Найти в Дзене
Вестник финтеха
36 подписчиков

Как разделение полномочий спасает от 75% утечек данных

1 мин
Ситуация: В 2024 году 75% всех утечек информации в российских компаниях произошли из-за ошибок сотрудников. https://events.kommersant.ru/nov/events/2025-04-29_kiberbezopasnost-2025-aktualnye-riski-i-trendy/#:~:text=75%25%20от%20всех,40%20странах%20мира. Данные: Речь идет о крупных массивах данных, так как защитить отдельные страницы и строки от простого фотографирования на камеру мобильного телефона в коммерческой компании, практически невозможно. Тезис 1: Информация — ценный ресурс компании. Она имеет реальную стоимость, которая определяется потенциальными коммерческими рисками от её использования посторонними и возможными штрафами. Тезис 2: С точки зрения системы внутренних контролей, данные должны управляться так же, как и другие активы компании. В частности, важно строго разделять полномочия. Это означает, что ни один человек не должен иметь возможности самостоятельно передать данные третьим лицам. Неверно думать, что формальный запрет на передачу данных (например, пересылку по э

Ситуация: В 2024 году 75% всех утечек информации в российских компаниях произошли из-за ошибок сотрудников. https://events.kommersant.ru/nov/events/2025-04-29_kiberbezopasnost-2025-aktualnye-riski-i-trendy/#:~:text=75%25%20от%20всех,40%20странах%20мира.

Данные: Речь идет о крупных массивах данных, так как защитить отдельные страницы и строки от простого фотографирования на камеру мобильного телефона в коммерческой компании, практически невозможно.

Тезис 1: Информация — ценный ресурс компании. Она имеет реальную стоимость, которая определяется потенциальными коммерческими рисками от её использования посторонними и возможными штрафами.

Тезис 2: С точки зрения системы внутренних контролей, данные должны управляться так же, как и другие активы компании. В частности, важно строго разделять полномочия. Это означает, что ни один человек не должен иметь возможности самостоятельно передать данные третьим лицам.

Неверно думать, что формальный запрет на передачу данных (например, пересылку по электронной почте или скачивание на внешний носитель) сработает. Ведь стоимость некоторых сведений и ущерб от их утечки могут многократно превышать возможные штрафы. Мониторинг после инцидента нужен, но также не решает проблему полностью.

Реализация: С учетом современных технологий и опыта в создании систем внутреннего контроля, можно предположить, что эффективным будет сочетание как минимум двух инструментов:

Инструмент 1. Передавать любую информацию за пределы информационной системы компании разрешается исключительно при участии не менее двух сотрудников. Например:

Сотрудник 1 имеет доступ к данным (выгрузка данных, формирование отчетов), Сотрудник 2, независимый от сотрудника 1, имеет полномочия на пересылку файлов на внешние адреса и проверку содержимого на соответствие политикам конфиденциальности, но не имеет доступа к источникам.

Инструмент 2. Превентивный фильтр, основанный на искусственном интеллекте, проверяет данные на соответствие политике компании и наличие разрешений на их передачу.

Никакие проверки не дают стопроцентной гарантии от утечек, но в сочетании с эффективной контрольной средой они существенно снижают риск таких происшествий.

MAX, Telegram, Сайт