АО «ЕНПФ» ежегодно успешно проходит аудит систем управления информационной безопасностью — это является подтверждением высокого качества предоставляемых услуг по обеспечению конфиденциальности, целостности и доступности информации. Кроме того, фонд имеет аттестат на соответствие требованиям информационной безопасности согласно Закону РК «Об информатизации», свидетельствующий о прохождении государственной аттестации на соответствие стандартам безопасности Республики Казахстан.
Мы обратились в АО «ЕНПФ» с просьбой рассказать в простой и доступной форме, что значит информационная безопасность и как это работает.
На наши вопросы отвечает директор Акмолинского областного филиала АО «ЕНПФ» Аяш Хакимовна Кеншинбаева.
— Аяш Хакимовна, какие меры безопасности принимаются фондом для обеспечения информационной безопасности?
— В целях киберзащиты фонд использует новейшие инструменты и те, которые зарекомендовали себя как самые надежные. Мы не стоим на месте, ведь безопасность личных данных вкладчиков — главное в нашей работе. Мы не только обеспечиваем сохранность вкладов, но и отвечаем за конфиденциальность данных владельцев пенсионных счетов.
Функционирование информационных систем ЕНПФ и запуск новых проектов требуют особого внимания, поэтому нами выстроена эшелонированная мультиплатформенная (многоуровневая) система защиты данных.
— Звучит серьезно. А что это такое?
— Эшелонированная защита — это эффективный способ борьбы с постоянно меняющимися опасностями в современной информационной среде. Наш фонд завершил работу по построению метрокластера — одной системы хранения, растянутой на три сайта. Это значит, что в случае аварии на одном из сайтов всегда остается полная копия данных. Такие резервные центры обработки данных есть в Алматы и Hyp-Султане, что в свою очередь позволяет ЕНПФ непрерывно предоставлять информационные пенсионные услуги даже в случаях глобальных аварий или катастроф.
В настоящее время такие резервные центры работают без единой точки отказа и показатель их бесперебойной работы составляет 99,98 %.
— А если, к примеру, атакуют ваш сайт?
— Это тоже предусмотрено нашей системой. В 2019 году мы ввели в промышленную эксплуатацию программно-аппаратный комплекс Web Application Firewall — это межсетевое экранирование для веб-приложений с целью защиты web-серверов и приложений фонда. Это обеспечивает не только безопасность нашего основного сайта, но также сайта обработки запросов от мобильных клиентов и запросы на чат-боты.
Благодаря этому реализована защита указанных web-серверов и приложений фонда от комплексных кибератак, взломов сайтов, хакерских атак на систему, внедрения в web-сайт вредоносного кода, незаконного использования web-ресурсов фонда и других угроз.
С момента ввода в промышленную эксплуатацию суммарно отражено более 105 млн различных сетевых атак, которые не смогли нарушить систему безопасности ЕНПФ или позволить утечку персональных данных вкладчиков (получателей).
— А как вы боретесь с вредоносными рассылками на почтовые адреса? Честно говоря, это уже всем надоело.
— Вы правы, это основной вид киберугроз на текущий момент. Так называемый «фишинг» — вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей (логинам и паролям) или массовая рассылка фишинговых писем на электронную почту как вкладчиков, так и работников фонда.
В связи с этим мы постоянно взаимодействуем с соответствующими государственными органами по выявлению и пресечению киберугроз в отношении информационно-коммуникационной инфраструктуры и электронных информационных ресурсов АО «ЕНПФ».
— Я знаю, что сейчас большинство сотрудников фонда работают удаленно. Как при этом вы обеспечиваете их доступ к системе?
— Да, в связи с пандемией и распространением коронави-русной инфекции COVID-19, когда по Указу Президента РК был объявлен режим ЧП в городах Алматы и Нур-Султане, работники фонда (кроме дежурных операционистов) продолжили свою работу в условиях самоизоляции. Для этого в кратчайшие сроки был организован удаленный доступ к рабочим местам с установкой многофакторной аутентификации, организацией доверенного канала связи (VPN), соответствующих настроек политики безопасности, также усилен контроль физического доступа и сохранности. Эта огромная работа была проведена оперативно и профессионально, не прерывая процесс оказания услуг вкладчикам ни на один день.
— Несколько слов о дальнейших планах в этом направлении.
— Планов много. Фонд не останавливается на достигнутых успехах, предстоит масштабная работа по дальнейшему развитию средств и механизмов защиты данных, содержащих информацию о вкладчиках, в том числе и средств шифрования всех каналов связи корпоративной сети фонда, включая центры обслуживания, мобильные офисы и работников выездного обслуживания. Также фонд в целях усиления кибербезопасности планирует развивать технологию предотвращения утечек конфиденциальных данных из информационных систем ЕНПФ и усилить аутентификацию при работе с ними как вкладчиков, так и сотрудников. Еще одной мерой по усилению киберзащиты будет построение операционного центра по управлению информационной безопасности (SOC). Повторюсь, главная задача фонда — информационная безопасность и конфиденциальность данных наших вкладчиков!
— Благодарю за интервью!
Беседовала Салтанат БАКИРОВА.
