Власти Казахстана применяют коммуникационные технологии для тайного наблюдения за населением. Бауржан Рахметов, Ассистент-Профессор Университета КазГЮУ им. М.С. Нарикбаева, участник школы аналитики CABAR.asia, считает, что гражданскому обществу необходимо осознать масштаб проблемы и научиться противостоять цифровым шпионским программам.
Многие страны научились использовать цифровые технологии для проведения массовой, бесконтрольной слежки за населением, подразумевающей тайный сбор, мониторинг и анализ метаданных (кто, с кем и когда коммуницировал). Безоговорочным лидером среди стран, грешащих скрытой онлайн-слежкой, является США, но не остался в стороне и Казахстан.
При этом ресурсы спецслужб часто используются не для безопасности страны, а для точечной слежки за гражданами, включая представителей политической элиты.Большой брат по-американски
В июне 2013 года ведущие мировые СМИ заявили о раскрытии секретной системы глобальной онлайн-слежки, проводимой Агентством национальной безопасности (АНБ) США.
Из расследования журналистов стало ясно, что правительство США развернуло масштабную программу бесконтрольного слежения за миллионами людьми по всему миру, осуществляемую посредством Интернета и под завесой абсолютной скрытости.
АНБ не ограничилось слежкой только за американским населением: под прицел были взяты другие страны, включая дружественные к США. Например, массовый сбор данных также осуществлялся по отношению к гражданам, включая высокопоставленных политических деятелей, Бразилии и Германии.
В 2014 году Reporters without borders, международная НПО, занимающаяся вопросами свободы прессы, причислила американское АНБ за бесконтрольный шпионаж за населением к врагам Интернета. Вместе с США, в список врагов также попали ведомства Туркмении, Кубы, Судана, Узбекистана, Саудовской Аравии, Ирана, России, Китая.
Последовавшие разбирательства и волны протеста со стороны официальных лиц, правозащитников и гражданского общества привели к большей защите анонимности и частной жизни на законодательном уровне только в ряде стран и организаций (Бразилия, Европейский Союз). В большинстве случаев новые законы только усилили возможности разведывательных служб отдельных стран для проведения цифровой слежки (Канада, Франция, Германия, Россия, Китай). Не остался в тени и Казахстан.
Онлайн-слежка в Казахстане
Казахстанские спецслужбы также используют коммуникационные технологии, включая Интернет, для тайного наблюдения за населением. Реальный масштаб онлайн-слежки и сбора личных данных неизвестен, однако за последние годы общественности стали известны несколько случаев вероятного использования шпионских программ госведомствами.
Так в 2014 году The Citizen Lab, междисциплинарная лаборатория при Университете Торонто, занимающаяся изучением цифрового шпионажа и Интернет-цензуры, опубликовала доклад о шпионской программе Remote Control System (RCS) (Система Дистанционного Управления). RCS продавалась только государственным ведомствам и рекламировалась как невозможная для отслеживания программа для перехвата данных. Шпионская программа позволяла копировать файлы с жесткого диска компьютера, записывать видео звонки, е-мейлы, сообщения и пароли и подключаться к веб-камере и микрофону компьютера. Тем не менее, экспертам The Citizen Lab удалось идентифицировать двадцать одно государство, использовавших RCS, среди которых оказался и Казахстан.
Страны, подозреваемые в покупке шпионской программы RCS
В 2016 году, Freedom House, неправительственная организация, изучающая уровень демократии и Интернет-свободы в мире, сообщила со ссылкой на Wikileaks, что правительство Казахстана могло приобрести программное обеспечение RCS с целью мониторинга и перехвата Интернет-трафика (информации, проходящей через Интернет) и для осуществления таргетированных атак против пользователей и цифровых устройств.
В июле 2021 года Forbidden Stories, консорциум журналистов-расследователей, и Amnesty International опубликовали совместное расследование об использовании правительствами шпионской программы Pegasus. Согласно публикации, Pegasus, позволяет получить полный доступ к содержимому мобильного телефона, включая чтение сообщений, отслеживание звонков, сохранение паролей, определение локаций, сбор данных с используемых приложений и удаленный доступ к камере и микрофону телефона.
Стало известно, что онлайн-слежка со стороны государственных органов различных стран, от Индии до Мексики, осуществлялась в отношении к тысячам целей. Среди многочисленных клиентов шпионского программного обеспечения Pegasus оказался Казахстан. Выяснилось, что с Казахстаном связаны около двух тысяч телефонных номеров из базы данных израильской компании NSO Group, попавшей в руки журналистов Forbidden Stories. В эти две тысячи входят номера многих представителей политической, и далеко не оппозиционной, элиты Казахстана. Иными словами, если верить расследованию, казахстанские спецслужбы шпионили за местными политическими деятелями.
Пока неизвестно точное количество цифровых устройств, зараженных вышеуказанными шпионскими программами, однако эти случаи характеризуют возрастающие возможности казахстанских спецслужб, позволяющие следить за кем угодно в пределах страны. Тем более, что помимо вероятных покупок зарубежного софта, полномочия органов безопасности Казахстана расширяются также через законодательные акты.
Так согласно закону «О связи» и Правилам сбора и хранения служебной информации, операторы связи должны собирать и хранить личные данные пользователей в течение двух лет. При этом они обязаны предоставлять органам, осуществляющим оперативно-розыскную, контрразведывательную деятельность (например, полиция или Комитет Национальной Безопасности (КНБ)) доступ к данным абонентов, включая информацию об абонентских номерах, биллинговые сведения, местоположение абонентского устройства, адреса в сети передачи данных, адреса обращения к интернет-ресурсам, идентификаторы интернет-ресурса и протоколы сети передачи данных. Также операторы связи обязаны устанавливать и обслуживать оборудование для проведения оперативно-розыскных мероприятий (СОРМ) за собственный счет.
Помимо Интернет-провайдеров, законы направлены и на ограничение анонимности казахстанцев. Например, в соответствии с поправками в закон «О связи», начиная с 2019 года, все владельцы мобильных телефонов обязаны регистрировать свои устройства вместе с номером, ИИН и IMEI в базе данных операторов связи. А начиная с 2017 года, запрещено анонимное комментирование на казахстанских вебсайтах. Пользователям необходимо предварительно предоставить личные данные владельцу вебсайта для возможности оставить комментарий. При этом, следуя мировому тренду, личные данные пользователей должны храниться в базах, расположенных в Казахстане.
Вдобавок, согласно закону «О связи», Государственная Техническая Служба (ГТС) обладает монополией в сфере управления Интернетом. Так ГТС ответственна за управление телекоммуникационными сетями и точками обмена Интернет-трафиком (IXPs) в пределах страны. Точки обмена Интернет-трафиком представляют собой физическую инфраструктуру, к которой подключаются провайдеры для взаимного обмена трафиком (пиринг), что позволяет увеличить скорость соединения и уменьшить затраты.
В 2016 году ГТС была отдана из ведения Министерства информации и коммуникаций в распоряжение КНБ. В 2020 году ГТС была преобразована в Акционерное Общество, но со 100% участием государства; КНБ остался единственным акционером ГТС.
Однако покупка зарубежного шпионского софта и законодательные акты – это не все ресурсы, имеющиеся в арсенале государства. Казахстанское правительство также пытается внедрить отечественную программу, которая может значительно облегчить онлайн-слежку за населением. Речь идет про Национальный сертификат безопасности (Qaznet Trust Network).
Еще в декабре 2015 года было объявлено о введении Национального сертификата, который должен быть установлен на цифровые устройства для якобы безопасного пользования Интернетом. Несмотря на заверения властей и СМИ, что сертификат является безопасным и необходим для борьбы с терроризмом и детской порнографией, последовал шквал критики в адрес сертификата. Многие специалисты боялись, что установка сертификата под предлогом обеспечения национальной безопасности только усилит и без того неслабые ресурсы спецслужб Казахстана для контроля над Интернетом и онлайн-слежкой.
Однако, по причине общественной критики, а также в связи с тем, что браузеры не включали казахстанский сертификат в список доверенных, его внедрение в пределах страны было приостановлено. Только спустя три с половиной года, в июле 2019 года, правительство Казахстана возобновило попытку убедить население (вручную) установить национальный сертификат (который внедрялся в рамках государственной концепции кибербезопасности «Киберщит Казахстана») для того, чтобы в августе того же года опять его отменить.
Уже после отмены, популярный браузер Mozilla вовсе заблокировал использование казахстанского сертификата, даже в случае ручной установки. Причина проста: угроза сертификата для безопасности пользователей и самого браузера в связи с уязвимостью данных для перехвата. Chrome и Apple последовали примеру Mozilla. Иными словами, Интернет-компании запретили казахстанский сертификат с целью защиты конфиденциальности личных данных своих пользователей.
Как оказалось, приостановка внедрения сертификата оказалась временной. В декабре 2020 года Министерство цифрового развития, инноваций и аэрокосмической промышленности совместно с КНБ объявили о проведении кибер-учений в г. Нур-Султан, рекомендовав установить национальный сертификат во избежание трудностей с подключением к зарубежным сайтам. В результате, многие социальные сети и вебсайты оказались недоступными для тех, кто не установил сертификат.
Есть самые серьезные основания для недоверия к сертификату также с технической точки зрения. Дело в том, что при Интернет-соединении – например, посещение сайта https://cabar.asia через браузер Chrome – часто используется защищенное шифрование по протоколу HTTPS, которое зашифровывает соединение (то есть, Интернет-провайдеры и правительства не могут перехватить трафик).
Основой защищенного подключения к вебсайту служат цифровые сертификаты, чья подлинность подтверждается Центрами сертификации, и которые являются доверенными для браузеров (Chrome, Mozilla, Safari, Opera и другие). Таким образом, если при Интернет-соединении вебсайт предоставляет цифровой сертификат, выданный Центром сертификации, то это означает, что вебсайт – подлинный; соответственно подключение к данному сайту является безопасным.
Проблема в том, что казахстанский сертификат не является общепризнанным наравне с выданными Центрами сертификации, и, соответственно, не является доверенным для браузеров и вебсайтов. В результате, установку национального сертификата на устройства, подключенные к Интернету (мобильные телефоны, планшеты, ноутбуки), необходимо проводить вручную. Заметим, что и в этом случае, некоторые браузеры (например, Mozilla) не признают сертификат и его установка на эти ресурсы невозможна.
Но самое главное, что после установки сертификата существует риск кибератаки под названием Man-in-the-Middle (Атака посредника), позволяющая перехват и, самое главное, расшифровку Интернет-трафика.
Это означает, что государство, владеющее национальным сертификатом, может получить доступ к личным данным Интернет-пользователей, даже несмотря на использование защищенного соединения HTTPS. При этом существует риск того, что злоумышленники, взломав национальный сертификат, получат доступ ко всей информации пользователей, установивших сертификат; тем более, что в практике такие хакерские взломы уже случались.Учитывая непрекращающиеся попытки, правительство Казахстана еще не отказалось от использования национального сертификата. В ближайшем будущем стоит ожидать очередные попытки по убеждению населения о необходимости установки сертификата made in Kazakhstan. На данный момент госведомства ограничиваются зарубежными софтами, законами и контролем Интернет-инфраструктуры.
Баланс между национальной безопасностью и правом на частную жизнь
Бесконтрольная скрытая слежка за гражданами (кто и что каждый делает, читает, посещает; кто и с кем общается, дружит, враждует) в реалиях авторитарных государств является одним из инструментов борьбы с оппозиционно настроенными гражданами. Например, власти применяют незаконную видеосъемку интимной жизни неугодных граждан для их дискредитации или шантажа. Последний нашумевший случай давления на неугодного депутата произошел в Узбекистане. Также в Казахстане известен случай использования шпионской программы в отношении к оппозиционерам, активистам и журналистам с целью сбора потенциального компрометирующего материала, а также отслеживания их действий.
При этом бессмысленно отрицать, что госструктуры, проводящие онлайн-слежку, обеспечивают национальную безопасность и способствуют защите граждан от преступлений, включая терроризм.
Однако, в случае отсутствия независимого надзорного органа, способного обеспечить транспарентность принимаемых действий со стороны государственных органов, следящих за населением через Интернет, сложно определить грань между действительно обеспечением безопасности и нарушением прав человека на неприкосновенность частной жизни.Многие Интернет-пользователи не знают или не задумываются о том, что каждый их шаг записывается, а личные данные могут бесконтрольно собираться и анализироваться.
Однако использование электронных технологий для дискредитации неугодных уже реальность.Невидимую угрозу всегда сложно воспринимать всерьез. Но незнание или отказ воспринимать всерьез масштабы онлайн-слежки, организованной государством за его гражданами, не облегчает последствия.
Гражданскому обществу необходимо осознать масштабы осуществляемой государством Интернет-слежки. С каждым новым законом, с каждой новой шпионской программой службы безопасности расширяют свои полномочия и возможности для контроля информационных потоков путем перехвата, сбора, хранения и анализа метаданных.
В Казахстане государство уже принимает меры по повышению «цифровой грамотности» населения. Однако, на курсах, которые проводят в рамках государственных программ, навряд ли будут говорить об угрозах, связанных с тем же Национальным сертификатом или возможной цифровой слежкой за неугодными.
Таким образом, гражданскому обществу необходимо принять массовые программы повышения информационной безопасности граждан.
Во-вторых, гражданам необходимо индивидуально работать над улучшением своей цифровой грамотности.
Игнорирование сомнительных сайтов, ссылок и приложений и покупка антивирусной программы являются базовыми действиями для безопасного использования Интернета и помогут минимизировать риск заражения цифровых устройств вредоносными или шпионскими программами как со стороны хакеров, так и госорганов.
Цифровой безопасности также служат следующие действия: регулярное обновление программного обеспечения; использование «гостевого» (не администраторского) аккаунта на компьютере (в связи с лимитом на установку программ); осторожное пользование публичными вай-фаями.