Банки и финансы

Как ЕНПФ строит систему кибербезопасности

И сможет ли он защитить персональные данные казахстанцев

ЕНПФ генерирует огромный объем данных, ценность которых постоянно растет, поэтому построение эффективной системы кибербезопасности и сохранение конфиденциальности данных вкладчиков занимают в работе фонда одно из первых мест. Узнаем, как защищена персональная информация.

ЕНПФ постоянно работает над выстраиванием многоуровневой системы защиты персональных данных вкладчиков. В частности, в последние годы в рамках этого проекта успешно реализован и работает метрокластер.

«Это географически распределенная система хранения информации, составляющая кластер, растянутый на три сайта. В случае аварии на одном из сайтов всегда остается полная копия данных на других сайтах», – поясняет председатель правления АО «ЕНПФ» Жанат Курманов.

«Резервные центры обработки данных находятся в Нур-Султане и Алматы. Резервные центры работают на базе систем без единой точки отказа, показатель их бесперебойной работы составляет 99,98%», – дополняет управляющий директор АО «ЕНПФ» Канат Дыбыспаев.

При выстраивании удаленного сервиса для клиентов фонда важны современные инструменты защиты данных. В 2019 году ЕНПФ ввел в промышленную эксплуатацию программно-аппаратный комплекс Web Application Firewall (межсетевое экранирование для веб-приложений) для защиты Web-серверов и приложений организации. Это позволило обеспечить безопасность основного сайта (enpf.kz), сайта обработки запросов от мобильных клиентов, сайта обработки чат-запросов, тестового сайта обработки запросов от мобильных клиентов.

«Благодаря межсетевому экрану Web реализована защита указанных Web-серверов и приложений фонда от комплексных кибер­атак, SQL-инъекций, DDoS-атак, межсайтового скриптинга, незаконного использования Web-ресурсов фонда и других угроз», – поясняет Канат Дыбыспаев.

В фонде подчеркивают, что система автоматически изучает угрозы, анонсируемые международными перечнями уязвимостей Bugtraq, CVE, Snort и др., самостоятельно проводит анализ и выбирает методы борьбы с атаками.

Ежегодно аудит подтверждает высокое качество защиты персональных данных, целостности и доступности информации. Кроме того, ЕНПФ имеет государственный аттестат на соответствие требованиям информационной безопасности.

Отражение киберугроз

С момента ввода програм­мно-аппаратного комплекса Web Application Firewall в общей сложности было отражено свыше 105 млн сетевых атак. При этом ни одна из них не повлекла за собой нарушение систем безопасности ЕНПФ или утечки персональных данных вкладчиков.

«Один из наиболее распространенных видов киберугрозы в настоящее время – это так называемый фишинг, цель которого – получение доступа к конфиденциальным данным пользователей (логинам и паролям) или массовая рассылка фишинговых писем на электронную почту как вкладчиков, так и работников фонда», – пояснили в фонде.

Система внутреннего контроля

В направлении развития систем внутреннего контроля и оптимизации бизнес-процессов в ЕНПФ внедрена многоуровневая защита, которая основывается на трехуровневой системе защиты деятельности организации, разделении полномочий, определении ответственности субъектов внутреннего контроля и мониторинга системы внут­реннего контроля. Кроме того, в нее включены требования по соблюдению последовательности обязательных процедур предварительного согласования ответственных лиц.

Работа в условиях ЧП

Из-за распространения коронавирусной инфекции был объявлен режим ЧП, и в крупных городах Казахстана введен режим карантина. В этих условиях фонд в краткие сроки перевел всю работу в цифровой формат.

«В частности, был организован удаленный доступ к рабочим местам с установкой многофакторной аутентификации, организацией доверенного канала связи (VPN), соответствующих настроек политики безопасности на межсетевых экранах и IDS и усилен контроль физического доступа и сохранности», – комментируют в подразделении информационной безопасности.

Также было отмечено, что ЕНПФ продолжит работу над инструментами обеспечения криптографической защиты данных.

«В рамках кибербезопасности будет продолжено внедрение и использование современных технологий сохранения конфиденциальных данных информационных систем ЕНПФ, проведения аутентификации при работе с ними как вкладчиков, так и сотрудников», – пояснили в фонде.

Развитие цифровых технологий и электронных услуг требует реализации адекватных мер управления информационной безопасностью. «Одна из важных задач ЕНПФ – информационная безопасность и конфиденциальность данных вкладчиков!» – подчеркнули в фонде.