Как построить «дом» для данных: стратегия киберзащиты ОТП Банка

Представьте защиту персональных данных как строительство дома: сначала фундамент из глубокого аудита, затем стены контроля доступов и лишь в финале — крыша в виде DLP. На Ciso Forum 2026 Алексей Колпаков из ОТП Банка объяснил, почему покупка дорогого софта без настройки бизнес-процессов превращает бюджет в строительный мусор.

Основная проблема крупных корпораций — отсутствие понимания, где именно хранятся чувствительные сведения. В ОТП Банке этот «фундамент» закладывают через внедрение DCAP-систем. Инструментарий в автоматическом режиме сканирует файловые хранилища, рабочие станции и внутренние системы совместной работы вроде Atlassian, чтобы выявить забытые базы или «теневые» таблицы. Только после полной ревизии и очистки инфраструктуры можно переходить к возведению «стен» — управлению доступами и обезличиванию. В 2026 году классический взлом периметра извне стал резонансной редкостью, уступив место внутренним инцидентам. Главный риск сегодня исходит не от хакеров, а от аналитика, сохраняющего выгрузку в Excel, или подрядчика с избыточным доступом к продуктивной среде.

Завершает конструкцию «крыша» в виде DLP-системы. Эксперт настаивает на радикальной смене подхода к ее эксплуатации: софт должен работать в режиме блокировки, а не простого мониторинга. Если данные уже ушли в сеть, отчет об инциденте не поможет. При этом важно отказаться от использования DLP для слежки за лояльностью сотрудников — система должна фокусироваться исключительно на защите активов. Сегодня только 15% компаний на рынке используют одновременно триаду DLP, DCAP и систем обезличивания. В банковском секторе, благодаря надзору регуляторов, этот показатель достигает 75%, что в три раза выше средних рыночных значений пятилетней давности.

От CRM до защищенных контуров

Попытка закупить инструменты безопасности раньше, чем прописаны бизнес-процессы, гарантирует финансовые потери. Без предварительной настройки архитектуры служба безопасности получит тысячи ложных срабатываний, обработать которые физически невозможно. Колпаков приводит в пример работу контакт-центра: безопасный процесс подразумевает, что оператор видит в CRM только имя клиента и нажимает кнопку вызова внутри программы. Если же сотрудникам выгружают списки с телефонами в Excel, никакая система защиты не предотвратит копирование данных.

Решением становится жесткое разделение рабочих сред на обычную, защищенную и RnD. Работа с чувствительной информацией переносится в защищенный контур, где технически заблокирована функция копирования. Зона RnD, напротив, остается максимально свободной для разработчиков — с правами администратора и доступом в интернет, но без доступа к реальным клиентским базам. При необходимости обмена файлами между сегментами контроль берут на себя автоматизированные фильтры: почту проверяет DLP, а базы данных проходят через обязательное обезличивание. Особое внимание к массовым операционным функциям позволяет закрыть большую часть рисков нарушения безопасности.