Цена безопасности: почему одинаково защищать все данные — путь к разорению

В эпоху цифровизации данные стали ключевым активом бизнеса — особенно для крупных компаний и ритейлеров, ежедневно обрабатывающих терабайты информации. Однако затраты на информационную безопасность растут, а утечки продолжаются. Почему универсальный подход к защите данных не работает и как действительно эффективно выстраивать ИТ-архитектуру, рассказал Pravda.Ru Алексей Артёмов, архитектор данных и ИИ-решений, эксперт по цифровым платформам и информационной безопасности.

Фото: Фото из личного архива Алексея Артёмова

Алексей Артёмов, архитектор данных и ИИ-решений, эксперт по цифровым платформам и информационной безопасности

— Алексей, в чем основная ошибка большинства компаний при построении системы информационной безопасности?

— Одна из главных ошибок — это стремление защитить всё и сразу, без учёта специфики самих данных. Политики безопасности часто выстраиваются вокруг ИТ-систем: авторизация, ролевой доступ, логирование. Но не учитывается, какие именно данные обрабатываются, кто и как их использует, как они передаются между системами и подразделениями.

На практике это приводит к избыточному доступу: сотрудники получают информацию, которая им не нужна. А данные нередко передаются без контроля, что повышает риск утечек и ошибок — ведь при передаче информация может исказиться, а на ее основе принимаются бизнес-решения.

В таких случаях я выступаю за смену фокуса: от технологий — к управлению данными. Это включает классификацию информации, анализ ее жизненного цикла и минимизацию доступа. Такой подход позволяет учитывать реальные приоритеты бизнеса, экономить ресурсы и снижать уязвимости.

— Получается, безопасность — это в первую очередь бизнес-задача, а не просто ИТ-вопрос?

— Именно так. Информационная безопасность должна работать на цели бизнеса, а не мешать им. Например, в одном проекте служба ИБ хотела блокировать внешние письма с ключевыми словами вроде "цена" или "поставка". Это могло фактически остановить работу закупочного отдела. Мне пришлось объяснять, что такая мера нанесет серьезный ущерб продажам и приведет к убыткам. В результате мы нашли более разумное решение, сохранив и безопасность, и работоспособность.

— На что стоит ориентироваться при проектировании ИТ-систем в крупных компаниях?

— На реалистичность и целесообразность. Перед запуском системы нужно чётко ответить на несколько ключевых вопросов: сколько пользователей будет ей пользоваться? Какой объем данных требуется обрабатывать? Насколько критична скорость доступа? Какой уровень отказоустойчивости действительно необходим?

Например, если данные нужны раз в сутки, нет смысла платить за систему с доступом в миллисекунды. Или если системой пользуются только три отдела, незачем проектировать ее под 10 тысяч пользователей. Системный дизайн — это всегда поиск баланса между желаемым, необходимым и возможным.

— То есть вы выступаете за приоритизацию и дифференцированный подход?

— Однозначно. Попытка одинаково защищать все данные приводит либо к гигантским затратам, либо к полному провалу.

В одном проекте компания внедрила дорогую DLP-систему — контроль писем, ключевых слов, сетевого трафика. Звучит масштабно, но на деле — масса ложных срабатываний и серьезное замедление работы. В итоге я предложил собственную систему защиты — только для действительно критичных данных. Мы внедрили её за три месяца и масштабировали на тысячи сотрудников. А DLP осталась как второстепенный инструмент, в который вложили гораздо больше, но который дал куда меньше результата.

— Как определить, что защищать в первую очередь?

— Начать с инвентаризации данных: какие из них критически важны, где они хранятся, кто к ним имеет доступ, как они используются. После этого — оценить возможные потери при утечке. Только на основе этих данных стоит планировать бюджет и усилия по защите.

Многие компании переоценивают внешние угрозы и при этом игнорируют внутренние риски. Между тем самые чувствительные утечки часто происходят изнутри.

Один из примеров — международная FMCG-компания, где рассматривалась передача данных по чекам стороннему подрядчику. А ведь это ценнейшая информация: поведение клиентов, структура спроса, ценообразование. После встречи с представителями информационной безопасности, продаж и департамента рисков мы добились отмены передачи и пересмотра политики безопасности. Без системного подхода это было бы невозможно.

— И все-таки, что главное при построении системы безопасности?

— Главное — понимать, что безопасность — это не самоцель, а инструмент. Эффективная система строится на гибкости, приоритизации и здравом смысле. Важно точно определить, какие данные действительно критичны для бизнеса, сосредоточить усилия на их защите, выстроить такую архитектуру, которая не тормозит рабочие процессы, и регулярно пересматривать политику с учетом изменений в рисках и бизнес-задачах. Компании, которые следуют этому подходу, добиваются лучшей защиты при меньших затратах. Остальные либо переплачивают, либо лишь создают иллюзию безопасности.

— Что бы вы посоветовали бизнесу в первую очередь?

— Ставить бизнес-цели в центр внимания. Информационная безопасность должна помогать продавать, обслуживать клиентов, создавать продукт. Если она мешает — её нужно менять. Умная архитектура, основанная на здравом смысле и бизнес-логике, всегда эффективнее и дешевле универсальных решений "на всякий случай".