Газета
MAX
Бизнес
Экономика
Финансы
Инвестиции
Технологии
Медиа
Недвижимость
Политика
Общество
Менеджмент
Стиль жизни
Интервью
Мнения
Фотогалереи
ВЕДЫ
Правила торговли
Идеи управления
Город
Ведомости&
Аналитика
Капитал
Страна
Промышленность
Инновации и технологии
Техуспех
Здоровье
Спорт
Конференции
Справочник компаний
Справочник персон
Туризм
Право
Наука
Как потратить
Устойчивое развитие
Форум
Премия Импульс
Ведомости Северо-Запад
Ведомости Северо-Запад Стиль жизни
Ведомости Юг
CNY Бирж.10,989+0,45%BISVP10,2+0,2%USBN0,13-1,29%IMOEX2 698,53-1,24%RTSI1 138,09-1,09%RGBI119,31-0,13%RGBITR777,77-0,09%
28 апреля 2026 / Справочник компаний / ОТП Банк

Алексей Колпаков, ОТП Банк: Бюджет на защиту ПДн формируется в логике постройки дома

Алексей Колпаков, начальник управления развития процессов кибербезопасности ОТП Банка, выступил на сессии «Персональные данные» в рамках Ciso Forum 2026. Вместе с коллегами по отрасли он обсудил новые тренды в защите персональных данных, среди которых управление рисками и аудит в системах обработки ПДн, влияние ИИ и регуляторных изменений (ФЗ-152, GDPR, NIS2), а также оборотные штрафы за утечки.

Отвечая на вопрос о том, на какие направления защиты ПДн компании реально выделяют основной бюджет в 2026 году, Алексей Колпаков предложил рассматривать его как бюджет на строительство дома. По его словам, есть три главных «стрима»: фундамент, стены и крыша.

Фундамент — это discovery-процесс, то есть анализ того, что уже есть в компании. В любой крупной организации существует множество процессов, где используются персональные данные, и еще больше мест их хранения. Компании собирают данные о клиентах, их продуктах и предпочтениях, потому что без этого невозможно эффективно строить бизнес. Запретить сбор и хранение нельзя, поэтому нужно менять процессы в сторону безопасности. Для этого ОТП Банк использует DCAP-систему, которая сканирует файловые ресурсы, рабочие станции и системы вроде Atlassian. Так банк понимает, где и какие данные лежат, кто с ними работает, проводит ревизию и очищает инфраструктуру от чувствительных данных, сокращая риски.

Стены — это доступы, обезличивание, работа с подрядчиками. Алексей Колпаков отметил, что взлом периметра в 2026 году — резонансный, но редкий кейс. Куда более реальный сценарий — разработчик с доступом к продуктивной среде, аналитик, сохраняющий таблицы с ПДн в Excel, или подрядчик, риск взлома которого значительно выше.

Крыша — это DLP. По словам эксперта, без него никуда, но важно использовать его правильно. Во-первых, не применять DLP для псевдобезопасных задач вроде отслеживания того, кто плохо отозвался о руководителе. Во-вторых, по возможности переводить политики в режим блокировки, потому что мониторинг не остановит утечку — если данные ушли, они уже ушли. В третьих, не считать DLP панацеей, так как в любой компании есть процессы, которые он не закроет, и только комплексная работа дает реальный результат.

Алексей Колпаков также привел статистику, собранную в общении с коллегами: все три инструмента — DLP, DCAP и обезличивание — одновременно используют только 15% компаний, работающих с ПДн. Он отметил, что это прогресс, ведь еще пять лет назад таких компаний было в три раза меньше. В банках и финтехе этот процент выше, на уровне 75%, благодаря высокой зарегулированности отрасли и ответственности перед клиентами.

Отдельно спикер остановился на вопросе, что покупают сначала: процессы, архитектурные изменения или инструменты. По его убеждению, сначала всегда идут процессы, затем архитектурные изменения, потом инструменты, иначе деньги будут потрачены впустую, система просто не будет работать. В качестве примера он привел контакт-центр: «Правильный процесс — когда оператор работает в CRM, видит на экране только имя и отчество клиента и его продукты, нажимает кнопку звонка, и система сама соединяет его с клиентом. Провал — когда операторам выгружают в Excel списки с ФИО, телефонами и другими ПДн, и эти файлы начинают перемещаться по рабочим местам и пересылаться по почте. В таком случае процесс становится неконтролируемым, и никакие системы безопасности не помогут», – пояснил А. Колпаков.

Если процессы настроены, но у сотрудников остались избыточные права, многие будут действовать по-старому. Поэтому нужно разделение контуров на обычный, защищенный и RnD. Работа с чувствительными данными должна идти в защищенном контуре без возможности копирования. RnD, напротив, должен быть максимально удобным — с административными правами, доступом в интернет и инструментами, но без продовых данных. Когда бизнес-процессы требуют передачи данных между контурами, вступают в дело инструменты: почту проверяет DLP, обмен файлами через общие папки контролирует DCAP, для переноса баз данных работает система обезличивания.

Алексей Колпаков подчеркнул, что если начать в обратном порядке — сначала внедрить инструменты, не выстроив процессы, — компания получит сотни алертов и тысячи ложных срабатываний, с обработкой которых физически справиться будет просто невозможно.

В завершение выступления Алексей порекомендовал посмотреть в первую очередь на процессы в массовых функциях, потому что там чаще всего отмечаются самые высокие риски нарушения контура информационной безопасности.

Оригинал пресс-релиза

Другие пресс-релизы