ЕНПФ отрицает утечку данных из фонда через китайских хакеров
Информация о предполагаемой утечке персональных данных казахстанцев из базы Единого накопительного пенсионного фонда (ЕНПФ) не подтвердилась. Об этом сообщили в самом фонде, подчеркнув, что они активно применяют систему защиты для предотвращения киберугроз.
Напомним, в феврале на ресурсе GitHub была опубликована информация о сливе секретных данных китайской компании iSoon (также известной как Anxun). Согласно данным, хакерская группировка из Китая в течение двух лет имела доступ к критической инфраструктуре казахстанских операторов связи, включая базу ЕНПФ. Однако, по данным фонда, анализ показал, что на GitHub было опубликовано лишь описание сайта enpf.kz, который не содержит персональных данных клиентов.
В заявлении отмечается, что ЕНПФ применяет эшелонированную систему защиты, включающую активные и проактивные меры безопасности как для внешнего, так и внутреннего периметра информационно-технологической инфраструктуры фонда. Также подчеркивается, что фонд обеспечивает полную защиту конфиденциальных данных клиентов и строго соблюдает нормативные требования в области информационной безопасности.
Компания Anxun, также известная как iSoon, является китайским производителем оборудования для безопасности и видеонаблюдения. Они специализируются на производстве различных средств для обеспечения безопасности, включая камеры видеонаблюдения, системы хранения данных и оборудование для контроля доступа. Согласно Центру анализа и расследования кибератак (ЦАРКА), компания связана с киберразведкой КНР, известной как APT41.
Курсив ранее сообщал о том, что китайская хакерская группировка долгое время имела доступ к инфраструктуре казахстанских операторов связи, в том числе и к базам данных, а также следила за перепиской и передвижением пользователей. Утечка данных из различных операторов связи, таких как beeline.kz, kcell.kz, tele2.kz и telecom.kz, также была зафиксирована.
После этого в Центре анализа и расследования кибератак (ЦАРКА) заявили, что в Казахстане нужно создать Агентство по кибербезопасности, которое будет независимо от правительства РК, так как масштабная утечка данных – это результат бессистемных действий властей.
В декабре прошлого года президент РК Касым-Жомарт Токаев подписал закон, который устанавливает правила работы с белыми хакерами, которые будут заняты выявлением уязвимостей в информационных системах. В январе 2024 года был представлен проект приказа министра цифрового развития, инноваций и аэрокосмической деятельности, который регулирует взаимодействие с исследователями информационной безопасности, известными как белые хакеры. Согласно новым правилам, белые хакеры должны зарегистрироваться в специальной системе, чтобы выявлять уязвимости, которые могут нарушить целостность, конфиденциальность или доступность информационных систем. Каждый раз, когда они входят в систему, они используют уникальный токен, чтобы идентифицироваться. Таким образом, любые атаки на Egov без соответствующего токена будут считаться незаконными.
Список объектов электронного правительства, в которых будут работать белые хакеры, и сроки поиска уязвимостей будет определяться Комитетом национальной безопасности совместно с уполномоченным органом по информационной безопасности. Каждая обнаруженная уязвимость должна быть подробно задокументирована, включая информацию о наименовании объекта электронного правительства, типе уязвимости, ее критичности и рекомендации по устранению. Вознаграждение для белых хакеров будет зависеть от уровня критичности уязвимости, но конкретные суммы будут определены позднее.
После получения отчета оператор проверит его на достоверность в течение 15 рабочих дней. Если уязвимость была обнаружена в нарушение правил или ранее, отчет будет рассмотрен без выплаты вознаграждения. Собственники объектов электронного правительства должны будут устранить уязвимости в течение 15 рабочих дней после получения уведомления о них.
Также стоит отметить, что несколько лет назад в ведомстве была заявлена неотложная необходимость сотрудничества с белыми хакерами. В декабре 2021 года вице-министр цифрового развития, инноваций и аэрокосмической промышленности Асхат Оразбек объявил о работе в Казахстане над созданием государственной площадки для таких экспертов. Он также отметил, что коммерческие компании уже выплатили около 50 млн тенге белым хакерам, а к тому моменту в реестре было зарегистрировано 600 таких специалистов, от которых поступило 1 306 отчетов о выявленных уязвимостях.