Новости

ЕНПФ отрицает утечку данных из фонда через китайских хакеров

Опубликовано (обновлено )
Олеся Бассарова
Олеся Бассарова
Корреспондент отдела General News
ЕНПФ Утечка данных Хакеры
В ЕНПФ применяют эшелонированную систему для противостояния киберугрозам Фото: shutterstock

Информация о предполагаемой утечке персональных данных казахстанцев из базы Единого накопительного пенсионного фонда (ЕНПФ) не подтвердилась. Об этом сообщили в самом фонде, подчеркнув, что они активно применяют систему защиты для предотвращения киберугроз.

Напомним, в феврале на ресурсе GitHub была опубликована информация о сливе секретных данных китайской компании iSoon (также известной как Anxun). Согласно данным, хакерская группировка из Китая в течение двух лет имела доступ к критической инфраструктуре казахстанских операторов связи, включая базу ЕНПФ. Однако, по данным фонда, анализ показал, что на GitHub было опубликовано лишь описание сайта enpf.kz, который не содержит персональных данных клиентов.

В заявлении отмечается, что ЕНПФ применяет эшелонированную систему защиты, включающую активные и проактивные меры безопасности как для внешнего, так и внутреннего периметра информационно-технологической инфраструктуры фонда. Также подчеркивается, что фонд обеспечивает полную защиту конфиденциальных данных клиентов и строго соблюдает нормативные требования в области информационной безопасности.

Компания Anxun, также известная как iSoon, является китайским производителем оборудования для безопасности и видеонаблюдения. Они специализируются на производстве различных средств для обеспечения безопасности, включая камеры видеонаблюдения, системы хранения данных и оборудование для контроля доступа. Согласно Центру анализа и расследования кибератак (ЦАРКА), компания связана с киберразведкой КНР, известной как APT41.

Курсив ранее сообщал о том, что китайская хакерская группировка долгое время имела доступ к инфраструктуре казахстанских операторов связи, в том числе и к базам данных, а также следила за перепиской и передвижением пользователей. Утечка данных из различных операторов связи, таких как beeline.kz, kcell.kz, tele2.kz и telecom.kz, также была зафиксирована.

После этого в Центре анализа и расследования кибератак (ЦАРКА) заявили, что в Казахстане нужно создать Агентство по кибербезопасности, которое будет независимо от правительства РК, так как масштабная утечка данных – это результат бессистемных действий властей.

В декабре прошлого года президент РК Касым-Жомарт Токаев подписал закон, который устанавливает правила работы с белыми хакерами, которые будут заняты выявлением уязвимостей в информационных системах. В январе 2024 года был представлен проект приказа министра цифрового развития, инноваций и аэрокосмической деятельности, который регулирует взаимодействие с исследователями информационной безопасности, известными как белые хакеры. Согласно новым правилам, белые хакеры должны зарегистрироваться в специальной системе, чтобы выявлять уязвимости, которые могут нарушить целостность, конфиденциальность или доступность информационных систем. Каждый раз, когда они входят в систему, они используют уникальный токен, чтобы идентифицироваться. Таким образом, любые атаки на Egov без соответствующего токена будут считаться незаконными.

Список объектов электронного правительства, в которых будут работать белые хакеры, и сроки поиска уязвимостей будет определяться Комитетом национальной безопасности совместно с уполномоченным органом по информационной безопасности. Каждая обнаруженная уязвимость должна быть подробно задокументирована, включая информацию о наименовании объекта электронного правительства, типе уязвимости, ее критичности и рекомендации по устранению. Вознаграждение для белых хакеров будет зависеть от уровня критичности уязвимости, но конкретные суммы будут определены позднее.

После получения отчета оператор проверит его на достоверность в течение 15 рабочих дней. Если уязвимость была обнаружена в нарушение правил или ранее, отчет будет рассмотрен без выплаты вознаграждения. Собственники объектов электронного правительства должны будут устранить уязвимости в течение 15 рабочих дней после получения уведомления о них.

Также стоит отметить, что несколько лет назад в ведомстве была заявлена неотложная необходимость сотрудничества с белыми хакерами. В декабре 2021 года вице-министр цифрового развития, инноваций и аэрокосмической промышленности Асхат Оразбек объявил о работе в Казахстане над созданием государственной площадки для таких экспертов. Он также отметил, что коммерческие компании уже выплатили около 50 млн тенге белым хакерам, а к тому моменту в реестре было зарегистрировано 600 таких специалистов, от которых поступило 1 306 отчетов о выявленных уязвимостях.

Скопировать ссылку
Материалы по теме
Создать независимое от правительства РК Агентство по кибербезопасности предлагают после масштабной утечки данных
Китайские хакеры следили за казахстанцами через операторов связи
Минцифры дало совет казахстанцам, как обезопасить себя от утечки данных
Читайте также