Если нет такого обоснования (с регулятором с его требованиями штрафами и возможностью приостановить деятельность - обоснование наглядно и прозрачно) - в чем смысл дополнительной защиты? Бизнес смотрит на это как на "хотелки" и "неумение считать деньги".
Смысл дополнительной защиты, принятие риска Инсайдеров и как мероприятие по снижению риска двухфактурная аутентификация, но получается не всем, а только в тех отделах, где кража информации критична и есть риски.