С конца этой недели жители казахстанской столицы — Нур-Султана — начали получать от операторов связи сообщения с просьбой установить на свои гаджеты специальный сертификат безопасности, который сделает их жизнь прекраснее и безопаснее, пишет российская "Новая газета".

- В соответствии с Законом «О связи» ст. 26 для доступа к Интернету вам необходимо установить сертификат безопасности. Просим вас произвести установку на каждое абонентское устройство, имеющее выход в интернет (смартфон, планшет, ноутбук). Отсутствие сертификата безопасности на устройстве приведет к проблемам с доступом к отдельным Интернет-ресурсам, — такие сообщения (пунктуация сохранена) пришли абонентам трех крупнейших операторов — Kcell, Beeline и Tele2.

Представители телекоммуникационных компаний в комментариях взбудораженным казахстанским СМИ еще и подчеркнули: этот сертификат разработан «компетентными органами», так что вопрос о том, доверять ему или нет, не стоит.

Из этого пожелания абонентам уши товарища майора торчат настолько демонстративно, что становится понятно: никто не скрывает, в чьих интересах необходима установка сертификата.

Спецслужбы Казахстана носятся с идеей сертификата безопасности уже почти пять лет: официальная версия заключается в том, что казахстанцев нужно защитить от вредоносных сайтов вроде тех, что занимаются фишингом — то есть воровством паролей и личных данных пользователей. Устанавливаемые на гаджеты сертификаты — это страховка от мошенничества: казахстанцам еще в 2016 году предложили принять этот тезис как данность.

- Этот принцип известен как «человек посередине» (man in the middle), — говорит IT-специалист, директор «Общества защиты интернета» Михаил Климарев. — Пользователь посылает запрос через этот сертификат, а дальше этот сервер уже отправляет запрос на сайт. Сайт думает, что к нему подключился пользователь, и отправляет информацию «человеку посередине», и только уже он перенаправляет информацию вам.

Фильтр — это не просто посредник, а сам по себе фишинг, то есть похищение пользовательской информации, но только в государственных масштабах.

Спецслужбы таким образом могут собирать информацию о запросах пользователей, а при желании — получить пароли от почты или соцсетей (если пользователи вводят их регулярно).

Три года назад спецслужбам заставить установить всех этот сертификат не удалось: программисты русскоязычного сегмента казахского интернета публично возмутились фактом государственной цензуры, расписали механизм работы, и правила установки этих сертификатов исчезли с сайтов телекоммуникационных компаний. В 2019 году спецслужбы Казахстана, которым новый президент Касым-Жомарт Токаев отдал управление связью в стране, решили сделать новый заход и сыграть на доверии: если вам приходит смс-сообщение, где необходимость установки сертификата описывается как данность, сложно что-то возразить в ответ.

Правда, если бы даже спецслужбы и смогли убедить пользователей поставить неведомое нечто на свои гаджеты, это все равно бы не работало. Михаил Климарев рассказывает, что современные браузеры уже научились отражать такие атаки, и сертификат от Комитета национальной безопасности работать просто не будет.

- Более того, 90% людей послушают оператора и попробуют установить этот сертификат, но сделать это без соответствующей квалификации просто не получится. А еще долгое время этот сертификат был сделан только под Windows и несовместим ни с iOS, ни с Android, — объясняет IT-специалист.

Такое оборудование нужно для «ловли злодеев», но ни один здравомыслящий нарушитель никогда не установит себе этот сертификат добровольно, добавляет Климарев:

- Спецслужбы будут просматривать обычных пользователей и узнают лишь, что они сидят в Facebook или смотрят порно.

Кроме того, у казахстанских спецслужб, похоже, нет мощностей, чтобы обеспечивать бесперебойную работу интернета в новых условиях. Возможно, поэтому 19 июля вице-министр цифрового развития, инноваций и аэрокосмической промышленности Аблайхан Оспанов отдельно заявил, что все это «пока добровольно: можете устанавливать, можете не устанавливать». Но сам он пообещал установить сертификат, как только сообщение придет, «себе и своим детям».

- Вы, наверное, видите, когда на некоторых сайтах всплывают баннеры. Как раз-таки при таком сертификате безопасности ребенок просто не сможет кликнуть и перейти на ресурс, — цитирует чиновника сайт Tengrinews.

Дурной пример — особенно если он уникальный — заразителен, поэтому многие опасаются, что российские спецслужбы захотят перехватить опыт соседей. Но эксперты в сфере IT пока в этом сомневаются: если делать это так, как делают в Казахстане, мороки и имиджевых потерь больше, чем потенциальных выгод. У российских спецслужб достаточно других механизмов слежки за «неблагонадежными» пользователями. А казахстанская инициатива оказалась настолько неубедительна, что в нее не поверили даже обычные люди, которые до этого массово зарегистрировали свои телефонные аппараты и стояли в многочасовых очередях, чтобы рассказать государству, где они живут больше десяти дней в году подряд.