Các dự luật về mức phạt có thể thương lượng đối với hành vi rò rỉ dữ liệu cá nhân (PD) của công dân, cũng như trách nhiệm hình sự đối với hành vi trộm cắp và tạo các trang web cũng như các kênh khác để phân phối chúng, đã chính thức được đệ trình lên Duma Quốc gia. Doanh nghiệp vẫn không muốn bày tỏ công khai quan điểm của mình đối với văn bản này.
Trong những năm gần đây, số vụ tấn công vào các công ty ở Nga ngày càng gia tăng nhanh chóng. Theo FACCT, tổng số cơ sở dữ liệu của các tổ chức Nga được công bố lần đầu tiên vào năm 2022 là 311. Năm 2021 chỉ có 61. Tổng số hàng dữ liệu người dùng có trong tất cả các vụ rò rỉ được công bố vào năm 2022 vượt quá 1,4 tỷ
Trong nửa đầu năm 2023, nhóm FACCT đã ghi nhận hơn một trăm vụ rò rỉ từ các công ty thương mại và tổ chức chính phủ Nga. Số lượng hàng dữ liệu người dùng bị rò rỉ chỉ trong một tháng mùa hè, so với giai đoạn trước đó vào năm 2022, đã tăng hơn 11 lần – lên 62,1 triệu.
Các vectơ tấn công không thay đổi: email, truy cập mạng mở: RDP, VPN. Rủi ro càng tăng cao do sự phổ biến của kết nối từ xa của người lao động với cơ sở hạ tầng của công ty. Có nhiều cơ hội để hiểu rõ hơn: những nhân viên vô đạo đức có quyền truy cập vào dữ liệu có thể chuyển dữ liệu đó cho những kẻ tấn công.
Một trong những lý do khiến số lượng rò rỉ gia tăng là do thiếu sự bảo vệ đầy đủ đối với tài sản kỹ thuật số của doanh nghiệp, cũng như sự gia tăng số lượng các cuộc tấn công kể từ mùa xuân năm 2022. Hơn một nửa số sự cố là do các lỗ hổng trong phạm vi của công ty mạng và có thể được ngăn chặn. Ví dụ, rò rỉ có thể xảy ra do cấu hình máy chủ của công ty không chính xác hoặc do lỗ hổng trong mã.
Do số lượng rò rỉ dữ liệu cá nhân tăng nhanh như chớp, việc thảo luận chi tiết về các dự luật thắt chặt trách nhiệm pháp lý kinh doanh đối với rò rỉ dữ liệu cá nhân của công dân và đưa ra trách nhiệm hình sự đối với tin tặc của các nhà khai thác dữ liệu cá nhân và các công ty bảo mật thông tin dường như vô cùng quan trọng.
Đổi mới
Một trong những dự luật tăng mức phạt không tuân thủ yêu cầu bảo vệ hệ thống thông tin dữ liệu cá nhân của công dân (ISPD) từ 2 lên 6 lần. Hệ thống này không chỉ bao gồm thông tin cá nhân của họ mà còn bao gồm các công cụ được sử dụng để đảm bảo tính bảo mật của dữ liệu này cũng như các phương tiện để xử lý dữ liệu đó.
Dự luật cũng dự tính đưa ra mức phạt đối với các doanh nghiệp không thông báo cho Roskomnadzor với số tiền lên tới 300 nghìn rúp, đối với các sự cố chưa được điều tra với ISPD – lên tới 3 triệu, đối với sơ suất hình sự có dấu hiệu của hành vi phạm tội – lên tới 5 triệu.
Ngoài ra, sáng kiến này quy định mức phạt đối với các doanh nghiệp đối với hành vi rò rỉ quy mô trung bình lên tới 10 triệu rúp, đối với hành vi rò rỉ lớn – lên tới 15 triệu, vi phạm nhiều lần – lên tới 3% doanh thu hàng năm đối với các pháp nhân và lên tới 4 triệu cho quan chức. Đối với hành vi rò rỉ dữ liệu cá nhân đặc biệt ở bất kỳ khối lượng nào, dự luật đưa ra mức phạt lên tới 15 triệu rúp, nếu tái phạm – lên tới 3% doanh thu hàng năm đối với pháp nhân và 5 triệu đối với quan chức.
Một dự luật khác quy định việc truy tố hình sự các tin tặc không chỉ vì tội truy cập mà còn vì tội truyền, thu thập, lưu trữ, tạo trang web và các kênh khác để phân phối dữ liệu cá nhân bị đánh cắp.
Sáng kiến này đặt ra mức phạt lên tới 300 nghìn rúp đối với tin tặc. hoặc hạn chế quyền tự do lên đến 4 năm khi hoạt động với dữ liệu cá nhân thông thường, khi hoạt động với dữ liệu cá nhân đặc biệt – mức phạt lên tới 700 nghìn rúp. hoặc hạn chế tự do lên đến 5 năm. Ngoài ra, sáng kiến này còn chỉ ra một số sắc thái mà những người vi phạm này có thể phải chịu hình phạt nặng nề hơn.
Các tình tiết tăng nặng bao gồm tư lợi, gây thiệt hại lớn, liên kết trong nhóm và chức vụ chính thức. Trong trường hợp này, người vi phạm có thể bị phạt tới 1 triệu rúp. hoặc hạn chế tự do lên đến 6 năm. Việc đình chỉ hoặc gián đoạn hoạt động của người vận hành dữ liệu cá nhân trong quá trình đánh cắp được coi là hậu quả nghiêm trọng.
Dự luật quy định một hình phạt riêng đối với việc chuyển dữ liệu cá nhân xuyên biên giới. Điều này có nghĩa là việc truyền thông tin cá nhân của công dân qua biên giới trên một số phương tiện. Hình phạt trong trường hợp này sẽ là phạt tiền lên tới 3 triệu rúp. hoặc hạn chế tự do lên đến 10 năm.
Dự luật cũng đưa ra các hình phạt đối với việc tạo một trang web hoặc trang trên Internet được thiết kế đặc biệt để lưu trữ, truyền tải (phân phối, cung cấp, truy cập) bất hợp pháp thông tin máy tính có chứa dữ liệu cá nhân. Vì điều này, người vi phạm sẽ phải đối mặt với mức phạt lên tới 700 nghìn rúp. hoặc mức án lên tới 5 năm.
Lý lịch
Bộ Phát triển Kỹ thuật số và Roskomnadzor bắt đầu xây dựng dự thảo luật vào đầu năm 2022. Đầu tháng 4 năm đó, người đứng đầu Bộ Phát triển Kỹ thuật số, Maksut Shadayev, đề xuất đưa ra “các mức phạt doanh thu lớn đối với các doanh nghiệp làm rò rỉ dữ liệu cá nhân”. .” Vào cuối tháng 5 năm 2022, Bộ báo cáo rằng dự luật đang trong giai đoạn xây dựng cuối cùng và sẽ được trình lên Duma Quốc gia vào đầu tháng 6.
Sự phát triển của dự luật được tăng tốc trong bối cảnh xảy ra những vụ rò rỉ thông tin lớn nhất trong các công ty Nga, nối tiếp nhau vào thời điểm đó. Sau đó, đặc biệt, dữ liệu từ SDEK, Yandex.Food, Delivery Club và Gemotest đã được công khai.
Bất chấp quy mô của sự cố, các công ty này không bị trừng phạt nghiêm khắc vì cho đến nay các doanh nghiệp chỉ phải chịu mức phạt rất nhỏ vì rò rỉ dữ liệu cá nhân. Bộ luật Vi phạm Hành chính quy định mức phạt đối với các pháp nhân với số tiền từ 60 nghìn đến 100 nghìn rúp, đối với các hành vi vi phạm nhiều lần – lên tới 300 nghìn.
Vào cuối tháng 8 năm 2022, Bộ Phát triển Kỹ thuật số thông báo rằng dự luật sẽ được trình bày vào giữa tháng 9 năm đó. Bộ sau đó báo cáo rằng các đại diện của họ đang tìm kiếm sự thỏa hiệp với doanh nghiệp và ngành công nghiệp. Vào tháng 1 năm 2023, Tổng thống Nga Vladimir Putin đã chỉ thị cho chính phủ, đến tháng 7 năm nay, xem xét vấn đề đưa ra mức phạt doanh thu đối với các công ty làm rò rỉ dữ liệu cá nhân của người Nga và đưa ra đề xuất thực hiện các thay đổi luật phù hợp. Đồng thời, Giám đốc điều hành của Smart Engines, Vladimir Arlazarov, tuyên bố rằng có sự phản đối nghiêm trọng đối với dự luật.
Vào tháng 3 năm 2023, Bộ Phát triển Kỹ thuật số đã đệ trình cả hai dự luật lên ủy ban Duma Quốc gia liên quan để xem xét. Vào tháng 7, dự luật phạt doanh thu đã được gửi lên Chính phủ để xem xét và vào cuối tháng 9, Nội các đã thông qua. Đồng thời, Bộ Phát triển Kỹ thuật số đề xuất bổ sung dự luật các điều khoản quy định bồi thường tài chính cho nạn nhân, được coi là tình tiết giảm nhẹ khi xác định mức phạt tiền. Sáng kiến này cũng được Chính phủ ủng hộ; Bộ giải thích cơ chế bồi thường tài chính trên trang web của mình. Cũng trong mùa hè, một dự luật về phạt doanh thu đã được gửi đến các bộ phận quan tâm.
Vào tháng 9, Sber đã tiếp cận chính phủ với đề xuất thay đổi cách tiếp cận hình phạt đối với hành vi rò rỉ dữ liệu cá nhân. Vào tháng 10, các hiệp hội doanh nghiệp lớn nhất ở Nga – Liên minh các nhà công nghiệp và doanh nhân Nga (RSPP), “Business Russia”, “Opora Rossii” và Phòng Thương mại và Công nghiệp (CCI) – đã gửi thư về dự luật tới Duma Quốc gia Chủ tịch Vyacheslav Volodin. Trong đó, họ chỉ ra các đề xuất hoàn thiện hiệp định, trì hoãn hiệp định có hiệu lực đến năm 2026 và đưa ra các biện pháp hỗ trợ khuyến khích doanh nghiệp đầu tư vào thiết bị bảo hộ. Đáp lại, người đứng đầu Duma Quốc gia đã phát động một cuộc khảo sát trên kênh Telegram về việc tăng mức phạt đối với các công ty vì liên tục rò rỉ dữ liệu cá nhân của công dân.
Vào đầu tháng 12, cả hai dự luật đều chính thức được đệ trình lên Duma Quốc gia.
Xung đột
Nhà báo Anti-Malware.ru đã tìm đến các doanh nghiệp, công ty trong lĩnh vực an toàn thông tin để tìm hiểu xem họ có chia sẻ đề xuất của các hiệp hội doanh nghiệp hay không và liệu họ có coi cơ chế bồi thường tài chính do rò rỉ do Bộ Phát triển Kỹ thuật số tạo ra là tối ưu hay không.
Ngoài Ozon, không có tổ chức nào khai thác dữ liệu cá nhân của công dân đáp ứng yêu cầu của nhà báo Anti-Malware.ru. Chúng bao gồm: Sberbank, VTB, Alfa-Bank, Tinkoff, Gazprombank, Raiffeisenbank, X5 Group, Wildberries, MTS, Megafon, Tele2, Beeline, VK, Yandex và Rambler. Ozon tự giới hạn ở một nhận xét chung. Dịch vụ báo chí của công ty lưu ý rằng “dự luật là một biện pháp quan trọng khuyến khích các doanh nghiệp tăng cường an ninh mạng”.
“Đồng thời, cách diễn đạt hành vi phạm tội được đề xuất trong phiên bản mới tạo ra rủi ro nghiêm trọng cho ngành CNTT và gánh nặng tiềm tàng đối với doanh nghiệp từ tiền phạt doanh thu cần phải được điều chỉnh có tính đến tình hình kinh tế hiện tại. Việc thông qua dự luật trong phiên bản hiện tại có thể gây ra những hậu quả tiêu cực đối với thị trường CNTT Nga và làm mất đi tác động tích cực của các biện pháp đã được thực hiện để hỗ trợ thị trường này. Chúng tôi hy vọng rằng tài liệu này sẽ được điều chỉnh trong cuộc đối thoại với doanh nghiệp và sẽ không gây thêm rủi ro cho ngành”, dịch vụ báo chí Ozon cho biết.
Chúng ta hãy nhớ lại rằng, khi phát biểu về dự luật, người đứng đầu Ủy ban Duma Quốc gia về Chính sách Thông tin, Công nghệ Thông tin và Truyền thông, Alexander Khinshtein, đã lưu ý sự cần thiết phải thiết lập “trách nhiệm nghiêm túc”.
“Nếu không có sự giới thiệu của nó, chúng tôi sẽ không lập lại được trật tự. Nhưng các công ty không quan tâm đến việc tăng cường bảo mật thông tin hiện đang cố gắng giảm cường độ đam mê một cách có mục đích, cố gắng chứng tỏ rằng rò rỉ không phải là vấn đề nghiêm trọng”, Alexander Khinshtein nói.
Ông cũng thu hút sự chú ý đến thực tế là các biện pháp trừng phạt ngày nay đối với doanh nghiệp là vô cùng thuận lợi đối với ông và đảm bảo rằng với chúng, các công ty sẽ “tiếp tục thờ ơ nhìn vào những lỗ hổng trong hệ thống bảo mật thông tin của họ”.
