ТҰРАҚТЫ ДАМУ ТУРАЛЫ ЕСЕП 2024 Үй – арман емес, мақсат болған кезде
Есепті PDF-те жүктеу

Кибер қауіпсіздік

Ақпараттық активтердің қауіпсіздігін қамтамасыз ету және олардың құпиялылығын қорғау Банк қызметі шеңберінде маңызды міндеттер болып қала береді. Бұл міндеттердің өзектілігі Қазақстан Республикасы Үкіметінің «Ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптарды бекіту туралы» 2016 жылғы 20 желтоқсандағы № 832 қаулысын, Қазақстан Республикасы Ұлттық Банкі Басқармасының «Қазақстан Республикасы Банктерінің, резидент емес банк филиалдарының және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың ақпараттық қауіпсіздігін қамтамасыз етуге қойылатын талаптарды, ақпараттық жүйелердегі іркілістер туралы мәліметтерді қоса алғанда, ақпараттық қауіпсіздік инциденттері туралы ақпарат беру қағидалары мен мерзімдерді бекіту туралы» 2018 жылғы 27 наурыздағы № 48 қаулысын сақтау қажеттілігімен, сонымен қатар Қазақстан Республикасының басқа да нормативтік құқықтық актілерінің және Банктің Жалғыз акционерінің ішкі нормативтік құжаттарының талаптарына сәйкестігі туралы атап өтіледі.

Ақпараттық қауіпсіздікті күшейтудің негізгі тұжырымдамалық бағыттары:

  • ақпараттық қауіпсіздік жөніндегі ішкі нормативтік құжаттар базасын өзекті күйде ұстау;
  • ақпараттық қауіпсіздік саласындағы Банктің ақпараттық технологиялар инфрақұрылымын пайдаланушылардың хабардарлық деңгейін арттыру;
  • сыртқы реттеушінің сәйкестігін қамтамасыз ету;
  • бағыттарды қамтитын Банктің ақпараттық қауіпсіздігін қамтамасыз ету жөніндегі бағдарламалық-аппараттық шараларды техникалық қолдау және дамыту:
    1. ақпараттық қауіпсіздік оқиғаларының мониторингі;
    2. ақпараттық қауіпсіздік бойынша инциденттерді тіркеу және шешу, сондай-ақ олар бойынша білім базасын дамыту;
    3. қорғалуға жататын маңызды ақпараттың айналымын бақылау (Дербес деректер және банк құпиясы);
    4. Банктің қолданбалы ақпараттық жүйелеріндегі қолжетімділікті басқаруды бақылау;
    5. Банктің ақпараттық технологиялар инфрақұрылымындағы осалдықтарды басқару;
    6. деректер базасындағы ақпаратты қорғау;
    7. артықшылықты қолжетімділікті бақылау;
    8. интернетпен жұмыс істеу кезінде электрондық поштаны және пайдаланушыларды қорғау;
    9. Банктің web-қосымшалары мен мобильді қосымшаларын қорғау;
    10. Банктің ақпараттық технологиялар инфрақұрылымын эшелондалған антивирустық қорғау;
    11. Банктің маңызды хосттарындағы өзгерістерді бақылау және қосымшаларды бақылау.
  • банк активтерінің нақты қорғалуына үшінші тарап көзқарасын алу үшін ену, әлеуметтік инженерия сынақтарын жүргізу және Банктің маңызды қосымшаларының бастапқы кодын талдау.
  • аномалияларды анықтаудың автоматты құралдары арқылы ықтимал зиянды қауіптерді үздіксіз іздеуді жүзеге асыру, ықтимал оқиғаға анықталған күдікті әрекеттерді зерттеу;
  • CVE2 және CVE3 халықаралық стандарттарына сәйкес Банкте пайдаланылатын тиісті мамандандырылған жүйелермен осалдықтарды анықтау тұрғысынан Банктің цифрлық активтерін тұрақты талдауды жүзеге асыру;
  • ағымдағы қорғау құралдарымен қамтылмайтын ықтимал қауіптерді анықтау үшін проактивті іздеуді және деректерді талдауды жүзеге асыру;
  • ақпараттық қауіпсіздікке төнетін қатерлердің алдын алу/ оқшаулау жөніндегі іс-шараларды жүзеге асыру;
  • Банктің тиісті жауапты бөлімшелеріне қауіптерді оқшаулау және алдын алу бойынша міндеттерді қалыптастыру және тағайындау;
  • бастапқы әсер ету аймағын және ауырлық дәрежесін анықтау үшін жаңа қауіптер туралы ескертулерге талдау жүргізу.

Ақпараттық қауіпсіздікті қамтамасыз ету үшін деректердің бұзылуынан, кибершабуылдардан, вирустық белсенділіктен, Банк ресурстарына рұқсатсыз кіруден, көшірмелерден, рұқсатсыз өзгерістерден және басқалардан қорғау жүйелері пайдаланылады.

Есепті жылы деректердің ағып кету жағдайларының саны – 0. Ақпараттық қауіпсіздік саласындағы бұзушылықтарға байланысты төленген айыппұлдардың жалпы сомасы – 0.

Қауіпсіздікті қамтамасыз ету тәжірибесі

Банк мақсаттарына қол жеткізудегі Қауіпсіздік департаментінің рөлі – Банктің қауіпсіз жұмыс істеуін қамтамасыз ету, оның қауіпсіздігіне ішкі және сыртқы қатерлердің алдын алу, Банктің, оның акционерлерінің, басшылығы мен персоналының заңды мүдделерін құқыққа қарсы қол сұғушылықтардан қорғау, сондай-ақ қызметтердің сапасы мен клиенттердің қауіпсіздігін қамтамасыз ету есебінен пайданың имиджі мен өсуін арттыру жолымен жүзеге асырылады.

Департамент қызметкерлерінің 95 %-ы Қазақстан Республикасы құқық қорғау органдарының жедел және тергеу бөлімшелерінде, сондай-ақ қаржы ұйымдарында (екінші деңгейдегі Банктерде) айтарлықтай жұмыс тәжірибесіне ие, бұл бөлімшенің сапалы құрамының пайдасына екенін көрсетеді.

Департамент қызметкерлерінің көпшілігі экономикалық, физикалық және ақпараттық қауіпсіздікті қамтамасыз ету саласында жеткілікті кәсіби дайындықтан өтеді.

Бөлімше қызметкерлерінің арсеналында экономикалық (кәсіпорын және бизнес қауіпсіздігі), кадрлық және ақпараттық қауіпсіздік (IT-аудитор, АҚ басқару жүйесі, хакинг және т.б.), сатып алуды ұйымдастыру, өрт қауіпсіздігі, сондай-ақ күзетілетін объектілердің физикалық қауіпсіздігін қамтамасыз ету желісі бойынша оқыту процесінде алынған білім мен дағдылар бар, оның ішінде Төтенше жағдайлар жағдайларында (Банктер, тауарлық-материалдық құндылықтар қоймалары, мұрағаттар, тіршілікті қамтамасыз ету (жылумен жабдықтау) және көлік объектілері (авиа және т/ж объектілері), ерекше маңызы бар арнайы объектілер (жанар-жағармай материалдарының қоймалары, оқ-дәрілер және т.б.).

Күзетілетін объектілердің физикалық қауіпсіздігін қамтамасыз ету мәселелері бойынша Банк күзет қызметтерін жеткізушілерге – «Күзет Моторс» ЖШС да осындай талаптар қояды, оның қызметкерлері өз күзет кәсіпорнының базасында тиісті курстардан үнемі өтіп тұрады.

Банктің Қауіпсіздік департаменті алаяқтыққа қарсы іс-қимыл, ішкі және сыртқы алаяқтық тәуекелдерін ұлғайту не төмендету үрдістерін анықтау, сондай-ақ алаяқтық фактілерінің алдын алу бойынша шаралар әзірлеу бойынша елеулі жұмыс жүргізуде.

Алаяқтықтың анықталған жағдайлары туралы мәліметтерді табу көздері: жеке тұлғалардың, Банк клиенттерінің ауызша және жазбаша өтініштері, оның ішінде алаяқтық және сыбайлас жемқорлық мәселелері бойынша жедел желі арналарының көмегімен, сондай-ақ ішкі аудит, тәуекел-менеджмент бөлімшелерін және Банктің қауіпсіздік бөлімшелерін табу болып табылады.

2024 жылы барлығы 22 алаяқтық фактісі тіркелді, оның ішінде: ішкі алаяқтық тәуекелдері бар 6 факт және Банк клиенттері мен үшінші тұлғалар жасаған сыртқы алаяқтықтың 16 фактісі.

Жүргізілген талдау 2023 жылмен салыстырғанда алаяқтық жағдайларының, әсіресе сыртқы жағдайлардың айтарлықтай төмендегенін көрсетті.

Осылайша, 2024 жылы Банк интернет-алаяқтардың Банк клиенттерінің салымдарын ұрлауының 100 % алдын алуды жүзеге асыра алды. Қауіпсіздік департаменті фродтың фактілері мен цифрлық арналардағы алаяқтық туралы қызметтік тергеу жүргізген жоқ.

Бұған дейін, 2022 жылы Банктің құрылымына қазіргі уақытта Ақпараттық қауіпсіздік департаментінің құрамындағы жаңа Антифрод басқармасы енгізілді, оның негізгі міндеті Банктің цифрлық өнімдерін (интернет-банкинг, шоттарды қашықтықтан басқару және т.б.) пайдалану процесінде Банктің және оның клиенттерінің фрод-оқиғаларынан қорғау, көрсетілген жүйелердегі алаяқтықпен байланысты операциялық тәуекелдердің алдын алу болып табылады.

Антифродты дамыту тұжырымдамасының арқасында қазіргі уақытта Банкте сыртқы шабуылдардан қорғау үшін Интернет-банкингтегі операциялардың фрод-мониторингі (антифрод-жүйе) бойынша арнайы ақпараттық жүйе арқылы антифродты күшейту бойынша жұмыс жүргізілуде.

Қауіпсіздік департаменті Зейнетақы жинақтарын пайдалану жөніндегі мемлекеттік бағдарламаны іске асыру кезінде теріс пайдалануларды анықтау жөніндегі жұмысты жалғастыруда, өйткені Банк тұрғын үй жағдайларын жақсарту және/немесе тұрғын үй жағдайларын жақсарту, емдеу ақысын төлеу мақсатында «Бірыңғай жинақтаушы зейнетақы қоры» АҚ (бұдан әрі – БЖЗҚ) біржолғы зейнетақы төлемдері (бұдан әрі – БЗТ) үшін арнайы шоттар ашу және жүргізу жөніндегі уәкілетті оператор болып қала береді. Салымшылардың да, емдеу мекемелерінің де БЖЗҚ шығару, зейнетақы аударымдарын қолма-қол ақшаға айналдыру және мақсатсыз пайдалану жөніндегі заңсыз қызметіне байланысты фактілерді анықтау өзекті болып қала береді.

Бұдан басқа, 2024 жылдың күзінде Банктің қауіпсіздік бөлімшесі Отбасы Банкінде бастапқы жарнасыз ипотекалық қарыз алудың бірқатар заңсыз құқыққа қайшы схемаларын белгіледі.

Мәселен, 2024 жылдың қазан айында өңірлердің бірінің Қауіпсіздік секторы депозитті заңсыз беру кезінде клиенттердің туу туралы куәліктердің жалған көшірмелерін пайдалану, тұрғын үй қарызын одан әрі ресімдеу және нотариустың атқарушы жазбасының түсуіне байланысты Банк кепіліндегі клиенттердің депозиттерінен ақшалай қаражатты есептен шығару фактілері бойынша қызметтік тергеуді аяқтады. Барлығы осындай 6 заңсыз факт анықталды.

Жылжымайтын мүлік агенттігінің басшысы тұлғалар тобында және осы агенттік қызметкерлерінің, нотариустардың және жеке сот орындаушыларының (ЖСО) тікелей қатысуымен жеке баю мақсатында олар ақшалай сыйақы алатын құқыққа қайшы алаяқтық схеманы жолға қойғаны анықталды.

Сол сияқты, басқа өңірдің Қауіпсіздік секторы тұрғын үй төлемдерін алушылар болып табылатын 18 ұқсас клиентті, яғни Жылжымайтын мүлік агенттігіне ипотекалық қарыз алуға көмек сұраған әскери қызметшілерді анықтады.

Банктің мәліметінше, 2024 жылдың басынан бастап Банктің 207 клиентінде кепіл депозиттерінен ақша қаражаты есептен шығарылды. Осылайша, Банк нотариустың атқарушы жазбасы түскен кезде кепіл депозит қаражатын ЖСО мекенжайына мәжбүрлі аударған кезде, яғни Банк іс жүзінде бастапқы жарнасыз ипотека берген кезде, депозиттерді заңсыз сатып алу жолымен, осы агенттіктің қызметкерлері және басқа агенттіктер Отбасы Банкінде сомасы 50 %-ы бастапқы жарнасыз ипотекалық қарыз алудың құқыққа қайшы схемасын анықтады.

Осы фактілер бойынша кінәлі адамдарды жауапқа тарту мақсатында кейіннен Қазақстан Республикасының Құқық қорғау органдарына жүгінумен қызметтік тергеу жүргізілді.

Қауіпсіздік бөлімшесі Банктің қауіпсіз жұмыс істеуін қамтамасыз ету, оның қауіпсіздігіне ішкі және сыртқы қатерлердің алдын алу, Банктің және оның клиенттерінің заңды мүдделерін құқыққа қайшы қол сұғушылықтардан қорғау және Банктің персоналы мен мүлкінің қауіпсіздігін күшейту жөнінде барлық қажетті шараларды қабылдауды жалғастыруда.