TRANG TỔNG HỢP, PHÂN TÍCH TIN TỨC VỀ KH-CN

CyberSecurityPhân tíchRenewable energy

Dự luật phạt doanh thu và một đòn không thể khắc phục đối với các công ty. Phần 3

Các dự luật về mức phạt có thể thương lượng đối với hành vi rò rỉ dữ liệu cá nhân (PD) của công dân, cũng như trách nhiệm hình sự đối với hành vi trộm cắp và tạo các trang web cũng như các kênh khác để phân phối chúng, đã chính thức được đệ trình lên Duma Quốc gia. Tuy nhiên, hầu hết những người tham gia vào thị trường bảo mật thông tin đều tin rằng không nên trì hoãn việc các dự luật có hiệu lực và cũng không nên đưa ra trách nhiệm hình sự ngoài tiền phạt.

  1. Nguy cơ tăng mức phạt
  2. Trách nhiệm hình sự
  3. Trì hoãn hiệu lực
  4. Tổ hợp

Đây là phần thứ ba của tài liệu phân tích. Hai cái đầu tiên có thể được tìm thấy bằng cách theo các liên kết – “Dự luật phạt doanh thu và một đòn không thể khắc phục đối với các công ty. Phần 1” và “Dự luật phạt doanh thu và một đòn không thể khắc phục đối với các công ty. Phần 2”.

Việc tăng mức phạt chắc chắn là một hình phạt nặng nề đối với doanh nghiệp. Tuy nhiên, rõ ràng, chúng sẽ có ảnh hưởng tốt đến các công ty, bởi vì các chủ doanh nghiệp, chủ yếu là các doanh nghiệp vừa và nhỏ, thường bắt đầu thảo luận về việc bảo vệ dữ liệu cá nhân bằng câu hỏi “điều gì sẽ xảy ra nếu tôi không tuân thủ các yêu cầu của điều 152”. -FZ” và “trách nhiệm pháp lý nào sẽ xảy ra đối với các hành vi vi phạm ” Sau đó, đánh giá khả năng thanh tra của cơ quan quản lý, xây dựng bức tranh về hậu quả và hiểu rõ mức độ phạt, họ đưa ra quyết định phù hợp thông qua lăng kính của những rủi ro đó và khả năng xảy ra sự xuất hiện của chúng.

Nguy cơ tăng mức phạt

Igor Ashmanov, một chuyên gia bảo mật thông tin nổi tiếng, bày tỏ lo ngại rằng các doanh nghiệp có thể đơn giản phân loại tiền phạt doanh thu là một rủi ro trong kế hoạch của họ. Tuy nhiên, các công ty bảo mật thông tin lại có quan điểm khác nhau về vấn đề này. Chẳng hạn, Alexey Parfentyev tự tin trong tình huống hoàn toàn ngược lại.

Alexey Parfentyev giải thích: “Giờ đây, việc đặt mức phạt tiềm ẩn đối với rủi ro rò rỉ sẽ dễ dàng hơn là đầu tư vào biện pháp bảo vệ – nó sẽ rẻ hơn”.

Anastasia Uspenskaya cũng tin rằng, do quy mô của các khoản tiền phạt, giờ đây việc các công ty thương mại tuân thủ các yêu cầu pháp lý sẽ có lợi hơn là phân loại tiền phạt là rủi ro. Tatyana Nikonorova lưu ý rằng hiện nay số tiền phạt tương xứng với chi phí của hệ thống bảo vệ dữ liệu cá nhân.

“Có khả năng tiền phạt sẽ được xếp vào loại rủi ro, nhưng điều này sẽ chỉ hợp lý đối với các công ty lớn. Họ chắc chắn sẽ bao gồm tiền phạt trong số các rủi ro. Tuy nhiên, đồng thời, việc nhận ra rủi ro này là động lực bổ sung để công ty tăng cường bảo vệ dữ liệu cá nhân và đóng cửa nó,” Tatyana Nikonorova cho biết.

Alexander Baryshnikov coi các khoản tiền phạt hữu hình, tùy thuộc vào doanh thu của công ty, là “biện pháp thích hợp nhất”. Theo ông, tính khả thi của chúng ngày nay đã được chứng minh bởi Quy định chung của EU về bảo vệ dữ liệu cá nhân.

“Chúng tôi đã xem xét GDPR trong nhiều năm. Thực tiễn châu Âu cho thấy đây là phương pháp hiệu quả nhất cho đến nay. Việc không tuân thủ GDPR có thể bị phạt từ 10 đến 20 triệu euro, tùy thuộc vào điều khoản của GDPR. Alexander Baryshnikov cho biết: Nếu doanh thu của công ty hơn nửa tỷ euro, thì mức phạt tối đa được tính bằng tỷ lệ phần trăm của doanh thu toàn cầu của năm trước: từ 2% đến 4%”.

Dmitry Lebedev đồng ý với anh ta. Theo ông, thực tiễn toàn cầu cho thấy rằng tiền phạt giúp những người trước đây quyết định trả một số tiền nhỏ có thể đạt được sự tuân thủ các yêu cầu pháp lý thay vì “làm việc vất vả” để xây dựng hệ thống an ninh.

Irina Pantina, giám đốc bộ phận quan hệ khu vực công, Positive Technologies, không loại trừ khả năng coi tiền phạt là rủi ro.

“Thường thì các công ty chỉ nghĩ đơn thuần về mặt chi phí. Kịch bản này hay kịch bản kia có giá bao nhiêu? Nếu tiền phạt và các chi phí quản lý khác tương đối thấp thì chúng chỉ được đưa vào kịch bản thích hợp. Trong trường hợp này, kịch bản nhằm phát triển các cơ chế bảo mật thông tin được ưu tiên thấp hơn và được tài trợ kém hơn”, Irina Pantina giải thích.

Dmitry Ovchinnikov lưu ý rằng việc phân loại tiền phạt là rủi ro “không phải là có thể xảy ra mà là điều hiển nhiên”.

“Ngay từ khi có luật bảo vệ dữ liệu cá nhân, một trong những giải pháp của các công ty là nộp phạt. Nếu mức phạt thấp hơn nhiều lần so với hệ thống bảo vệ dữ liệu cá nhân, thì vì lý do tài chính thuần túy, việc nộp phạt sẽ dễ dàng hơn là tạo ra một hệ thống bảo vệ. Không có gì cá nhân – hoàn toàn là kinh doanh. Rò rỉ rất hiếm và hệ thống phải được thanh toán hàng năm. Ngoài ra, bạn có thể chứng minh rằng đã có rò rỉ và người dùng bị thiệt hại không? Phương pháp tính toán ở đâu? — Dmitry Ovchinnikov giải thích.

Ruslan Dobrynin tin rằng các công ty sẽ quy rủi ro cho việc bị phạt “trong mọi trường hợp, vì không có giải pháp chuyên biệt nào mang lại sự đảm bảo hoàn toàn”. Theo ông, phần lớn trong tình huống này còn phụ thuộc vào trình độ của nhân sự thực hiện các biện pháp bảo vệ chống rò rỉ trong tổ chức.

Ngược lại, Alexander Baryshnikov nói rằng việc tăng tiền phạt sẽ được coi là một rủi ro, “có thể xảy ra đối với các công ty có doanh thu thấp”. Theo ông, đối với họ, việc mua trang thiết bị đắt tiền thực tế sẽ còn đắt hơn việc nộp phạt.

“Một số công ty sẽ đi theo hướng này. Việc thuê các chuyên gia bảo mật thông tin, mua và bảo trì thiết bị bảo mật cho họ sẽ không thực tế. Alexander Buravtsov lưu ý rằng những công ty như vậy thường không quan tâm đến rủi ro danh tiếng.

Một rủi ro khác, theo các hiệp hội doanh nghiệp, là việc một số công ty phải đóng cửa do mức phạt quá cao. Alexander Parfentyev nhận thấy giải pháp cho vấn đề này là ngăn chặn việc thu thập dữ liệu cá nhân của các tổ chức không thể đảm bảo tính bảo mật cho quá trình xử lý của họ.

Alexey Parfentyev lưu ý: “Các công ty không thể cung cấp an toàn phòng cháy chữa cháy, xây dựng an toàn, dịch vụ y tế, vận chuyển hoặc tuân thủ các tiêu chuẩn môi trường không nên tham gia vào các lĩnh vực hoạt động này vì điều này gây hại cho người dân”.

Đồng thời, ông lưu ý rằng, trên thực tế, hiện nay một số công ty thu thuế thu nhập cá nhân mặc dù quy trình kinh doanh của họ không yêu cầu phải nộp thuế.

Alexey Parfentyev cho biết: “Thẻ khách hàng, chương trình khách hàng thân thiết, ứng dụng cửa hàng di động, tài khoản cá nhân của khách hàng – tất cả những điều này có thể được thực hiện mà không cần dữ liệu cá nhân, sử dụng các thông tin nhận dạng duy nhất khác, nhưng các doanh nghiệp giờ đây đơn giản là không muốn làm điều này”.

Dmitry Ovchinnikov tin rằng tiền phạt do rò rỉ sẽ vượt quá chi phí tạo ra một hệ thống bảo mật thông tin, nhưng không giết chết doanh nghiệp.

“Nếu các công ty nhận được một khoản tiền phạt lớn mà họ không thể trả, hoặc hoàn toàn là giả thuyết, ban lãnh đạo công ty kết luận rằng tình huống đó có thể xảy ra, thì tổ chức có thể đóng cửa hoặc làm phức tạp công việc liên quan đến dữ liệu cá nhân bằng cách chuyển nó ra giấy. Mức phạt cắt cổ sẽ khuyến khích các công ty đăng ký làm người nhỏ giọt. Những người chơi lớn sẽ che giấu rò rỉ bằng cách sử dụng đòn bẩy hành chính. Dmitry Ovchinnikov giải thích: Những người chơi nhỏ sẽ biến mất trên bản đồ kinh doanh của Nga.

Đồng thời, ông lưu ý rằng đối với những người chơi lớn, những người mà người dùng chủ yếu bị rò rỉ, việc trả khoản tiền phạt đầu tiên “giống như viên cho voi”.

“Lần phạt thứ hai không còn dễ chịu nữa nhưng một lần nữa, hãy trả 500 triệu rúp mỗi năm một lần. Dmitry Ovchinnikov lưu ý, chỉ cần google doanh thu và lợi nhuận của các ngân hàng lớn là đủ để hiểu rằng mức phạt như vậy sẽ không đáng chú ý.

Theo Ruslan Dobrynin, các tổ chức xử lý dữ liệu cá nhân trên quy mô lớn khó có thể ngừng hoạt động do bị phạt doanh thu.

“Tôi nhắc lại, cần đưa ra quy định chặt chẽ đối với hoạt động của những người khai thác dữ liệu cá nhân. Luật chơi phải do người điều hành quyết định. Cộng đồng chuyên gia – các chuyên gia bảo mật thông tin, nhà cung cấp các loại giải pháp chuyên biệt – có thể trợ giúp trong quá trình sáng tạo của họ. Ngoài ra, theo quan điểm của chúng tôi, nhà khai thác dữ liệu cá nhân không thực hiện mọi biện pháp để bảo vệ dữ liệu đó sẽ không có quyền tồn tại trong lĩnh vực pháp lý”, Ruslan Dobrynin nói.

Alexander Buravtsov tin rằng việc phạt doanh thu có thể dẫn đến việc công ty bị đình chỉ một phần hoạt động, thậm chí có thể phá sản.

“Nếu mức phạt được đưa ra, điều này chắc chắn có thể dẫn đến việc đình trệ hoạt động kinh tế của một số công ty. Sẽ chẳng ích gì khi trừng phạt các công ty nếu họ không thực hiện các biện pháp đảm bảo an ninh thông tin vào lúc này, bởi vì không có khái niệm chính xác về thuật toán hành động của tổ chức khi có vấn đề phát sinh khi hack dữ liệu cá nhân. Cơ quan có thẩm quyền phải đánh giá các biện pháp mà công ty thực hiện. Hiện tại, các khuyến nghị để đảm bảo an ninh thông tin gần như phải được phát triển “từ đầu”, Elena Kozyakina, trưởng bộ phận nhân sự của công ty CNTT Auriga, lưu ý.

Vasilisa Skidan thu hút sự chú ý đến thực tế là một số công ty có thể ngừng phát triển do tiền phạt tăng lên. Theo ý kiến ​​​​của cô, họ sẽ sợ vượt quá ngưỡng khối lượng dữ liệu đã thiết lập.

“Theo quy định, rò rỉ là không thể kiểm soát được về lượng thông tin. Điều xảy ra là kẻ tấn công đã giành được quyền truy cập vào toàn bộ cơ sở dữ liệu của một tổ chức và bất kể có bao nhiêu thông tin trong đó, đều có được quyền truy cập trái phép vào cơ sở dữ liệu đó. Các cuộc thảo luận về “khả năng mở rộng” của rò rỉ có thể được xem xét, nhưng trong bối cảnh phân chia cơ sở hạ tầng nội bộ của các công ty, nếu không, các tổ chức sẽ có ít động lực phát triển hơn. Ví dụ: họ sẽ không thu hút nhiều khách hàng hơn chỉ vì mục đích “không vượt quá” khối lượng dữ liệu đã xử lý đã được thiết lập,” Vasilisa Skidan giải thích.

Theo bà, điều này có thể bị ảnh hưởng bởi việc cơ quan quản lý đưa ra các yêu cầu bổ sung. Đặc biệt, họ phải cung cấp tính năng phân đoạn mạng bắt buộc. Theo Vasilisa Skidan, trong khuôn khổ những yêu cầu như vậy, người ta có thể “nghĩ về các chỉ số định lượng”.

Mikhail Sergeev, kỹ sư hàng đầu tại CorpSoft24, tin rằng tiền phạt luân chuyển có thể sẽ dẫn đến việc các công ty loại bỏ các chuyên gia bảo mật khỏi đội ngũ nhân viên của họ (rút nhân sự). Nếu họ bị phạt, họ sẽ đơn giản phá sản công ty chuyên về bảo mật, vì họ sẽ là người chịu trách nhiệm về vụ rò rỉ dữ liệu.

Trách nhiệm hình sự

Vào tháng 10 năm nay, các hiệp hội doanh nghiệp lớn nhất ở Nga – Liên minh các nhà công nghiệp và doanh nhân Nga (RSPP), “Business Russia”, “Opora Rossii” và Phòng Thương mại và Công nghiệp (CCI) đã gửi thư tới Chủ tịch Duma Quốc gia Vyacheslav Volodin với những đề xuất cải tiến nó.

Đặc biệt, các doanh nhân đã lên tiếng về ý tưởng bổ sung hình thức xử phạt bằng biện pháp trách nhiệm hình sự đối với những công ty đã đạt đến giới hạn trên của xử phạt hành chính. Một số người trả lời cuộc khảo sát do người đứng đầu Duma Quốc gia thực hiện sau khi nhận được lá thư đề xuất đưa ra trách nhiệm hình sự với việc tịch thu tài sản cùng với tiền phạt.

Ngược lại, Igor Ashmanov nói với giới truyền thông rằng trong khuôn khổ các vụ án hành chính, không thể tiến hành các hoạt động tìm kiếm hoạt động, thu giữ thư công ty, tin nhắn tức thời và nhật ký truy cập. Theo ông, vì điều này nên không thể xác định được nguồn rò rỉ thực sự. Tuy nhiên, Dmitry Ovchinnikov không đồng ý với ông.

“Có thể theo dõi vụ rò rỉ, nhưng không có đủ chuyên gia ở Bộ Nội vụ, tòa án và các công ty để điều tra tất cả các vụ rò rỉ. Rất thường không thể tìm ra một thủ phạm cụ thể. Công ty có lỗi. Cả nhóm chứ không phải một cá nhân nào cả. Hệ thống quản lý của công ty, hệ thống làm việc của quản trị viên và nhân viên bảo vệ đều đáng trách. Và không phải là một giám đốc hay quản trị viên hệ thống cụ thể,” Dmitry Ovchinnikov giải thích.

Các chuyên gia của FACCT lưu ý rằng có thể xác định được nguồn rò rỉ thực sự ngay cả khi đó là một phần của cuộc kiểm toán nội bộ.

“Nếu các công ty có hệ thống được cài đặt để bảo vệ khỏi các mối đe dọa mạng phức tạp, bảo vệ email công ty, DLP, thì họ thường xuyên nhận được dữ liệu từ các nhà cung cấp Thông tin về mối đe dọa và có các trung tâm SOC hoặc CDC hoạt động trong đó, thì các cuộc kiểm tra đã được tiến hành và nhân viên đã được đào tạo về vệ sinh kỹ thuật số, FACCT cho biết các rò rỉ không chỉ có thể được điều tra thành công mà còn có thể ngăn chặn được 99%”.

Dmitry Ovchinnikov rất hoài nghi về ý tưởng đưa ra những hình phạt nghiêm khắc nhất đối với các công ty vì rò rỉ thông tin.

“Bạn thậm chí có thể bắn quản trị viên quản lý và bảo mật thông tin của công ty. Sau khi một phán quyết như vậy có hiệu lực, các công ty sẽ ngừng xử lý PD và chuyển mọi thứ trở lại giấy tờ. Tờ giấy sẽ được đặt trong một chiếc két sắt ở tầng hầm và sẽ có lính gác canh gác. Điều này khó có thể đưa chúng ta tiến bộ. Vì vậy, việc phạt tiền ngày nay có lẽ là cách hợp lý và đơn giản nhất để thúc đẩy các công ty bảo vệ dữ liệu người dùng”, Dmitry Ovchinnikov nói.

Alexander Baryshnikov hoàn toàn phản đối việc đưa ra trách nhiệm hình sự cho các công ty.

“Ở đây cần phải hiểu rốt cuộc nó nên được mở rộng cho ai. Thu hút ai? Chúng tôi không muốn những người vô tội phải chịu đau khổ hay cố tình đổ trách nhiệm cho người khác. Hãy tập trung vào xử phạt hành chính. Về việc thu giữ thư và nhật ký của công ty. Thực tiễn hiện tại là trong trường hợp rò rỉ, Roskomnadzor sẽ yêu cầu thông tin từ nhà điều hành dữ liệu cá nhân về cách nó bị rò rỉ. Alexander Baryshnikov cho biết những người điều hành hợp tác và tự mình kể mọi chuyện.

Vasilisa Skidan cũng không ủng hộ việc đưa ra trách nhiệm hình sự và lưu ý rằng nếu nó được xác lập thì một cá nhân cụ thể sẽ phải chịu. Theo bà, bất kỳ hạ tầng bảo mật thông tin nào cũng bao gồm nhiều bộ phận tham gia. Ngoài ra, cô tin tưởng rằng hình phạt này sẽ gây khó khăn trong việc tuyển dụng nhân sự, bởi yêu cầu về lương và điều kiện đối với ứng viên cho các vị trí trong bộ phận an ninh thông tin sẽ tăng lên đáng kể.

Tatyana Nikonorova cho biết: “Xu hướng thiết lập trách nhiệm cá nhân, được xem xét cho các giai đoạn tiếp theo, nhằm cải thiện tình trạng rò rỉ, vẫn được coi là quá quyết liệt trong điều kiện mất an toàn chung về dữ liệu cá nhân hiện nay”.

Tuy nhiên, Dmitry Lebedev tin rằng trách nhiệm hình sự có thể đóng vai trò như một động lực bổ sung để các công ty tuân thủ các yêu cầu của dự luật. Đồng thời, vẫn chưa rõ chính xác ai sẽ đánh giá mức độ tội lỗi của các cá nhân và toàn thể công ty. Các chuyên gia của FACCT cho rằng nên đưa ra trách nhiệm hình sự như là biện pháp cuối cùng nếu tiền phạt không thuyết phục được công ty đầu tư vào bảo mật thông tin hoặc từ chối xử lý dữ liệu cá nhân.

Trì hoãn hiệu lực

Ngoài việc điều chỉnh nội dung dự luật, các hiệp hội doanh nghiệp đề xuất hoãn hiệu lực đến tháng 1 năm 2026 để các công ty có cơ hội chuẩn bị cho những yêu cầu mới, tăng mức độ bảo mật thông tin và thực hiện mọi biện pháp cần thiết để bảo vệ khỏi dữ liệu cá nhân. rò rỉ.

Tuy nhiên, Irina Pantina tin rằng việc trì hoãn này sẽ không dẫn đến điều gì khác ngoài việc trì hoãn việc thực thi dự luật. Theo ý kiến ​​​​của cô ấy, nên xác định các danh mục công ty, chẳng hạn như chia nhỏ chúng theo ngành và giới thiệu những đổi mới cho các danh mục khác nhau trong khoảng thời gian sáu tháng.

Cũng cần lưu ý rằng, theo các hiệp hội doanh nghiệp, trong những năm tới, do đổi mới, các công ty an toàn thông tin sẽ không thể đáp ứng được nhu cầu ngày càng tăng, đặc biệt là do thiếu nhân sự trong lĩnh vực an toàn thông tin. Alexey Parfentyev lưu ý rằng thực sự sẽ có những khó khăn trong việc cung cấp dịch vụ bảo mật thông tin và một trong những nguyên nhân dẫn đến điều này là do thiếu chuyên gia.

“Nếu nói về các giải pháp, sản phẩm an ninh thông tin an ninh trong nước thì có đủ. Ngay cả một khu vực hẹp như việc sản xuất hệ thống ngăn chặn rò rỉ (DLP) chỉ riêng ở Nga cũng được thể hiện bằng hàng chục giải pháp khác nhau, hơn nữa, các giải pháp hoàn thiện và không đồng nhất, dành cho các ngân sách và nhiệm vụ khác nhau,” Alexey Parfentyev lưu ý.

Theo Dmitry Lebedev, hiện tại không có vấn đề gì với nhu cầu cung cấp thiết bị an ninh thông tin ngày càng tăng.

Dmitry Lebedev kết luận: “Trên thực tế, điều đáng chú ý là hầu hết các công ty đều đang triển khai các dự án bảo mật thông tin từ các nhà cung cấp Nga hoặc sẵn sàng bắt đầu triển khai chúng, vì vậy phần lớn các tổ chức sẽ hoàn thành đúng thời hạn yêu cầu”.

Pavel Novozhilov thu hút sự chú ý đến thực tế là Luật 152 đã tồn tại từ lâu và FSTEC cũng như FSB cũng đã phát triển các biện pháp thích hợp. Ngược lại, các tổ chức phải xác định các mối đe dọa hiện tại của họ, vì vậy các yêu cầu bảo mật không phải là điều gì mới mẻ đối với họ.

Pavel Novozhilov cho biết: “Như thực tế của chúng tôi cho thấy, nhiều tổ chức đã giải quyết những vấn đề này trong một thời gian dài và không ngừng hiện đại hóa và cải thiện hệ thống bảo mật của họ”.

“Hầu hết các công ty đã triển khai dự án bảo vệ dữ liệu cá nhân của mình trong năm 2012-2017 và mức độ trưởng thành của họ rất cao. Alexey Poletaev cho biết chắc chắn sẽ cần phải làm việc để cập nhật những thay đổi, nhưng điều này sẽ không tạo ra bước nhảy vọt cơ bản về nhu cầu.

Theo ý kiến ​​​​của Tatyana Nikonorova, việc dự luật có hiệu lực có thể bị trì hoãn để tạo cơ hội cuối cùng cho các công ty củng cố hệ thống bảo vệ dữ liệu cá nhân. Nhưng theo cô, khoảng thời gian 2 năm là quá dài, vì 6-12 tháng là đủ cho một doanh nghiệp. Alexey Poletaev cho biết thêm rằng dự luật cần phải được hoàn thiện một cách cẩn thận và toàn diện, thử nghiệm trong một nhóm thí điểm rồi mới ban hành.

Tổ hợp

Rõ ràng là việc tăng mạnh mức phạt sẽ chỉ mang lại hiệu quả mong muốn nếu doanh nghiệp nhanh chóng bắt đầu tăng cường bảo vệ.

Theo Alexey Parfentyev, như một phần của quy trình này, các doanh nghiệp nói riêng phải tiến hành kiểm toán “cho phép họ tái hiện tình hình”. Hơn nữa, theo ông, điều này đã được ngụ ý bởi những sửa đổi mới nhất của Luật Liên bang 152. Dựa trên kết quả kiểm toán, các nhà khai thác phải cung cấp báo cáo về rò rỉ trong vòng 24 giờ và kết quả điều tra về nguyên nhân, quy mô và tiềm năng của nó. tác hại – trong vòng ba.

Các chuyên gia của FACCT cũng chỉ ra sự cần thiết phải kiểm toán. Ngoài ra, để bảo vệ dữ liệu tối đa, theo quan điểm của họ, doanh nghiệp nên triển khai các giải pháp phân tích nhanh rủi ro bảo mật thông tin theo thời gian thực. Ví dụ: họ xác định liệu dữ liệu của công ty có được đăng trên các tài nguyên ngầm hay không, liệu có cổng mở, lỗ hổng và các vấn đề khác hay không.

“Đương nhiên, điều này không thể thực hiện được nếu không có các phương tiện kỹ thuật tại chỗ ghi lại tất cả quyền truy cập vào dữ liệu, chuyển động của nó trong và ngoài công ty của nhà điều hành. Nghĩa là, luật đã có các yêu cầu về kiểm toán (Khoản 8, Điều 19, Luật Liên bang 152), nhưng trong phần lớn các trường hợp, chúng chỉ đơn giản bị bỏ qua vì hình phạt quá nhẹ,” Alexey Parfentyev lưu ý.

Ruslan Dobrynin tin rằng các khoản phạt doanh thu lớn cần được bổ sung bằng quy định cẩn thận hơn về hoạt động của những người khai thác dữ liệu cá nhân.

Ruslan Dobrynin giải thích: “Ví dụ, cần phải giới thiệu GOST và bắt buộc các nhà khai thác PD triển khai các phương tiện đặc biệt để bảo vệ chống rò rỉ tuân thủ GOST này”.

Theo Irina Pantina, mức phạt tăng thêm cần được bổ sung bằng việc giám sát thường xuyên việc tuân thủ các yêu cầu về bảo mật thông tin, vì nó cũng khuyến khích các doanh nghiệp tuân thủ.