Закон "О пенсионном обеспечении в Республике Казахстан" гарантирует вкладчикам тайну пенсионных накоплений. В тайне должны оставаться сведения об остатках и о движении денег на индивидуальных пенсионных счетах вкладчиков (получателей). Эта информация может быть раскрыта самому вкладчику, а также третьим лицам, но только в случаях, перечисленных в нормах закона.
Многие услуги вкладчикам ЕНПФ предоставляются в формате онлайн, постоянно запускаются новые цифровые проекты. А значит, на первый план выходит информационная безопасность, чтобы персональные данные вкладчиков не попали в руки к злоумышленникам. Как ЕНПФ обеспечивает информационную безопасность? Давайте разберёмся.
№1. Свидетельства информационной безопасности ЕНПФ
О том, что данные вкладчиков в безопасности, можно судить по тому, что:
- ЕНПФ ежегодно успешно проходит различные аудиты системы управления8 информационной безопасностью, что является подтверждением высокого качества предоставляемых услуг по обеспечению конфиденциальности, целостности и доступности информации АО "ЕНПФ". К примеру, получен сертификат соответствия международному стандарту ISO/IEC 27001:2013 от TÜV Rheinland;
- ЕНПФ получил аттестат на соответствие требованиям информационной безопасности согласно Закону РК "Об информатизации", свидетельствующий о прохождении фондом государственной аттестации на соответствие стандартам безопасности РК;
- с момента ввода в промышленную эксплуатацию системы межсетевого экранирования для веб-приложений (подробно о ней мы расскажем ниже) суммарно отражено более 105 млн различных сетевых атак. При этом кибератаки не повлекли за собой нарушения систем безопасности ЕНПФ или утечки персональных данных вкладчиков (получателей).
№2. Как информационная система ЕНПФ защищена от аварий и отказов?
В настоящий момент ЕНПФ выстраивает эшелонированную мультиплатформенную систему защиты данных. Она нужна для того, чтобы не складывать всю информацию и проведение важных операций по предоставлению услуг вкладчикам фонда в одну корзину.
Для этого построен метрокластер – одна система хранения, растянутая на два сайта. В случае непредвиденных ситуаций на одном из сайтов, всегда остаётся полная копия данных. Также сформированы резервные центры обработки данных в городах Алматы и Нур-Султан, что позволит ЕНПФ непрерывно предоставлять пенсионные услуги даже в случаях глобальных аварий или катастроф природного характера в одной из областей страны.
В настоящее время резервные центры ЕНПФ работают на базе систем без единой точки отказа, так называемых fault tolerance систем. Конструкция подразумевает дублирование всех критически важных узлов. Показатель бесперебойной работы составляет 99,98%.
№3. Как Web-серверы и приложения ЕНПФ защищены от кибератак?
В 2019 году ЕНПФ ввёл в промышленную эксплуатацию программно-аппаратный комплекс - межсетевое экранирование для веб-приложений (МСЭ Web) - который позволяет обеспечивать безопасность:
- основного сайта – enpf.kz;
- сайта обработки запросов от мобильных клиентов;
- сайта обработки чат-запросов;
- тестового сайта обработки запросов от мобильных клиентов.
Благодаря МСЭ Web реализована защита указанных серверов и приложений от:
- комплексных кибератак;
- SQL-инъекций (это способ взлома сайтов путем внедрения собственного кода злоумышленника для получения административного доступа);
- межсайтового скриптинга (внедрения в web-сайт вредоносного кода, который в дальнейшем распространяется ко всем входящим на сайт пользователям);
- незаконного использования Web-ресурсов ЕНПФ;
- других угроз из перечня OWASP top-10 (Open Web Application Security Project, который является признанной методологией оценки уязвимостей веб-приложений во всём мире).
При этом система самостоятельно изучает уязвимости, анонсируемые международными перечнями уязвимостей Bugtraq, CVE, Snort и другими и проводит собственный анализ для выработки методов защиты от этих атак.
№4. Была ли обеспечена безопасность данных на удалённых рабочих местах сотрудников ЕНПФ?
Разгар пандемии коронавируса привёл к карантинным ограничениям, когда сотрудникам ЕНПФ пришлось работать на самоизоляции. Для того чтобы обеспечить сохранность персональных данных вкладчиков, на удалённом доступе к рабочим местам ЕНПФ оперативно:
- установил многофакторную аутентификацию;
- организовал доверенного канала связи (VPN);
- произвёл соответствующие настройки политики безопасности на межсетевых экранах и IDS;
- усилил контроль физического доступа и сохранности.
№5. Внимание – фишинг!
Огромную роль играет и человеческий фактор. Ярким примером, когда личная ответственность и информированность каждого вкладчика и сотрудника фонда могут спасти данные от утечки, является фишинг. Он сейчас остаётся основным видом киберугрозы.
Фишинг – это массовая рассылка злоумышленниками писем на электронную почту вкладчиков и работников фонда. Цель такой рассылки – получить доступ к конфиденциальным данным пользователей – логинам и паролям.
Как борются с фишингом в ЕНПФ?
Для этого внедрена многоуровневая система защиты, которая включает:
- взаимодействие с соответствующими госорганами по выявлению и пресечению киберугроз;
- трёхуровневую систему защиты деятельности фонда, разделение полномочий, определение ответственности субъектов внутреннего контроля и мониторинга системы внутреннего контроля;
- требования по соблюдению иерархии (последовательности) обязательных процедур предварительного согласования ответственных лиц/руководителей.
Что нужно знать вкладчику о фишинге?
Рассылка электронных писем нередко происходит от имени популярных брендов (например, банков), в виде личных сообщений внутри различных сервисов (например, в соцсетях и мессенджерах).
В письме часто содержится прямая ссылка на сайт, внешне не отличимый от настоящего, либо на сайт с редиректом. После того как пользователь попадает на фейковую страницу, мошенники пытаются различными психологическими приёмами побудить его ввести свои логин и пароль, которые он использует для доступа к определённому сайту. Это позволяет мошенникам получить доступ к аккаунтам и банковским счетам.
Помните! Официальные сервисы не рассылают писем с просьбами сообщить ваши учётные данные и пароль.
№6. Как ЕНПФ будет совершенствовать систему информационной безопасности?
Сейчас ЕНПФ продолжает активно работать над усилением кибербезопасности и планирует:
- развивать средства и механизмы криптографической защиты данных, содержащих информацию о вкладчиках, в том числе и средства шифрования всех каналов связи корпоративной сети фонда (включая центры обслуживания, мобильные офисы и работников выездного обслуживания);
- развивать технологию предотвращения утечек конфиденциальных данных из информационных систем и усиливать аутентификацию при работе с ними;
- построить Операционный центр по управлению информационной безопасностью (SOC).
Информационная безопасность и обеспечение конфиденциальности данных вкладчиков – важная задача для ЕНПФ, фонд намерен уделять ей самое пристальное внимание.
-
1🎄Новогодние скидки: билеты на поезда по выгодным ценам распродают в Казахстане
- 5924
- 1
- 4
-
2❓День потрачен впустую: кто виноват и что делать, если доставка задерживается
- 5842
- 3
- 19
-
3⚡️Дмитрий Мун стал вице-министром цифрового развития, инноваций и аэрокосмической промышленности
- 2439
- 5
- 90
-
4❓В НИИ онкологии и радиологии Алматы бесплатно проконсультируют жителей
- 2457
- 0
- 7
-
5⁉️Чем известна Перизат Кайрат, возглавлявшая фонд BizBirgemiz Qazaqstan?
- 2399
- 15
- 42
-
6🤑Размеры двух пособий вырастут в Казахстане в 2025 году
- 2472
- 4
- 16
-
7🌤 Прогноз погоды на 23 ноября: осадков не ожидается на всей территории Казахстана
- 2502
- 0
- 6
-
8⚠️Легковушка столкнулась с маршрутным автобусом на автомагистрали в Караганде
- 2235
- 1
- 17
-
9⭐️Сверхгигант, прячущийся в "коконе": астрономы сделали первый крупный снимок звезды из другой галактики
- 2240
- 1
- 13
-
10🇺🇸Как хотят справиться в США с бюрократией: меньше бумажек – больше дела
- 2218
- 1
- 22