Мы получили официальный ответ от Комитета Национальной Безопасности РК. И как бы иронично не звучало, получили 7 августа, то есть когда они как бы "отменили" сертификат безопасности. Но по факту не отменили, а будут применять его в случае угроз "извне".
Ниже ответы на заданные командой вопросы. Пунктуация и орфография сохранена.
Вопрос: О данном сертификате безопасности, а именно, какое физическое или юридическое лицо/частная или государственная организация обязало направить SMS-рассылку абонентам связи, что за лицо выпустило данный сертификат безопасности?
Ответ: В соответствии с Правилами выдачи и применения сертификата безопасности, операторы связи письменно в произвольной форме уведомляют абонентов, с которыми заключены договоры на оказание услуг связи, об изменении условий предоставления доступа к сервисам или ресурсам, и обеспечивают распространение сертификата безопасности среди своих абонентов. Сертификат безопасности выпущен национальным удостоверяющим центром Республики Казахстан (НУЦ РК).
Вопрос: Разъяснить об обязанности с моей стороны, как абонента, установить сертификат безопасности на мои устройства, так как обязанность об установке не прописана в Публичном договоре и не предусмотрена законодательством Республики Казахстан?
Ответ: Установка сертификата безопасности на устройство осуществляется абонентом добровольно и не является обязательной нормой. Вместе с тем, в соответствии с Законом РК «О связи» и Правилами выдачи и применения сертификата безопасности, обязанность осуществления пропуска трафика с использованием протоколов, поддерживающих шифрование с применением сертификата безопасности возлагается на операторов связи.
Вопрос: В случае установки сертификата безопасности на мои устройства гарантии (со стороны оператора и государства) сохранности, конфиденциальности и зашифрованности моих персональных данных, исходящего и входящего трафика через мои устройства, доступ к которому не должны иметь третьи лица?
Ответ: Мероприятия по внедрению сертификата безопасности проводятся в соответствии с законодательством Республики Казахстан, с соблюдением требований Законов РК «О допуске к информации», «О персональных данных и их защите» и других. При этом,законодательно охраняемые тайны граждан, гарантированные Конституцией Республики Казахстан, затронуты не будут
В то же время 6 августа Пресс-служба КНБ РК сообщает следующее:
В соответствии с Законом Республики Казахстан «О национальной безопасности Республики Казахстан» и в целях обеспечения информационной и кибербезопасности, Комитетом национальной безопасности успешно завершено тестирование применения сертификата безопасности. В результате создана система по предотвращению киберугроз как в кибер, так и информационном пространстве. Национальным координационным центром информационной безопасности только за истекший месяц выявлено более 8 млн. фактов вирусной активности и 130 тыс. кибератак в отношении государственных органов и частных компаний, выявлены факты кибершпионажа в отношении ряда государственных органов. Наряду с этим, изучены проблемные вопросы, связанные с внедрением сертификата, а также оказанием влияния на работу сетей операторов связи. Применение сертификата безопасности в дальнейшем будет осуществляться при возникновении угрозы национальной безопасности в виде кибер и информационных атак, с предварительным уведомлением граждан Республики Казахстан. С учетом полученных положительных результатов тестирования, КНБ информирует о прекращении тестирования с 7 августа т.г. В ближайшее время на официальном сайте будут размещены инструкции по удалению сертификата безопасности с личных устройств. Комитет национальной безопасности уведомляет о необходимости соблюдения законодательства Республики Казахстан по хранению персональных данных граждан на территории страны и выполнению требований уполномоченных органов по удалению противозаконной информации. Ссылка: http://knb.gov.kz/ru/news/v-otnoshenii-sertifikata-bezopasnosti
Также, были еще раз поданы запросы операторам связи (Kcell/activ, Tele2, Beeline).
Tele2 не предоставил ответ на давний запрос касательно сертификата безопасности. Подали еще раз.
Подведение итогов:
Не смотря на то, что установка абонентом сертификата является дело добровольным, все же на оператора связи (поставщика услуг) возлагается ответственность в части применения сертификата и может быть подвергнут к административной ответственности в части нарушения норм правил применения сертификата безопасности. Остается вопрос, в случае, если абонент не установит сертификат, несет ли за это оператор связи ответственность?
По сообщениям пресс-службы КНБ успешно завершено тестирование применения сертификата безопасности. Почему нельзя было сообщить заранее гражданам, что это тестирование? Почему операторы связи в массовой SMS-рассылке сообщали абонентом, что они обязаны установить сертификат? Вопросов множество, на которые либо нет ответа, либо ответы будут предоставлены позднее.
Были направлены запросы операторам связи. Либо они не обладают реальной информацией, либо мы многого чего не знаем об этих сертификатах безопасности и концепции "Киберщит Казахстана".
Также, подводим итоги нашего голосования на канале Internet Freedom. Вопрос звучал так: "Верите ли вы заявлениям официальных властей о том, что сертификат безопасности был тестированием и временной мерой и сейчас отказываются от его использования?". Участвовало 30 человек, все 30 человек проголосовало, что данным заявлениям не верит. Комментарии излишни.