Сегодня, 19 сентября, казахстанские эксперты в сфере интернет-безопасности и свободы слова выпустили большое исследование, в котором проанализировали ситуацию со «свободой сети» в республике. Согласно их выводам, ситуация не обнадеживающая. Анализ данных показал, что в Казахстане регулярно используются протоколы «безопасности», которые позволяют государственным службам при необходимости и «без суда и следствия» подсматривать за личной жизнью жителей страны. Корреспондент редакции Ulysmedia.kz пообщался с авторами доклада и узнал, каким образом государство может беспрепятственно получать доступ к персональным данным пользователей. Что стоит за блокировкой «нежелательного и неугодного» контента в республике? Какие операторы связи могут «сливать» личные данные без вашего согласия? И каков риск попадания персональной информации в руки нежелательных организаций и «мошенников».
Стоит отметить, что в последние годы об интернет-цензуре в нашей стране было сказано довольно много. На протяжении нескольких лет в Казахстане принимаются законы, которые ужесточают правила пользования различными интернет-ресурсами. Среди последних – закон «Об онлайн-платформах и онлайн-рекламе» и закон «По вопросам государственной статистики и управления данными».
Задачами первого прямо называются обеспечение прозрачности функционирования онлайн-платформ, безопасности информационного пространства в республике и недопущение противоправного контента. Однако многие эксперты сходятся во мнении, что законодатели попытались установить правовой статус популярных у казахстанцев социальных сетей и мессенджеров, таких как Facebook, WhatsApp и Telegram. Причем практически все из них находятся в иностранных юрисдикциях, не подчиняющихся законам РК. То есть вводится определенная система «добровольной цензуры», названная в законе «модерацией».
При этом самой резонансной попыткой внедрения «Большого брата» в Казахстане стал 2020 год. Напомним, 5 декабря министерство цифрового развития обнародовало новость о проведении в столице учений «Информационная безопасность Нур-Султан - 2020». В тот раз у пользователей возникали серьезные проблемы с доступом к некоторым зарубежным интернет-ресурсам. Для устранения проблем госорганы предложили установить специальный «сертификат безопасности», который разрешал пользователям не только зайти на интересующие их сайты, но и в целом позволял выйти в сеть.
Многие граждане и IT-компании, включая зарубежные, негативно отреагировали на эту инициативу. В том числе возмутились такие гиганты, как Apple, Google и Mozilla.
Причиной негодования послужил тот факт, что государственные органы использовали так называемый MITM (man-in-the-middle - человек посередине - прим. редакции. Позже в нашей стране в шутку его назовут «Казах посередине). Это означает, что между пользователем и запрашиваемым сайтом появляется третье лицо. В нашем случае - это государственные органы, которые контролируют трафик и получают данные абонента через сертификат безопасности. Стоит отметить, что через трафик могут передаваться данные различного характера: персональные данные, данные банковских аккаунтов, пароли и многое другое.
Также эта технология, наряду с DPI (технология проверки сетевых пакетов по их содержимому с целью регулирования и фильтрации трафика - прим. редакции), позволяет выявлять и в дальнейшем блокировать запрещенный контент. При этом судиться с операторами связи или с государственными органами гражданам фактически бессмысленно - ведь оператор связи предоставляет услугу по доступу в интернет, а не к отдельным сайтам. А у государственных органов с каждым новым законопроектом в области интернет-безопасности появляются действенные основания использования «сертификата».
Согласно анализу данных OONI, организации Internet Freedom Kazakhstan (IFKZ) и Евразийского цифрового фонда, было выявлено, что в Казахстане онлайн-цензуре подверглось множество интернет-ресурсов, среди которых – новостные СМИ, правозащитные организации, а также сайты, на которых выкладывали инструменты обхода блокировок.
- Мы задокументировали использование новейшего корневого сертификата (НУЦ РК), выпускаемого , а также его использование для выпуска шести различных промежуточных сертификатов, использованных для проведения атак типа "man-in-the-middle" (MITM) в рамках “TLS-рукопожатия” в случае подключения к 14 различным доменным именам в 19 различных сетях Казахстана, - говорят исследователи.
И подчеркивают, что только с июня 2023 года по июнь 2024 года было заблокировано 17 новостных СМИ, четыре сайта с петициями, несколько интернет-ресурсов правозащитных организаций, среди которых – всемирно известная Human Rights Watch, а также 73 сайта с инструментами по обходу этих самых блокировок.
Стоит отметить, что, согласно исследованию, многие из ресурсов стали жертвами именно MITM-атаки в рамках TLS-рукопожатия (соединения между клиентом и сервером - прим. редакции).
Согласно существующим законам, использование и внедрение сертификата безопасности не является противозаконным. Однако формально ограничивает конституционные права граждан - право на поиск, получение и распространение информации, свободу слова и тайну переписки.
- Сам функционал MITM подразумевает, что сертификат имеет функцию слежки за пользователями интернета. Поэтому ограничение запрещенного контента посредством “сертификата безопасности” является чрезвычайно эффективной онлайн-цензурой. Отмечу, что в законодательных нормах до сих пор остается много вопросов. Многие из них до сих пор отличаются “особой расплывчатостью”, когда речь идет о правовых основаниях для ограничения контента. Это может быть, как терроризм, экстремизм и порнографические материалы, так и “неугодная” информация для государственных органов, - пояснил один из авторов исследования, руководитель проекта «Internet Freedom Kazakhstan» Елжан Кабышев.
В некоторых случаях под блокировку попадали те СМИ, которые вели в Казахстане достаточно «агрессивную политику» в отношении читателей. Среди них - множество российских пропагандистских изданий, а также независимых, которые открыто говорили о различных проблемах в стране.
Так кто из провайдеров сотрудничает с государством и становится тем самым «третьим лишним» в работе между казахстанцами и «свободным интернет пространством»? Аналитики обнаружили признаки TLS MITM в обширном списке провайдеров:
● Uplink LLC (AS8200)
● TimeWeb Ltd. (AS9123)
● JSC Kazakhtelecom (AS9198)
● «Mobile Business Solution» MBS LLP (AS15736)
● Kar-Tel LLC (AS21299)
● Kcell JSC (AS29355)
● Mobile Telecom-Service LLP (AS29555)
● Jusan Mobile JSC (AS35104)
● JSC Alma Telecommunications (AS39824)
● BTcom Infocommunications Ltd. (AS41124)
● JSC Transtelecom (AS41798)
● OBIT-telecommunications, LLC (AS43370)
● SMARTNET TOO (AS43994)
● STARK INDUSTRIES SOLUTIONS LTD (AS44477)
● ForteBank JSC. (AS48502)
● Mobile Telecom-Service LLP (AS48503)
● PS Internet Company LLP (AS48716)
● JSC Kazakhtelecom (AS50482)
● Kar-Tel LLC (AS206026)
Как видно из списка, многие провайдеры - лидеры в предоставлении услуг связи для большей части населения республики.
- Тот факт, что так много разных интернет-провайдеров реализуют MITM-атаки с использованием одного и того же сертификата, говорит о высоком уровне координации между разными провайдерами и довольно высоком уровне соответствия провайдерами требований по блокировкам, - отметил эксперт.
Другими словами, в Казахстане поставщики связи знают о ситуации и не мешают государству использовать инструменты, для мониторинга действий пользователей. При этом сами пользователи даже не подозревают, что в момент использования интернет-сети за ними может наблюдать «третье лицо».
В Казахстане в настоящее время невозможно получить выход в интернет, оставаясь неопознанным. Сейчас услуга доступа в «большую сеть» невозможна для тех, кто не зарегистрировал абонентские устройства сотовой связи. Кроме того, в конце августа этого года на обсуждение парламентариев была вынесена очередная государственная инициатива.
Чиновники предложили обязать казахстанцев предоставлять свои биометрические данные при подключении к услугам сотовой связи и доступа к интернету. На фоне участившихся «сливов» баз данных в нашей стране этот законопроект, по мнению экспертов, выглядит не обнадеживающе и воспринимается многими достаточно неоднозначно.
- Граждане нашей страны должны иметь право всегда контролировать свои данные, включая доступ к информации о том, как и где эти данные хранятся и используются, а также возможность отозвать свое согласие на их обработку. Прозрачность в этих вопросах крайне важна, чтобы обеспечить доверие граждан к новым мерам. Казахстан должен стремиться к тому, чтобы внедрение инноваций обеспечивало безопасность, не нарушая при этом фундаментальные права граждан на конфиденциальность и защиту личных данных. Иначе существует риск, что безопасность станет компромиссом, а не гарантией, - пояснил директор юридической фирмы Digital Rights Center Qazaqstan, основатель Евразийского цифрового фонда Руслан Дайырбеков.
Стоит также отметить, что абсолютная свобода выражения мнений в республике не допускается. Примером служат многочисленные судебные процессы в отношении различных казахстанских правозащитников, политических деятелей и журналистов.
- Статьей 20 Конституции РК гарантирована свобода слова: “Каждый имеет право свободно получать и распространять информацию любым, не запрещенным законом способом”. Цензура запрещается, - напомнил соавтор исследования, казахстанский юрист и специалист по IT-праву Игорь Лоскутов.
Фактически единственное легальное определение цензуры приводится в Законе Республики Казахстан от 23 июля 1999 года № 451-I «О средствах массовой информации». Там четко прописано, что цензура - это предварительное согласование сообщений и материалов СМИ с государственными органами, должностными лицами и иными организациями по их требованию или по иным основаниям с целью ограничения или наложения запрета на распространение сообщений и материалов либо их отдельных частей.
- Данное определение, во-первых, относит возможное ограничение или запрет на распространение сообщений и материалов исключительно к деятельности СМИ, а во-вторых, имеет в виду запрет на предварительное согласование, а не ограничение или запрет на уже опубликованных материалов и сообщений, - пояснил юрист.
Получается, в этом контексте казахстанское законодательство предоставляет госорганам широкие полномочия для осуществления надзора за распространением информации, в том числе и в интернете.
- Сейчас мы задокументировали использование технологии для проведения атак TLS типа MITM. К сожалению, это вызывает обеспокоенность. Так как подобная практика ослабляет конфиденциальность и безопасность интернет-пользователей в нашей стране», - резюмировал Кабышев.
Эксперты уверены, что эра «Большого брата» теперь становится частью нашей жизни.