Закон "О пенсионном обеспечении в Республике Казахстан" гарантирует вкладчикам тайну пенсионных накоплений. В тайне должны оставаться сведения об остатках и о движении денег на индивидуальных пенсионных счетах вкладчиков (получателей). Эта информация может быть раскрыта самому вкладчику, а также третьим лицам, но только в случаях, перечисленных в нормах закона.
Многие услуги вкладчикам ЕНПФ предоставляются в формате онлайн, постоянно запускаются новые цифровые проекты. А значит, на первый план выходит информационная безопасность, чтобы персональные данные вкладчиков не попали в руки к злоумышленникам. Как ЕНПФ обеспечивает информационную безопасность? Давайте разберёмся.
№1. Свидетельства информационной безопасности ЕНПФ
О том, что данные вкладчиков в безопасности, можно судить по тому, что:
- ЕНПФ ежегодно успешно проходит различные аудиты системы управления8 информационной безопасностью, что является подтверждением высокого качества предоставляемых услуг по обеспечению конфиденциальности, целостности и доступности информации АО "ЕНПФ". К примеру, получен сертификат соответствия международному стандарту ISO/IEC 27001:2013 от TÜV Rheinland;
- ЕНПФ получил аттестат на соответствие требованиям информационной безопасности согласно Закону РК "Об информатизации", свидетельствующий о прохождении фондом государственной аттестации на соответствие стандартам безопасности РК;
- с момента ввода в промышленную эксплуатацию системы межсетевого экранирования для веб-приложений (подробно о ней мы расскажем ниже) суммарно отражено более 105 млн различных сетевых атак. При этом кибератаки не повлекли за собой нарушения систем безопасности ЕНПФ или утечки персональных данных вкладчиков (получателей).
№2. Как информационная система ЕНПФ защищена от аварий и отказов?
В настоящий момент ЕНПФ выстраивает эшелонированную мультиплатформенную систему защиты данных. Она нужна для того, чтобы не складывать всю информацию и проведение важных операций по предоставлению услуг вкладчикам фонда в одну корзину.
Для этого построен метрокластер – одна система хранения, растянутая на два сайта. В случае непредвиденных ситуаций на одном из сайтов, всегда остаётся полная копия данных. Также сформированы резервные центры обработки данных в городах Алматы и Нур-Султан, что позволит ЕНПФ непрерывно предоставлять пенсионные услуги даже в случаях глобальных аварий или катастроф природного характера в одной из областей страны.
В настоящее время резервные центры ЕНПФ работают на базе систем без единой точки отказа, так называемых fault tolerance систем. Конструкция подразумевает дублирование всех критически важных узлов. Показатель бесперебойной работы составляет 99,98%.
№3. Как Web-серверы и приложения ЕНПФ защищены от кибератак?
В 2019 году ЕНПФ ввёл в промышленную эксплуатацию программно-аппаратный комплекс - межсетевое экранирование для веб-приложений (МСЭ Web) - который позволяет обеспечивать безопасность:
- основного сайта – enpf.kz;
- сайта обработки запросов от мобильных клиентов;
- сайта обработки чат-запросов;
- тестового сайта обработки запросов от мобильных клиентов.
Благодаря МСЭ Web реализована защита указанных серверов и приложений от:
- комплексных кибератак;
- SQL-инъекций (это способ взлома сайтов путем внедрения собственного кода злоумышленника для получения административного доступа);
- межсайтового скриптинга (внедрения в web-сайт вредоносного кода, который в дальнейшем распространяется ко всем входящим на сайт пользователям);
- незаконного использования Web-ресурсов ЕНПФ;
- других угроз из перечня OWASP top-10 (Open Web Application Security Project, который является признанной методологией оценки уязвимостей веб-приложений во всём мире).
При этом система самостоятельно изучает уязвимости, анонсируемые международными перечнями уязвимостей Bugtraq, CVE, Snort и другими и проводит собственный анализ для выработки методов защиты от этих атак.
№4. Была ли обеспечена безопасность данных на удалённых рабочих местах сотрудников ЕНПФ?
Разгар пандемии коронавируса привёл к карантинным ограничениям, когда сотрудникам ЕНПФ пришлось работать на самоизоляции. Для того чтобы обеспечить сохранность персональных данных вкладчиков, на удалённом доступе к рабочим местам ЕНПФ оперативно:
- установил многофакторную аутентификацию;
- организовал доверенного канала связи (VPN);
- произвёл соответствующие настройки политики безопасности на межсетевых экранах и IDS;
- усилил контроль физического доступа и сохранности.
№5. Внимание – фишинг!
Огромную роль играет и человеческий фактор. Ярким примером, когда личная ответственность и информированность каждого вкладчика и сотрудника фонда могут спасти данные от утечки, является фишинг. Он сейчас остаётся основным видом киберугрозы.
Фишинг – это массовая рассылка злоумышленниками писем на электронную почту вкладчиков и работников фонда. Цель такой рассылки – получить доступ к конфиденциальным данным пользователей – логинам и паролям.
Как борются с фишингом в ЕНПФ?
Для этого внедрена многоуровневая система защиты, которая включает:
- взаимодействие с соответствующими госорганами по выявлению и пресечению киберугроз;
- трёхуровневую систему защиты деятельности фонда, разделение полномочий, определение ответственности субъектов внутреннего контроля и мониторинга системы внутреннего контроля;
- требования по соблюдению иерархии (последовательности) обязательных процедур предварительного согласования ответственных лиц/руководителей.
Что нужно знать вкладчику о фишинге?
Рассылка электронных писем нередко происходит от имени популярных брендов (например, банков), в виде личных сообщений внутри различных сервисов (например, в соцсетях и мессенджерах).
В письме часто содержится прямая ссылка на сайт, внешне не отличимый от настоящего, либо на сайт с редиректом. После того как пользователь попадает на фейковую страницу, мошенники пытаются различными психологическими приёмами побудить его ввести свои логин и пароль, которые он использует для доступа к определённому сайту. Это позволяет мошенникам получить доступ к аккаунтам и банковским счетам.
Помните! Официальные сервисы не рассылают писем с просьбами сообщить ваши учётные данные и пароль.
№6. Как ЕНПФ будет совершенствовать систему информационной безопасности?
Сейчас ЕНПФ продолжает активно работать над усилением кибербезопасности и планирует:
- развивать средства и механизмы криптографической защиты данных, содержащих информацию о вкладчиках, в том числе и средства шифрования всех каналов связи корпоративной сети фонда (включая центры обслуживания, мобильные офисы и работников выездного обслуживания);
- развивать технологию предотвращения утечек конфиденциальных данных из информационных систем и усиливать аутентификацию при работе с ними;
- построить Операционный центр по управлению информационной безопасностью (SOC).
Информационная безопасность и обеспечение конфиденциальности данных вкладчиков – важная задача для ЕНПФ, фонд намерен уделять ей самое пристальное внимание.
-
1🎉 Группа Orda, ансамбль "Яшлык" и V$XV Prince. Как интересно провести выходные 23 и 24 ноября в Астане и Алматы
- 5615
- 1
- 6
-
2⚠️ Доброе утро! Предлагаем обзор главных новостей за 20 ноября
- 2513
- 0
- 5
-
3🍇 В модном винограде без косточек казахстанские специалисты не нашли вредных бактерий
- 2571
- 3
- 23
-
4🤔 Борьба с покупкой водительских прав: автошколы отказываются передавать частной компании данные о выпускниках
- 2326
- 2
- 26
-
5👀 В Казахстане редко назначают домашний арест, несмотря на большие расходы на содержание в СИЗО
- 2204
- 2
- 9
-
6👨⚖️👨⚖️👨⚖️🟢Суд Алматы отправил руководителя таможенной лаборатории в колонию за взятки
- 2193
- 0
- 25
-
7🎫✈️ Станут ли невозвратные билеты возвратными и зачем субсидировать авиарейсы – глава КГА
- 2258
- 0
- 11
-
8😱 Одного из богатейших людей мира обвинили во взяточничестве. Акции его компаний обвалились
- 2309
- 3
- 14
-
9🟢 Улице в Астане присвоили имя общественного деятеля
- 2236
- 2
- 46
-
10🚛🏗 Торговля и логистика в Центральной Азии: новые коридоры, продукты и D2C-модель
- 2222
- 0
- 6