Сертификаты должны «защитить информационное пространство страны от хакеров, интернет-мошенников и других видов киберугроз», как сказано в официальном заявлении казахстанского мобильного оператора Kсell.
Пользователи, которые не установят сертификаты, рискуют столкнуться с ограничением доступа к определенным сайтам, как отмечает оператор.
Тем временем Министерство цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан сообщило, что в Нур-Султане идут технические работы, связанные с интернетом, и рекомендовало установить сертификат безопасности на устройства.
Сначала сайт qсa.kz, с которого можно было скачать сертификат, был зарегистрирован на частное лицо. Но из-за общественной критики его передали Национальному координационному центру информационной безопасности и закрыли.
Установив сертификат, владелец устройства дает разработчикам возможность расшифровать трафик и получить доступ к личной информации, включая электронные письма и сообщения, как пишет Next Web.
Затем разработчики могут повторно зашифровать трафик и передать его третьей стороне, создав условия для интернет-атаки, которые называют «человек посередине» (man-in-the-middle или MITM).
Система сбора данных Ripe Atlas уже зафиксировала атаки MITM на несколько сайтов в Казахстане, в том числе на Faсebook, Gmail, Google, YouTube, vk.сom. Несколько жителей Нур-Султана жаловались на проблемы с интернетом при попытке зайти на эти сайты.
«После того как на устройство установлен сертификат, технически возможно позволять гражданам доступ только к тем доменам, которые одобрит Национальный удостоверяющий центр. По сути, это значит, что правительство Казахстана может решать, какие домены контролировать или блокировать», — прокомментировали ситуацию эксперты Фонда Quirium Media.
В фонде добавили, что установка сертификатов — не лучший способ предотвращения кибератак. «Очевидно, что задача сертификата — возможность контролировать средства связи», — сказали в фонде.
Впрочем, граждан не обязывают устанавливать сертификаты. По словам вице-министра цифрового развития Аблайхана Оспанова, каждый пользователь может использовать сертификат по своему усмотрению, если хочет обезопасить себя от фишинга и других попыток взлома. Сам Оспанов сертификат не устанавливал, но обещал сделать это, как только получит сообщение от своего мобильного провайдера.
Это не первая попытка взять под контроль интернет в Казахстане. В 2015 году в стране пытались провести закон о сертификате национальной безопасности, который позволял блокировать доступ к контенту, запрещенному судами или законами республики. Сертификат также распространяли операторы мобильной связи. Однако его отменили после многочисленных жалоб различных организаций.
По данным НПО Freedom House, в Казахстане нет свободы интернета в течение четырех последних лет.