Почему классическая модель защиты данных больше не работает

Еще несколько лет назад защита персональных данных в банке выглядела относительно просто. Применялись регламенты, инструкции для сотрудников, работали ИТ-системы. Основная задача сводилась к тому, чтобы формально выполнить требования закона и закрыть риски утечек на уровне инфраструктуры.

Эта модель больше не работает, говорит Рубина Лозовая, вице-президент банка ЦентрКредит по управлению данными. За последний год банк прошел через трансформацию, в которой защита персональных данных перестала быть формальной функцией и стала частью операционной системы. Почему классический подход больше не справляется с цифровой реальностью и как пришлось перестраивать процессы, чтобы не потерять доверие, — об этом в нашем интервью.

— Еще несколько лет назад защита персональных данных в банках выглядела довольно формально. В какой момент вы поняли, что эта модель больше не работает?

— Причина не только в том, что выросло количество киберугроз. Изменилась сама природа данных и то, как они используются, а также их ценность. Сегодня данные — это не статический архив и не приложение к продукту. Это массив информации, который постоянно находится в движении: между системами, каналами, алгоритмами, партнерами и клиентами. Особенно в условиях активного внедрения ИИ, который в разных экосистемах применяется разработчиками с разной степенью регулирования, вплоть до отсутствия таковой.

— Что именно изменилось в природе данных за последние годы — и почему это стало проблемой?

— Персональные данные стали стратегическим ресурсом. Мы видим значительные изменения: в динамике скорости сбора, обработки, по глубине сбора и сферам применения. Соответственно, с ростом объемов и обработки информации, растут и риски нарушения безопасности персональных данных. Проблема в том, что классическая модель строилась вокруг идеи контроля доступа и бумажного согласия. Но она не отвечает на вопросы:

• где именно данные используются сейчас;
• в каких алгоритмах они участвуют;
• когда они должны быть уничтожены;
• кто владелец процесса в каждый момент времени;

В результате комплаенс выполняется, но жизненно необходимо фактическое управление жизненным циклом данных.

Когда комплаенс перестает быть защитой

— При такой динамике перемен достаточно ли адекватно реагирует государство на эти вызовы?

— Да, и нужно признать, что регуляторное давление в этой сфере будет только усиливаться. В Казахстане уже

• действует закон «О персональных данных и их защите»,
• принят закон «Об Искусственном Интеллекте»,
• обновлены требования к банкам,
• обсуждаются нормы по кибербезопасности и цифровому коду.

На этом фоне государство прямо обозначает курс на цифровую повестку — 2026 год объявлен годом цифровизации и ИИ.

Это своего рода сигнал и признание от законодателя: данные граждан требуют защиты на уровне национальной безопасности.

Но даже самое жесткое регулирование не решает проблему автоматически. Закон фиксирует правила, но не управляет реальностью. Если защита данных остается отдельной функцией — на уровне ИТ или юридического блока, — она неизбежно отстает от бизнеса.

— В какой момент стало понятно, что точечные меры больше не работают и защита данных превращается в источник риска?

— Мы это увидели на практике. Количество продуктов растет, клиентские пути усложняются, ИИ начинает помогать участвовать в принятии решений. Защита данных либо становится системной, либо превращается в постоянный источник риска. Поэтому

мы пришли к унификации и централизации: Банк ЦентрКредит действует с 1988г., мы насчитали 14 разных форм согласия исторически сложившиеся внутри компаний Холдинга и бизнесов, которые свели в один универсальный документ, который применяется в 64 бизнес-процессах и продуктах по Группе компаний.

— Унификация в такой ситуации выглядит довольно логичной и при том формальным шагом…

— Не совсем так. Ей предшествовало осознание того, что нужно перестраивать саму логику работы с данными.

Любой новый сервис или бизнес-процесс теперь проходит проверку не после запуска, а на этапе идеи, в цифровой песочнице. Для этого мы выделили отдельную функцию: работает Дирекция защиты персональных данных, а роль Data Privacy Officer (DPO) закреплена как независимый контур контроля. Вопреки ожиданиям, это даже ускорило развитие и внедрение, потому что снизило количество переделок и конфликтов в будущем.

— Почему для этого понадобилась отдельная функция и независимая роль DPO? Что это изменило на практике?

— Изменения произошли существенные: внедрена полноценная Система управления и защиты персональных данных, определяющая четкие роли и ответственных, с конкретными административными, правовыми и техническими мерами, включая:

• регулярное обучение персонала – все сотрудники проходят постоянные тренинги и тестирования по работе с конфиденциальной информацией и противодействию мошенничеству.
• Прозрачность и права Клиента – утверждена единая Privacy Policy (Политика конфиденциальности, размещённая на всех официальных ресурсах bcc), соответствующая международным лучшим практикам;
• Система риск-менеджмента, направленная на предотвращение утечек персональных данных и незаконной обработки;
• Обратная связь с клиентами: обращения и жалобы клиентов по вопросам приватности находятся под особым контролем;
• Управление жизненным циклом данных – в Colvir сбор, обработка, передача, хранение, уничтожение осуществляются в соответствии с требованиями Закона;
• Контроль партнёров, поставщиков – обеспечение конфиденциальности данных при передаче третьим лицам;
• Автоматизация актуализации персональных данных на основании Согласия в мобильном приложении;
• Надзор обработки – любая обработка персональных данных осуществляется в рамках установленных целей, под строгим контролем;

ИИ как точка невозврата

— Почему именно ИИ сделал невозможным возвращение к старой модели защиты данных?

— Не секрет, что ИИ используется в том числе и мошенниками для разного рода атак, и потому он резко обнажил слабые места классической модели защиты данных.

ИИ работает с большими массивами данных, выявляет закономерности и обучается на исторических данных. Его невозможно «ограничить папкой доступа». Если данные некорректно обезличены или неправильно сегментированы, риск масштабируется многократно. Именно поэтому мы пришли к необходимости единого подхода к конфиденциальности при использовании ИИ:

• Анонимизация и минимизация данных перед обучением;
• Шифрование на уровне хранения и передачи;
• Многоуровневое разграничение прав доступа;
• Обязательный аудит при использовании данных;

Защита данных как основа доверия

— Если свести все сказанное к одному тезису: что сегодня для банка важнее всего в защите персональных данных?..

— То, что в конечном счете защита персональных данных — это не только про технологии и не про штрафы. Это еще и про доверие.

Клиент доверяет банку не только деньги, но и информацию о своей жизни. Это доверие невозможно удержать декларациями или памятками о кибергигиене. Оно удерживается только тогда, когда система выстроена так, что ошибка становится исключением, а не нормой.

— Можно ли сказать, что классическая модель защиты данных себя исчерпала — реальность стала другой?

— Да, соглашусь. Классическая модель защиты данных закончилась не потому, что она была плохой. Она просто перестала соответствовать масштабу и сложности цифрового мира. И если банк хочет оставаться устойчивым — особенно в эпоху ИИ, — ему приходится перестраиваться. Не из-за требований закона, а из-за логики самой реальности.