Закон "О пенсионном обеспечении в Республике Казахстан" гарантирует вкладчикам тайну пенсионных накоплений. В тайне должны оставаться сведения об остатках и о движении денег на индивидуальных пенсионных счетах вкладчиков (получателей). Эта информация может быть раскрыта самому вкладчику, а также третьим лицам, но только в случаях, перечисленных в нормах закона

Многие услуги вкладчикам ЕНПФ  предоставляются в формате онлайн, постоянно запускаются новые цифровые проекты. А значит, на первый план выходит информационная безопасность, чтобы персональные данные вкладчиков не попали в руки к злоумышленникам. Как ЕНПФ обеспечивает информационную безопасность? Давайте разберёмся.

№1. Свидетельства информационной безопасности ЕНПФ 

О том, что данные вкладчиков в безопасности, можно судить по тому, что:

  • ЕНПФ ежегодно успешно проходит различные аудиты системы управления8 информационной безопасностью, что является подтверждением высокого качества предоставляемых услуг по обеспечению конфиденциальности, целостности и доступности информации АО "ЕНПФ". К примеру, получен сертификат соответствия международному стандарту ISO/IEC 27001:2013 от TÜV Rheinland;
  • ЕНПФ получил аттестат на соответствие требованиям информационной безопасности согласно Закону РК "Об информатизации", свидетельствующий о прохождении фондом государственной аттестации на соответствие стандартам безопасности РК;
  • с момента ввода в промышленную эксплуатацию системы межсетевого экранирования для веб-приложений (подробно о ней мы расскажем ниже) суммарно отражено более 105 млн различных сетевых атак. При этом кибератаки не повлекли за собой нарушения систем безопасности ЕНПФ или утечки персональных данных вкладчиков (получателей).

№2. Как информационная система ЕНПФ защищена от аварий и отказов?

В настоящий момент ЕНПФ выстраивает эшелонированную мультиплатформенную систему защиты данных. Она нужна для того, чтобы не складывать всю информацию и проведение важных операций по предоставлению услуг вкладчикам фонда в одну корзину. 

Для этого построен метрокластер – одна система хранения, растянутая на два сайта. В случае непредвиденных ситуаций на одном из сайтов, всегда остаётся полная копия данных. Также сформированы резервные центры обработки данных в городах Алматы и Нур-Султан, что позволит ЕНПФ непрерывно предоставлять пенсионные услуги даже в случаях глобальных аварий или катастроф природного характера в одной из областей страны.

В настоящее время резервные центры ЕНПФ работают на базе систем без единой точки отказа, так называемых fault tolerance систем. Конструкция подразумевает дублирование всех критически важных узлов. Показатель бесперебойной работы составляет 99,98%.

№3. Как Web-серверы и приложения ЕНПФ защищены от кибератак?

В 2019 году ЕНПФ ввёл в промышленную эксплуатацию программно-аппаратный комплекс - межсетевое экранирование для веб-приложений (МСЭ Web) - который позволяет обеспечивать безопасность: 

  • основного сайта – enpf.kz;
  • сайта обработки запросов от мобильных клиентов;
  • сайта обработки чат-запросов;
  • тестового сайта обработки запросов от мобильных клиентов.

Благодаря МСЭ Web реализована защита указанных серверов и приложений от: 

  • комплексных кибератак;
  • SQL-инъекций (это способ взлома сайтов путем внедрения собственного кода злоумышленника для получения административного доступа);
  • межсайтового скриптинга (внедрения в web-сайт вредоносного кода, который в дальнейшем распространяется ко всем входящим на сайт пользователям);
  • незаконного использования Web-ресурсов ЕНПФ;
  • других угроз из перечня OWASP top-10 (Open Web Application Security Project, который является признанной методологией оценки уязвимостей веб-приложений во всём мире).

При этом система самостоятельно изучает уязвимости, анонсируемые международными перечнями уязвимостей Bugtraq, CVE, Snort и другими и проводит собственный анализ для выработки методов защиты от этих атак.

№4. Была ли обеспечена безопасность данных на удалённых рабочих местах сотрудников ЕНПФ?

Разгар пандемии коронавируса привёл к карантинным ограничениям, когда сотрудникам ЕНПФ пришлось работать на самоизоляции. Для того чтобы обеспечить сохранность персональных данных вкладчиков, на удалённом доступе к рабочим местам ЕНПФ оперативно:

  • установил многофакторную аутентификацию;
  • организовал доверенного канала связи (VPN);
  • произвёл соответствующие настройки политики безопасности на межсетевых экранах и IDS;
  • усилил контроль физического доступа и сохранности.

№5. Внимание – фишинг!

Огромную роль играет и человеческий фактор. Ярким примером, когда личная ответственность и информированность каждого вкладчика и сотрудника фонда могут спасти данные от утечки, является фишинг. Он сейчас остаётся основным видом киберугрозы.

Фишинг – это массовая рассылка злоумышленниками писем на электронную почту вкладчиков и работников фонда. Цель такой рассылки – получить доступ к конфиденциальным данным пользователей – логинам и паролям.

Как борются с фишингом в ЕНПФ?

Для этого внедрена многоуровневая система защиты, которая включает:

  • взаимодействие с соответствующими госорганами по выявлению и пресечению киберугроз;
  • трёхуровневую систему защиты деятельности фонда, разделение полномочий, определение ответственности субъектов внутреннего контроля и мониторинга системы внутреннего контроля;
  • требования по соблюдению иерархии (последовательности) обязательных процедур предварительного согласования ответственных лиц/руководителей.

Что нужно знать вкладчику о фишинге?

Рассылка электронных писем нередко происходит от имени популярных брендов (например, банков), в виде личных сообщений внутри различных сервисов (например, в соцсетях и мессенджерах).

В письме часто содержится прямая ссылка на сайт, внешне не отличимый от настоящего, либо на сайт с редиректом. После того как пользователь попадает на фейковую страницу, мошенники пытаются различными психологическими приёмами побудить его ввести свои логин и пароль, которые он использует для доступа к определённому сайту. Это позволяет мошенникам получить доступ к аккаунтам и банковским счетам.

Помните! Официальные сервисы не рассылают писем с просьбами сообщить ваши учётные данные и пароль.

№6. Как ЕНПФ будет совершенствовать систему информационной безопасности?

Сейчас ЕНПФ продолжает активно работать над усилением кибербезопасности и планирует:

  • развивать средства и механизмы криптографической защиты данных, содержащих информацию о вкладчиках, в том числе и средства шифрования всех каналов связи корпоративной сети фонда (включая центры обслуживания, мобильные офисы и работников выездного обслуживания);
  • развивать технологию предотвращения утечек конфиденциальных данных из информационных систем и усиливать аутентификацию при работе с ними;
  • построить Операционный центр по управлению информационной безопасностью (SOC).

Информационная безопасность и обеспечение конфиденциальности данных вкладчиков – важная задача для ЕНПФ, фонд намерен уделять ей самое пристальное внимание.