Перейти к основному содержанию

kursiv_in_telegram.JPG


5768 просмотров

Что не так с сертификатом Qaznet Trust Network

Рассказывает менеджер проектов Ak Kamal Security

Фото: Shutterstock

Сообщение о необходимости установить сертификат безопасности на каждое устройство, имеющее выход в интернет, пришло на смартфоны жителей Нур-Султана. Телеком-операторы предупреждали: если сертификат установлен не будет, то возможны проблемы с доступом к сети. И поддерживали требования ссылкой на статью 26 Закона «О связи», в которой говорится: «Операторы междугородной и (или) международной телефонной связи обязаны осуществлять пропуск трафика с использованием протоколов, поддерживающих шифрование с применением сертификата безопасности, за исключением трафика, шифрованного средствами криптографической защиты информации на территории Респуб­лики Казахстан». 

Разберемся, какие прямые и косвенные риски для пользователя несет использование сертификата Qaznet Trust Network.
Начнем с простого. Внедрение сертификатов на сайтах кроме шифрования преследовало еще одну важную цель: возможность для пользователя удостовериться в том, что он попал именно на тот сайт, на который хотел попасть.

Обратите внимание на адресную строку вашего браузера: возле адреса сайта почти всегда имеется «замок». Если сертификат действителен и соответствует сайту, то он зеленый. Если кликнуть по нему, то можно посмотреть, кем и, самое главное, кому выдан используемый сайтом сертификат. Браузер самостоятельно проверяет соответствие сертификата сайту.

В случае с использованием сертификата безопасности Qaznet Trust Network вопрос проверки и доверия тем или иным сертификатам будет отдан на откуп системе, занимающейся перехватом трафика. А пользователь лишится возможности хоть как-то контролировать этот процесс.

Потенциально имеется еще одна опасность. В случае если весь внешний трафик Казахстана будет принудительно направлен через систему перехвата, для тех, кто не установил сертификат безопасности Qaznet Trust Network, все сайты станут потенциально опасными. Ведь система перехвата будет подменять подлинный сертификат того же facebook.com на собственный, а для браузера казахстанский сертификат не является доверенным. Соответственно, он будет блокировать переход и предупреждать пользователя об опасности данной страницы. И так будет со всеми сайтами в сети. Естественно, пользователь может перейти на сайт принудительно. И делать так каждый раз. Но, во-первых, таким образом у него есть шанс попасть на мошеннический сайт, поскольку пользователь уже привык доверять таким источникам, а во-вторых, никак не избавит его от слежки.

Кроме того, возникает важный вопрос: как эта система будет поступать с трафиком, который подписан «неправильным», то есть не входящим в список доверенных, – сертификатом или с сертификатом, не соответствующим доменному имени? С одной стороны, его было бы логично блокировать, так как сайт может быть мошенническим. Но в таком случае автоматически блокироваться будут многие порталы и внутренние системы крупных компаний, использующих собственные сертификаты. Ведь они не входят в список доверенных. Таким образом, без доступа к рабочим системам могут оказаться все сотрудники подобных компаний, находящихся в Казахстане. Даже если они просто приехали в командировку с собственным ноутбуком. Но если такой трафик не будет блокироваться, то о какой безопасности, которую якобы несет сертификат безопасности Qaznet Trust Network, может идти речь?

До сих пор мы говорили о потенциальной опасности. Куда серьезнее выглядит сбор и хранение передаваемых данных. И главные вопросы: кто, где и как будет их хранить? И дело не только в пе­реписке и личных секретах. Кроме этих данных перехватываться будут все аутентификационные данные – пароли и логины от всех сайтов, которые посещали пользователи. А самое главное – вместе с ними будут перехватываться и платежные данные, то есть информация о номере карты, сроке ее действия и даже CVV. Этих данных будет более чем достаточно для того, чтобы воспользоваться картой оплаты, как своей.

Учитывая этот момент, в системах, которые будут хранить собранные данные, должны быть применены беспрецедентные меры безопасности. Во-первых, данные должны быть максимально защищены от хакерских атак любого рода. Так как если эта система заработает, то при накоплении достаточного объема данных она станет не просто лакомым кусочком для киберпреступников всего мира, а возможно, и главной целью. Потому что потенциально мошенники смогут получить доступ к данным миллионов платежных карт, аккаунтов.

Во-вторых, система должна быть надежно защищена не только от атак извне, но и от внутреннего фрода. Ведь для сотрудников, которые будут обслуживать систему, доступ к этим данным без официальной авторизации также будет большим соблазном. Причем как с точки зрения самостоятельного использования, так и для передачи третьим лицам.
 
Учитывая регулярные инциденты информационной безопасности в государственных органах, вопрос о защите этих данных отнюдь не является праздным. В данном случае кроме технических мер нужно предпринять правильные кадровые решения: на сотрудников, имеющих доступ к системе, должна быть возложена максимальная персональная ответственность.

Впрочем, даже максимальные меры по защите информации лишь снижают риск ее утечки. Все эти меры полностью не обезопасят­ нашу информацию, так как прецеденты по утечкам даже секретных данных в наше время случаются довольно часто. В том числе утечки допускают такие агентства, как АНБ, ЦРУ и ФСБ, которые свои секреты хранить умеют.


44392 просмотра

Почему произошел конфликт на Тенгизе

Собрали все самое важное

Фото: Shutterstock

По прошествии месяца после инцидента на Тенгизе работа по строительству завода третьего поколения (ЗТП) еще не возобновлена. Компания, занимавшаяся строительством, терпит убытки. А причиной конфликта могло стать отсутствие связи между руководством иностранной компании и казахстанскими работниками.

Cherchez la femme

Вкратце напомним, 29 июня работники компании Consolidated Contracting Engineering&Procurement S.A.L. Offshore (CCEP), ведущей строительно-монтажные работы на проекте будущего расширения (ПБР), устроили драку из-за фотографии казахстанской девушки, которую разместил у себя в социальной сети иностранный работник.

В компании «Курсиву» сообщили, что в результате беспорядков были повреждены офисные здания и другие служебные помещения CCEP.

«Также были зафиксированы факты пропажи имущества (рации) со склада компании. Однако наибольший ущерб компания понесла вследствие задержек строительных работ, что привело к дополнительным расходам, связанным с простоем персонала, и других факторов, которые повлияли на производительность и динамику проекта», – рассказали изданию на предприятии.

Здесь также отметили, что работа по строительству ЗТП на Тенгизе, которая была приостановлена в связи с беспорядками, еще не возобновлена.

«На остальных участках проекта будущего расширения беспорядков не было, но была проведена демобилизация персонала. К 1 июля все строительные объекты ПБР за исключением ЗТП работали в штатном режиме. Производственные объекты ТШО не прекращали работу», – сообщили «Курсиву» в отделе по связям с правительством и общественностью ТОО «Тенгизшевройл» (ТШО).

Освобождены, но не сокращены

Между тем недавно 176 работников ТОО «Реформ строй», субподрядной организации ССЕР, оставшиеся без работы, обратились с жалобой в управление государственной инспекции труда Атырауской области. Как пояснил в комментариях «Курсиву» руководитель данного ведомства Игилик Аубакиров, у субподрядчика просто закончился объем работ, поэтому он вынужден был уволить рабочих.

«Контракт был заключен с марта 2018 года. В течение года работы были полностью выполнены. После завершения определенного вида работ действие заключенных трудовых договоров прекращается», – сказал он.

По его словам, у трудящихся компании «Реформ строй» контр­акт закончился в июне, но, несмотря на то, что в июле работы не производились, месячная заработная плата работникам будет выплачена полностью.

Госинспектор отметил, что сейчас межведомственная комиссия, созданная для исследования причин инцидента и организации труда на Тенгизе, продолжает свою работу.

Работодатель недоступен?

Стоит отметить, что после беспорядков на Тенгизе было много разных предположений о причинах, приведших к конфликту. Но главной остается версия о взаимоотношениях между работниками компании. Как отметил Игилик Аубакиров, рабочие хотели, чтобы руководство компании «услышало их».

«Обратной связи не было, не доносили информацию соответственно. То есть это упущение руководителей предприятия», – говорит г-н Аубакиров.

Ранее в социальных сетях сообщали, что у иностранных и казахстанских работников CCEP раздельное питание, местные трудящиеся жаловались на качество обслуживания в столовой. Однако в самой компании ответили, что все работники предприятия «обслуживаются на одинаковой основе независимо от расы, этнической принадлежности, возраста и религии».

«Любые обнаруженные нарушения подлежат рассмотрению в соответствии с политикой нулевой терпимости к дискриминации, принятой на проекте», – заверили в ССЕР.

Между тем председатель президиума Союза нефтесервисных компаний Казахстана (KazService) Рашид Жаксылыков на брифинге, прошедшем несколько дней спустя после инцидента на Тенгизе, отметил, что часто конфликты на крупных проектах возникают из-за того, что иностранные компании в качестве супервайзеров, контролирующих работу персонала, наз­начают иностранцев, не имеющих опыта работы в Казахстане.

Напомним, что в одном из сообщений, распространенных в социальных сетях, говорилось, что Эли Дауд, из-за фотографии которого начался конфликт, работал в ССЕР главным администратором по логистике. В компании не подтвердили, но и не опровергли данную информацию, отметив лишь что «в соответствии с политикой компании по подбору персонала все работники, независимо от возраста, пола, религии и национальности, оцениваются по одним и тем же стандартам на основе их опыта и квалификации», соответственно, те кандидаты, которые успешно проходят техническую и квалификационную оценку, принимаются на работу.

Вместе с тем, как рассказал «Курсиву» заместитель председателя территориального объединения профсоюзов «Профсоюзный центр Атырауской области» Едил Узакбай, нередки случаи, когда работодатели привлекают экспатов по одной категории, а работают они уже в Казахстане по другой.

«Бывает, что при привлечении иностранных специалистов компании указывают специальность инженера, но при этом не раскрывают подвид данной специальности. Например, инженер-геофизик ли им нужен или еще какой-нибудь другой специализации», – отмечает он.

Но, по данным ССЕР, сегодня на строительных объектах предприятия на Тенгизе заняты около 10 тыс. сотрудников, из которых 96%  казахстанцы и 4%  – иностранные работники. 

Рейтинг прозрачности крупнейших компаний Казахстана

Читайте нас в TELEGRAM | https://t.me/kursivkz

Вопрос дня

Архив опросов

Как вы провели или планируете провести отпуск этим летом?

Варианты

svadba.jpg

Цифра дня

старше 20 лет
половина продаваемых авто в Казахстане

Цитата дня

Земля должна принадлежать тем, кто на ней работает. Земля иностранцам продаваться не будет. Это моя принципиальная позиция

Касым-Жомарт Токаев
президент Республики Казахстан

Спецпроекты

Рейтинг прозрачности крупнейших компаний Казахстана

Рейтинг прозрачности крупнейших компаний Казахстана

Биржевой навигатор от Freedom Finance

Биржевой навигатор от Freedom Finance


KAZATOMPROM - IPO уранового гиганта
Новый Курс - все о мире инвестиций

Банк Хоум Кредит

Home Credit Bank


Новый Курс - все о мире инвестиций
Новый Курс - все о мире инвестиций