Отчет об устойчивом развитии 2024 Когда дом – не мечта, а цель
Скачать отчет в PDF

Кибербезопасность

Обеспечение безопасности информационных активов и защита их конфиденциальности остаются важными задачами в рамках деятельности Банка. Актуальность этих задач подчеркивается необходимостью соблюдения Постановления Правительства Республики Казахстан от 20 декабря 2016 года № 832 «Об утверждении единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности», Постановления Правления Национального Банка Республики Казахстан от 27 марта 2018 года № 48 «Об утверждении Требований к обеспечению информационной безопасности банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций, Правил и сроков предоставления информации об инцидентах информационной безопасности, включая сведения о нарушениях, сбоях в информационных системах», а также соответствия требованиям других нормативных правовых актов Республики Казахстан и внутренних нормативных документов Единственного акционера Банка.

Основными концептуальными направлениями усиления информационной безопасности являются:

  • поддержание в актуальном состоянии базы внутренних нормативных документов по информационной безопасности;
  • повышение уровня осведомленности пользователей инфраструктуры информационных технологий Банка в области информационной безопасности;
  • обеспечение соответствия комплаенсу внешнего Регулятора;
  • техническая поддержка и развитие программно-аппаратных мер по обеспечению информационной безопасности Банка включающих направления:
    1. мониторинг событий информационной безопасности;
    2. регистрация и решение инцидентов по информационной безопасности, а также развитие базы знаний по ним;
    3. контроль циркуляции критичной информации, подлежащей защите (персональные данные и банковская тайна);
    4. контроль управления доступами в прикладных информационных системах Банка;
    5. управление уязвимостями в инфраструктуре информационных технологий Банка;
    6. защита информации в базах данных;
    7. контроль за привилегированным доступом;
    8. защита электронной почты и пользователей при работе с Internet;
    9. защита web-приложений и мобильных приложений Банка;
    10. эшелонированная антивирусная защита инфраструктуры информационных технологий Банка;
    11. контроль изменений на критичных хостах Банка и контроль приложений.
  • проведение тестов на проникновение, социальной инженерии и анализ исходного кода критичных приложений Банка для получения стороннего взгляда на фактическую защищенность активов Банка.
  • осуществление непрерывного поиска потенциальных зловредных угроз через автоматические средства обнаружения аномалий, изучение выявленных подозрительных действий на возможный инцидент;
  • осуществление постоянного анализа цифровых активов Банка на предмет выявления уязвимостей согласно международным стандартам CVE2 и CVE3 соответствующими специализированными системами, эксплуатируемыми в Банке;
  • осуществление проактивного поиска и анализ данных для выявления возможных угроз, которые не будут покрыты текущими средствами защиты;
  • осуществление мероприятий по предотвращению/ локализации угроз информационной безопасности;
  • формирование и назначение задач по локализации и предотвращению угроз соответствующим ответственным подразделениям Банка;
  • проведение анализа оповещений по новым угрозам для определения первоначальной области влияния и степени серьезности.

Для обеспечения информационной безопасности используются системы защиты от утечек данных, кибер атак, вирусной активности, несанкционированного входа на ресурсы Банка, копирований, несанкционированных изменений и другие.

Количество случаев утечки данных в отчетном году – 0. Общая сумма штрафов, выплаченных в связи с нарушениями в области информационной безопасности – 0.

Практика обеспечения безопасности

Роль Департамента безопасности в достижении целей Банка осуществляется путем обеспечения безопасного функционирования Банка, предотвращения внутренних и внешних угроз его безопасности, защиты законных интересов Банка, его акционеров, руководства и персонала от противоправных посягательств, а также повышения имиджа и роста прибылей за счет обеспечения качества услуг и безопасности клиентов.

95 % работников Департамента имеют существенный опыт работы в оперативных и следственных подразделениях правоохранительных органов Республики Казахстан, а также финансовых организациях (банках второго уровня), что говорит в пользу качественного состава подразделения.

Большинство работников Департамента имеют достаточную профессиональную подготовку в области обеспечения экономической, физической и информационной безопасности.

В арсенале работников подразделения имеются знания и навыки, полученные в процессе обучения по линии экономической (безопасность предприятия и бизнеса), кадровой и информационной безопасности (IT-аудитор, система управления ИБ, хакинг и др.), организации закупок, пожарной безопасности, а также обеспечения физической безопасности охраняемых объектов, в том числе, в условиях чрезвычайных ситуаций (банки, склады товарно-материальных ценностей, архивы, объекты жизнеобеспечения (тепловодоснабжения) и транспорта (авиа- и ж/д объекты), спецобъекты особой важности (склады горюче-смазочных материалов, боеприпасов и т. д.).

Аналогичные требования по вопросам обеспечения физической безопасности охраняемых объектов Банк предъявляет и к поставщикам охранных услуг – ТОО «Кузет Моторс», работники которого регулярно проходят соответствующие курсы на базе своего охранного предприятия.

Департаментом безопасности Банка проводится существенная работа по противодействию мошенничеству, выявлению тенденций к увеличению либо снижению рисков внутреннего и внешнего мошенничества, а также выработки мер по предотвращению фактов мошенничества.

Источниками обнаружения сведений о выявленных случаях мошенничества являются: устные и письменные обращения физических лиц, клиентов Банка, в том числе, с помощью каналов Горячей линии по вопросам мошенничества и коррупции, а также обнаружения подразделений внутреннего аудита, риск-менеджмента и подразделения безопасности Банка.

Всего за 2024 год зарегистрировано 22 факта мошенничества, из них: 6 фактов, имеющих риски внутреннего мошенничества, и 16 фактов внешнего мошенничества, совершенного клиентами Банка и третьими лицами.

Проведенный анализ показал существенное снижение уровня случаев мошенничества, особенно внешнего, по сравнению с 2023 годом.

Так, в 2024 году Банку удалось осуществить 100 % предотвращение хищений интернет-мошенниками вкладов клиентов Банка. Департаментом безопасности служебных расследований по фактам фрода и мошенничества в цифровых каналах не проводилось.

Ранее, в 2022 году, в структуру Банка введено новое Управление Антифрод, в настоящее время находящееся в составе Департамента информационной безопасности, основной задачей которого является защита от фрод-событий Банка и его клиентов в процессе использования цифровых продуктов Банка (интернет-банкинг, дистанционное управление счетами и т. д.), предотвращение операционных рисков, связанных с мошенничеством в указанных системах.

Благодаря Концепции развития антифрода в настоящее время в Банке проводится работа по усилению антифрода посредством специальной информационной системы по фрод-мониторингу операций в интернет-банкинге (антифрод-система) для защиты от внешних атак.

Департамент безопасности продолжает работу по выявлению злоупотреблений при реализации государственной программы по использованию пенсионных накоплений, поскольку Банк по-прежнему является уполномоченным оператором по открытию и ведению специальных счетов для единовременных пенсионных выплат (далее – ЕПВ) из АО «Единый накопительный пенсионный фонд» (далее – ЕНПФ) в целях улучшения жилищных условий и/или оплаты лечения. Остается актуальным выявление фактов, связанных с незаконной деятельностью как самих вкладчиков, так и лечебных учреждений, по выводу из ЕНПФ, обналичиванию и нецелевому использованию пенсионных отчислений.

Кроме того, осенью 2024 года подразделением безопасности Банка установлен ряд незаконных противоправных схем получения ипотечных займов в Отбасы Банке без первоначального взноса.

Так, в октябре 2024 года Сектором безопасности одного из регионов завершено служебное расследование по фактам использования клиентами поддельных копий свидетельств о рождении при неправомерной уступке депозита, дальнейшего оформления жилищного займа и списания денежных средств с депозитов клиентов, находящихся в залоге Банка, в связи с поступлением Исполнительной надписи нотариуса. Всего выявлено 6 таких противоправных фактов.

Установлено, что руководителем Агентства недвижимости в группе лиц и при непосредственном участии работников данного агентства, нотариусов и частных судебных исполнителей (ЧСИ) с целью личного обогащения налажена противоправная мошенническая схема, с помощью которой они получали денежные вознаграждения.

Аналогично Сектором безопасности другого региона выявлено 18 подобных клиентов, являющихся получателями жилищных выплат, т.е. военнослужащими, которые обращались за помощью в получении ипотечного займа в Агентство по недвижимости.

По данным Банка, с начала 2024 года произведено списание денежных средств с залоговых депозитов у 207 клиентов Банка. Тем самым, выявлена налаженная работниками данного Агентства и другими агентствами противоправная схема получения ипотечного займа в Отбасы Банке без первоначального взноса в сумме 50 %, путем неправомерного выкупа депозитов, когда при поступлении Исполнительной надписи нотариуса Банк вынужденно переводит денежные средства с залогового депозита в адрес ЧСИ, т.е. фактически Банк выдает ипотеку без первоначального взноса.

По данным фактам проведены служебные расследования с последующим обращением в правоохранительные органы Республики Казахстан с целью привлечения к ответственности виновных лиц.

Подразделение безопасности продолжает предпринимать все необходимые меры по обеспечению безопасного функционирования Банка, предотвращению внутренних и внешних угроз его безопасности, защиты законных интересов Банка и его клиентов от противоправных посягательств и усилению безопасности персонала и имущества Банка.