Алексей Колпаков, начальник управления развития процессов кибербезопасности ОТП Банка, выступил на сессии «Персональные данные» в рамках Ciso Forum 2026. Вместе с коллегами по отрасли он обсудил новые тренды в защите персональных данных, среди которых управление рисками и аудит в системах обработки ПДн, влияние ИИ и регуляторных изменений (ФЗ-152, GDPR, NIS2), а также оборотные штрафы за утечки.
Отвечая на вопрос о том, на какие направления защиты ПДн компании реально выделяют основной бюджет в 2026 году, Алексей Колпаков предложил рассматривать его как бюджет на строительство дома. По его словам, есть три главных «стрима»: фундамент, стены и крыша.
Фундамент — это discovery-процесс, то есть анализ того, что уже есть в компании. В любой крупной организации существует множество процессов, где используются персональные данные, и еще больше мест их хранения. Компании собирают данные о клиентах, их продуктах и предпочтениях, потому что без этого невозможно эффективно строить бизнес. Запретить сбор и хранение нельзя, поэтому нужно менять процессы в сторону безопасности. Для этого ОТП Банк использует DCAP-систему, которая сканирует файловые ресурсы, рабочие станции и системы вроде Atlassian. Так банк понимает, где и какие данные лежат, кто с ними работает, проводит ревизию и очищает инфраструктуру от чувствительных данных, сокращая риски.
Стены — это доступы, обезличивание, работа с подрядчиками. Алексей Колпаков отметил, что взлом периметра в 2026 году — резонансный, но редкий кейс. Куда более реальный сценарий — разработчик с доступом к продуктивной среде, аналитик, сохраняющий таблицы с ПДн в Excel, или подрядчик, риск взлома которого значительно выше.
Крыша — это DLP. По словам эксперта, без него никуда, но важно использовать его правильно. Во-первых, не применять DLP для псевдобезопасных задач вроде отслеживания того, кто плохо отозвался о руководителе. Во-вторых, по возможности переводить политики в режим блокировки, потому что мониторинг не остановит утечку — если данные ушли, они уже ушли. В третьих, не считать DLP панацеей, так как в любой компании есть процессы, которые он не закроет, и только комплексная работа дает реальный результат.
Алексей Колпаков также привел статистику, собранную в общении с коллегами: все три инструмента — DLP, DCAP и обезличивание — одновременно используют только 15% компаний, работающих с ПДн. Он отметил, что это прогресс, ведь еще пять лет назад таких компаний было в три раза меньше. В банках и финтехе этот процент выше, на уровне 75%, благодаря высокой зарегулированности отрасли и ответственности перед клиентами.
Отдельно спикер остановился на вопросе, что покупают сначала: процессы, архитектурные изменения или инструменты. По его убеждению, сначала всегда идут процессы, затем архитектурные изменения, потом инструменты, иначе деньги будут потрачены впустую, система просто не будет работать. В качестве примера он привел контакт-центр: «Правильный процесс — когда оператор работает в CRM, видит на экране только имя и отчество клиента и его продукты, нажимает кнопку звонка, и система сама соединяет его с клиентом. Провал — когда операторам выгружают в Excel списки с ФИО, телефонами и другими ПДн, и эти файлы начинают перемещаться по рабочим местам и пересылаться по почте. В таком случае процесс становится неконтролируемым, и никакие системы безопасности не помогут», — пояснил А. Колпаков.
Если процессы настроены, но у сотрудников остались избыточные права, многие будут действовать по-старому. Поэтому нужно разделение контуров на обычный, защищенный и RnD. Работа с чувствительными данными должна идти в защищенном контуре без возможности копирования. RnD, напротив, должен быть максимально удобным — с административными правами, доступом в интернет и инструментами, но без продовых данных. Когда бизнес-процессы требуют передачи данных между контурами, вступают в дело инструменты: почту проверяет DLP, обмен файлами через общие папки контролирует DCAP, для переноса баз данных работает система обезличивания.
Алексей Колпаков подчеркнул, что если начать в обратном порядке — сначала внедрить инструменты, не выстроив процессы, — компания получит сотни алертов и тысячи ложных срабатываний, с обработкой которых физически справиться будет просто невозможно.
В завершение выступления Алексей порекомендовал посмотреть в первую очередь на процессы в массовых функциях, потому что там чаще всего отмечаются самые высокие риски нарушения контура информационной безопасности.
