролировать свои данные, включая доступ к информации о том, как и где эти данные хранятся и используются, а также возможность отозвать свое согласие на их обработку. Прозрачность в этих вопросах крайне важна, чтобы обеспечить доверие граждан к новым мерам. Казахстан должен стремиться к тому, чтобы внедрение инноваций обеспечивало безопасность, не нарушая при этом фундаментальные права граждан на конфиденциальность и защиту личных данных. Иначе существует риск, что безопасность станет компромиссом, а не гарантией, - пояснил директор юридической фирмы Digital Rights Center Qazaqstan, основатель Евразийского цифрового фонда Руслан Дайырбеков.

Стоит также отметить, что абсолютная свобода выражения мнений в республике не допускается. Примером служат многочисленные судебные процессы в отношении различных казахстанских правозащитников, политических деятелей и журналистов.

   - Статьей 20 Конституции РК гарантирована свобода слова: “Каждый имеет право свободно получать и распространять информацию любым, не запрещенным законом способом”. Цензура запрещается, - напомнил соавтор исследования, казахстанский юрист и специалист по IT-праву Игорь Лоскутов.

Фактически единственное легальное определение цензуры приводится в Законе Республики Казахстан от 23 июля 1999 года № 451-I «О средствах массовой информации». Там четко прописано, что цензура - это предварительное согласование сообщений и материалов СМИ с государственными органами, должностными лицами и иными организациями по их требованию или по иным основаниям с целью ограничения или наложения запрета на распространение сообщений и материалов либо их отдельных частей.

  - Данное определение, во-первых, относит возможное ограничение или запрет на распространение сообщений и материалов исключительно к деятельности СМИ, а во-вторых, имеет в виду запрет на предварительное согласование, а не ограничение или запрет на уже опубликованных материалов и сообщений, - пояснил юрист.

Получается, в этом контексте казахстанское законодательство предоставляет госорганам широкие полномочия для осуществления надзора за распространением информации, в том числе и в интернете.

   - Сейчас мы задокументировали использование технологии для проведения атак TLS типа MITM. К сожалению, это вызывает обеспокоенность. Так как подобная практика ослабляет конфиденциальность и безопасность интернет-пользователей в нашей стране», - резюмировал Кабышев.

Эксперты уверены, что эра «Большого брата» теперь становится частью нашей жизни.