Ответы от операторов и краткий юридический анализ законодательства по сертификатам безопасности

Пока мы не получили ответы от государственных органов, но есть ответы от операторов связи, рассылавших SMS-сообщение абонентам связи. И соответственно, мы провели мини-исследование ответов и нашего национального законодательства.

Ответ Beeline:

Позвольте ответить на Ваши вопросы в том порядке, в котором они приведены в Вашем письме. 1. Мы работаем в правовом поле и исполняем требования законодательства, согласно которым оператор связи обеспечивает распространение сертификата и инструкции по его установке. Данный сертификат безопасности разработан в Казахстане и предоставлен уполномоченным государственным органом в области защиты информационных систем и данных. 2. Публичный договор - это свод правил между абонентом и оператором. А сертификат безопасности не правило, которое установил оператор, это закон РК для всех сотовых операторов. Согласно публичного договора, оператор должен нести обязанности, предусмотренные законодательством Республики Казахстан. 3. По вопросам гарантии, рекомендуем обращаться в Министерство цифрового развития, обороны и аэрокосмической промышленности. Мы признательны Вам за проявленное внимание, всегда готовы помочь и ответить на возникающие вопросы. С уважением, Дирекция клиентского сервиса, Beeline.

Ответ Activ/Kcell:

В ответ на Ваш запрос сообщаем, что согласно Закону «О связи» , просим обратить внимание на пункт № 4. Статья 26. Особенности присоединения сетей телекоммуникаций доминирующими операторами связи 3-1. Операторы междугородной и (или) международной телефонной связи обязаны: 1) публиковать перечень стандартных точек присоединения (подключения); Подпункт 2 изложен в редакции Закона РК от 28.12.17 г. № 128-VI 2) обеспечить предоставление линий и каналов связи, необходимых для функционирования системы централизованного управления сетями телекоммуникаций Республики Казахстан, за счет собственных средств; 3) обеспечить присоединение своих сетей к точке обмена интернет-трафиком и системе централизованного управления сетями телекоммуникаций Республики Казахстан в порядке определяемом уполномоченным органом; 4) осуществлять пропуск трафика с использованием протоколов, поддерживающих шифрование с применением сертификата безопасности, за исключением трафика, шифрованного средствами криптографической защиты информации на территории Республики Казахстан.

Также согласно Правила выдачи и применения сертификата безопасности, утв. Приказом Председателя Комитета национальной безопасности Республики Казахстан от 27 марта 2018 года № 23/нс: Глава 3. Порядок применения сертификата безопасности

  1. Применение сертификата безопасности осуществляется операторами связи в целях ограничения распространения по сети телекоммуникаций информации, запрещенной вступившим в законную силу решением суда или законами Республики Казахстан.
  2. Операторы связи осуществляют пропуск трафика с использованием протоколов, поддерживающих шифрование с применением сертификата безопасности в соответствии сподпунктом 4) пункта 3-1 статьи 26 Закона Республики Казахстан от 5 июля 2004 года № 567 «О связи».
  3. Операторы связи уведомляют абонентов письменно в произвольной форме, с которыми заключены договоры на оказание услуг связи, об изменении условий предоставления доступа к сервисам или ресурсам.
  4. Операторы связи обеспечивают распространение сертификата безопасности среди своих абонентов, с которыми заключены договоры на оказание услуг связи.

ОНБ (Органы Национальной Безопасности, прим.) осуществляют государственный контроль за применением сертификата безопасности операторами связи.

  1. Оператор связи размещает на своем официальном интернет-ресурсе информацию об условиях предоставления доступа к интернет-ресурсам, использующим шифрование, а также сертификат безопасности и инструкцию по его установке на технические средства, имеющие доступ к Интернету.
  2. При применении сертификата безопасности операторы связи обеспечивают конфиденциальность информации об организационных и технических условиях его применения. Благодарим Вас за выбор и пользование нашими услугами.

Tele2 все ещё не направил ответ.

Beeline также сообщил, что в случае, если абонент не установит сертификат безопасности, то доступ к Интернету будет ограничен, каким образом и в каких объемах решают уполномоченные органы. Сам оператор никак не ограничивает доступ.

Запрос в Altel и Kazakhtelecom нами не подавался, так как по сути, на рынке мобильных операторов находятся 5 операторов связи, 3 из которых (Altel, Activ, Kcell) находятся в подчинении у Kazakhtelecom.

Краткий анализ законодательства

Из ответов ясно, что операторов соблюдают требования законодательства. Эта норма прописана в нормативно-правовом акте, а точнее предусмотрена в ст. 11 Приказа № 23/нс 27.03.2018 г. «Об утверждении Правил выдачи и применения сертификата безопасности»: “Операторы связи обеспечивают распространение сертификата безопасности среди своих абонентов, с которыми заключены договоры на оказание услуг связи”.

В случае, если операторы связи не исполняют настоящие Правила выдачи и применения сертификата безопасности, то пп. 9-3 “Нарушения операторами связи правил применения сертификата безопасности” и пп. 9-5 “Предоставления оператором связи доступа к информации, запрещенной вступившим в законную силу решением суда или законами Республики Казахстан” (Часть дополнена подпунктами 9-1 - 9-6 в соответствии с Законом РК от 24.11.15 г. № 419-V) ст. 637 “Нарушение законодательства Республики Казахстан в области связи” Кодекса об Административных правонарушениях предусмотрена административная ответственность операторов связи..

photo_97.jpg

Из анализа законодательства Республики Казахстан в области информатизации и связи видно, что государство давно готовилось к применению сертификатов безопасности, но в то время, по нашему мнению, не был готов фундамент для его качественного применения

Сообщают, что на данный момент проект проходит пилот в рамках одного города - Нур-Султан. Информация была получена из Telegram-канала ЦАРКА, https://t.me/certkznews/484.

Вывод

Внедрение сертификатов безопасности обсуждался давно, примерно с 2014-2015 годов. Пруфы: https://habr.com/ru/post/272207/, https://web.archive.org/web/20151202213445/http://telecom.kz/news/view/18729 (archive.org заблокирован, рекомендуем заходить через VPN);

photo_98.jpg

Внедрение сертификатов для операторов связи носит обязывающий характер и предусмотрена ответственность за его неисполнение, в частности КоАП РК. Установка сертификата объясняется защитой пользователя от "мошенников, хакерских атак и противоправного контента в сети Интернет". Такая же логика, при регистрации телефонов в прошлом году, в то время сообщали, что это нужно для противодействия телефонных краж.

Что насчет абонентов связи? Действительно, ни в одной норме законодательства не прописана обязанность абонента установить этот сертификат. Какой бы ответ мы не получали от оператора, что мы якобы должны установить, это ничем не подтверждается, по крайней мере в процессе анализа законодательства этого не было выявлено.

В случае, если этот проект выйдет из пилота и по мнению государства будет успешным, то внедрение сертификата будет уже на республиканском уровне. Соответственно, будет изменение Публичных договоров с абонентами, там как раз-таки прописаны права и обязанности сторон, куда могут и прописать обязанность установки сертификата безопасности на свои устройства.