Санкции: разоблачая мифы
Есть случаи, в которых Европа и США расходятся, что способно привести к ситуации, когда ИТ/ИБ-продукт из США поставить можно, а на границе с Европой он встанет намертво
Руководя небольшим интегратором, занимающимся преимущественно информационной безопасностью, я в последнее время постоянно сталкиваюсь с различными слухами, домыслами и просто ложью относительно санкций и запретов на поставки ИБ/ИТ-продукции российским заказчикам. То McAfee отозвала действующие лицензии, то Cisco не поставляет какую-то свою железку, то Check Point отказывает в продлении контракта... Слухов много, а правды мало.
И почти никто не говорит правды о действительном положении вещей. Иностранным компаниям это запрещено, а российские ИТ-предприятия еще и спекулируют на данной теме, понимая, что настал их час и упускать такую возможность утереть нос американцам и европейцам нельзя.
В своем бизнесе я не всегда могу заместить иностранный межсетевой экран или систему предотвращения вторжения российскими аналогами. Их либо нет, либо качество их работы оставляет желать лучшего, либо это и вовсе западное решение с «перебитым» «Сделано в России». С западными (и восточными) продуктами ситуация иная — они полностью удовлетворяют и меня, и моих заказчиков. Однако наши клиенты постоянно интересуются: «А нам их поставят?», «А поддержку не отзовут?»... Учитывая, что для меня это вопрос существования моего бизнеса, я был вынужден погрузиться в юридические тонкости и разобраться в том, что можно, а что нельзя ввозить в Россию из ИТ/ИБ-продуктов.
Начнем с понятия «санкции». Оно достаточно размыто, и под него попадает все, что только можно. Начиная от изменения процедуры поставки оборудования, требующей указания вида деятельности, которой занимается конечный потребитель, до полного запрета взаимодействовать с той или иной компанией. Обыватель обычно трактует термин «санкции» именно в самом худшем сценарии, что не совсем правильно, поскольку под самые жесткие запреты попало не так уж много организаций. Большинство заказчиков если и столкнулись с санкциями, то виртуальными. Кто-то что-то где-то услышал. У кого-то задержали на три-четыре недели поставку. Кому-то пришел запрос на английском языке с упоминанием термина sanctions. И пошло-поехало. Началась шумиха, публикации в СМИ, перепечатки в социальных сетях, упоминания на деловых мероприятиях и т. п. Но не так страшен черт, как его малюют. Начнем, пожалуй.
Кто и какие санкции ввел?
Когда обыватель говорит о санкциях, обычно он гребет всех под одну гребенку — и европейцев, и американцев, и другие государства. Это неверно. Первыми ввели ограничения на торговую деятельность с Россией США. По-крупному любому американскому гражданину или компании запрещено вести бизнес с Россией по четырем направлениям.
Любые взаимоотношения со специально определенными компаниями или физическими лицами. Указанные лица определены в так называемом списке SDN (Specially Identified Nationals), размещенном на официальном сайте американского казначейства. http://www.treasury.gov/resource-center/sanctions/SDN-List/Pages/default.aspx Это самый первый и самый жесткий санкционный список, с которого все и началось. С лицами, попавшими в SDN, запрещены любые взаимоотношения, включая поставки ИТ-продукции и решений по информационной безопасности. Попадание в SDN означает, что «жертвам» нельзя поставлять никаких новых решений и сервисов, а также запрещено оказывать сервис по уже заключенным контрактам. Последний пункт самый неприятный. Под сервисом понимается не только техническая поддержка, но и замена вышедшего из строя оборудования, скачивание ПО с сайта и т. п. К счастью, персон, указанных в списке SDN, не так много — всего около трех-четырех десятков, преимущественно физических лиц. Однако рядовой гражданин России, в том числе и большинство специалистов в области ИТ/ИБ, обычно считает, будто именно данный список единственный, а потому Роснефть, Сбербанк, Газпромнефть и другие крупные российские налогоплательщики попали именно в него. Это не так! Хочу заметить, что мое общение с представителями некоторых американских производителей средств ИБ показывает: даже их сотрудники далеко не всегда понимают, что такое санкции и на кого они распространяются.
Оказание финансовых услуг специально определенным компаниям или физическим лицам. Некоторое количество окологосударственных российских банков и компаний ТЭК столкнулись с тем, что им отказывают в выдаче «длинных» кредитов (свыше 30 дней; ранее было 90 дней). Это связано именно со вторым типом санкций. Согласно требованиям США запрещено проводить ряд финансовых операций для лиц, которые находятся в так называемом списке SSI (Sectorial Sanctions Identification). К области ИТ и ИБ такой вид санкций практически не имеет отношения, исключая ситуации, когда крупные ИТ-компании предлагали своим заказчикам различные кредитные или лизинговые схемы поставок. Теперь этот вид деятельности в отношении компаний, находящихся в списках SSI и SDN, запрещен. Правда, надо сказать, в области ИБ подобные услуги были почти не развиты. Список SSI размещен также на сайте Федерального Казначейства США по адресу: http://www.treasury.gov/ofac/downloads/ssi/ssi.pdf
Поставка технологий двойного назначения в спецслужбы, правоохранительные органы, МЧС и организации военно-промышленного комплекса или, как их называют в США, Military End-Users. Технологии двойного назначения классифицированы в США как 5A002/5D002 Restricted (есть еще и Unrestricted, означающий технологии двойного назначения, но разрешенные к экспорту без ограничений) и в них включено немало продуктов, в том числе и в области ИТ и ИБ. К сожалению, конечного и открытого списка организаций, относящихся к ВПК/ОПК, в США нет. Помимо вполне очевидных имен, таких как «Алмаз-Антей», «Ижмаш» и т. п., существует немалое количество организаций, которые, относясь в России к ОПК/ВПК, не считаются таковыми в США, и наоборот. Лично я всегда узнаю о том, относится ли та или иная компания к категории military, обращаясь непосредственно к производителю. У них такая информация обычно есть, или они могут быстро проверить статус заказчика по своим каналам. Что касается статуса restricted/unrestricted, его можно уточнить на сайте производителя. Если же вам не удастся найти на сайте такой инструмент (это не всегда просто на сайтах крупных компаний), обращайтесь в локальное представительство.
Поставки оборудования, связанного с глубоководной, арктической или шельфовой добычей нефти. Как правило, ИТ и ИБ в данную категорию не входят. Исключения могут составлять ПО для геологоразведки или средства защиты индустриальных решений. Под данный вид санкций в первую очередь попадают Газпром, Газпромнефть, Лукойл, Роснефть, Сургутнефтегаз, а также ряд иных компаний, упомянутых в списке SSI.
Однако мало знать, какие санкции ввела против России страна, являющаяся местом нахождения штаб-квартир большинства ведущих ИТ-компаний мира, — Apple, Cisco, Intel, Juniper, McAfee, Microsoft, Oracle, Palo Alto и другие. Дело в том, что продукты этих производителей поставляются к нам не напрямую, а через промежуточные страны, которые тоже могли ввести свои санкции против России. В частности, для большинства американских компаний такой промежуточной площадкой является Евросоюз, в частности Голландия. Поэтому важно знать не только об американских санкциях, но и об ограничениях, введенных странами ЕС. Кстати, Евросоюз тоже поставляет в Россию свою ИТ/ИБ-продукцию, пусть и не в таких масштабах, как США. Например, немецкие SAP или Siemens.
Евросоюз ввел следующие санкции, которые более или менее являются калькой с американских:
- Любые взаимоотношения с компаниями или физическими лицами, находящимися в списке Designated Parties Евросоюза (DP). Данный список схож с тем, что содержится в американском SDN, хотя и имеет определенные отличия. Он выложен на сайте: http://eeas.europa.eu/cfsp/sanctions/consol-list/index_en.htm
- Поставки технологий двойного назначения в military-компании или действующие в их интересах. Надо отметить, что хотя термины Military End-User в США и Евросоюзе очень схожи, между ними все-таки существует разница. В частности, в европейский список не попадает МСЧ. Список таких компаний определен Евросоюзом и приведен на сайте: http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=OJ:L:2014:271:FULL&from=EN . Понятие «в интересах» подразумевает применение продукции двойного назначения для разработки, тестирования, производства или поддержки военной техники, а также встроенной в нее. А вот списки технологий двойного назначения у Евросоюза и США совпадают.
- Ограничение предоставления финансовых продуктов и услуг лицам или от имени лиц, находящихся в списке DP Евросоюза.
Помимо Евросоюза и США санкции были введены Японией, Канадой, Австралией, Новой Зеландией, Украиной, Исландией, Норвегией, Швейцарией, Лихтенштейном, Албанией, Монтенегро, Молдовой и Грузией. Правда, все эти страны практически не являются ни разработчиками, ни поставщиками массовой ИТ/ИБ-продукцию в Россию.
Кстати, следует обратить внимание на два момента. Российские представительства американских и европейских ИТ/ИБ-компаний, как правило, являются их дочерними предприятиями и обязаны подчиняться всем требованиям США и Евросоюза. Поэтому любые предположения, что российский «Майкрософт», «Сиско», «Оракл» и другие американские и европейские компании могут работать не оглядываясь на санкции, неверны.
Второй момент связан с тем, что несмотря на почти полную зеркальность санкций, есть случаи, в которых Европа и США расходятся, что способно привести к ситуации, когда ИТ/ИБ-продукт из США поставить можно, а на границе с Европой он встанет намертво.
Что из всего этого следует?
Если проанализировать вышеприведенную информацию, то окажется, что не так все и страшно, как обычно представляется человеку, не погруженному в тему санкций. Мы видим, что до 90–95% всех российских компаний не попадают в ограничения и могут по-прежнему использовать привычную им ИТ/ИБ-продукцию Apple, Cisco, Microsoft, SAP, Oracle и т. п. Исключения составляют только организации, явно включенные в черные списки SDN, SSI и DP (их немного) или относящиеся к категории Military.
Что делать для успокоения?
Если не рассматривать вариант с приемом пустырника или хорошего коньяка, расслабляющего и снимающего стресс, я могу порекомендовать следующий алгоритм действий, которым и сам пользуюсь постоянно:
1. Проверьте страну происхождения продукции, которую вы хотите приобрести. Если это не США и не Европа, то вам вряд ли стоит сильно волноваться, но все равно перейдите к следующему шагу.
2. Проверьте страну, через которую будет поставляться выбранная вами продукция. Эта информация не является закрытой, и любой ваш поставщик должен сходу ответить на такой вопрос. Если продукция идет не через Европу, то проблем у вас также быть не должно. Если же продукция поставляется через европейские «дочки» ИТ/ИБ-компаний (а такое может встречаться даже для корейских или китайских компаний), переходите к следующему шагу.
3. Проверьте себя. Если вы гражданское лицо, вам нечего волноваться и вы можете без проблем в установленные сроки получить заказанную продукцию. Если вы не уверены в своем статусе, то переходите к шагу 4.
4. Уточните свой статус у производителя. Именно у него. Ни дистрибьютор, ни ваш поставщик обычно не знают этого. Если у вас нет контактов с российским представительством производителя, то следует их установить. В крайнем случае попросите вашего поставщика уточнить этот вопрос.
Неужели всё так легко? А почему тогда по рынку циркулируют слухи о запрете, отказе, ограничении?.. На мой взгляд, всё просто. Во-первых, ходят обычно именно негативные слухи. Никто же не будет кричать на каждом углу о том, что продукт поставлен в срок и без проблем. Поэтому на фоне отсутствующих массовых сообщений о том, что нет проблем, даже незначительное число отрицательных отзывов представляет собой проблему; особенно в условиях распространения таких слухов через социальные сети и иные каналы.
Во-вторых, с мая, когда поднялась первая волна санкций (вторая и третья были в августе и сентябре 2014-го), появились изменения в стандартной процедуре поставки ИТ/ИБ-продукции. В первые 2-4 недели после начала каждой волны обычно у производителя наступает ступор в поставках и он судорожно начинает менять правила игры, сообщать о них своим партнерам, отвечать на звонки разгневанных заказчиков, у которых срываются сроки поставки. Я сам неоднократно общался с игроками из своего ИБ-портфеля на эту тему. Сначала тебя «динамят», потом не отвечают на письма и звонки, потом говорят «вот-вот, скоро все наладится», а потом все налаживаются.
Да, прошло уже три санкционные волны, и не успевает закончиться шумиха с одной из них, как начинается вторая, а затем и третья. Но в моей практике еще ни разу не было, чтобы я не получил заказанной продукции. Задержки были, и существенные (до полутора месяцев); отказов — ни одного (даже для государственных предприятий). Правда, и военных, и заказчиков из списков SDN, SSI и DP среди моих клиентов нет. Кстати, сейчас некоторые американские производители стали направлять заказчикам письма с просьбой подтвердить, что они не относятся к категории Military (делается это однократно). Пожалуй, это все изменения, с которыми я столкнулся в последнее время, — основное бремя на себя берет производитель ИТ/ИБ-продукции.
Что будет дальше?
От своих заказчиков я постоянно слышу этот вопрос. Кто-то даже гарантийные письма просит, что против них не введены и не введут санкции. Я понимаю своих клиентов, и с каждым мне приходится подолгу беседовать, объясняя им, что таких писем никто дать не может. Ведь санкции вводят не компании, а государства. Кстати, именно этот вопрос является хорошей лакмусовой бумажкой того, понимает собеседник что-то в теме санкций или нет.
Очень часто звучат такие рассуждения: «компания такая-то присоединилась к санкциям» или «компания имярек ввела санкции против российских заказчиков». Это глупость несусветная. Не может компания, какого-бы она ни была размера, ввести санкции против своих заказчиков. Это противоречит здравому смыслу, поскольку задача любой коммерческой компании — зарабатывать деньги, а не отказываться от них. А потому каждый ИТ/ИБ-производитель должен выполнять законодательство той страны, где он зарегистрирован. И если США вводят санкции, то их обязаны реализовывать все игроки рынка — от крупных корпораций до небольших компаний малого бизнеса.
Боюсь, что даже Барак Обама или Ангела Меркель не могут дать никаких гарантий от имени США или Евросоюза относительно перспектив расширения ограничений. Мне хочется думать, что пик санкций уже прошел. Тому есть несколько причин. Во-первых, скоро холодная зима и Европа будет более сговорчивой относительно взаимоотношений с Россией. Во-вторых, ситуация на Украине начинает потихоньку выравниваться и причин ужесточения торговых контактов с Россией вроде уже и нет. В-третьих, и Европа, и США уже сами заговорили о смягчении и даже об отмене санкций. А это позитивный сигнал. Наконец, здравый смысл подсказывает, что в условиях глобализации надолго возвести стену вокруг какого-либо государства, особенно такого, как Россия, не так-то и просто. Поэтому хочется надеяться, что к моменту выхода данной статьи, в худшем случае к новому году, ситуация начнет выправляться.
Автор: Алексей Перестукин, генеральный директор ИБ-интегратора
Опубликовано 27.10.2014