Интервью с Сергеем Гландиным про влияние санкций на рынок ИБ

Дата: 22.06.2021. Автор: CISO CLUB. Категории: Главное по информационной безопасности, Интервью с экспертами по информационной безопасности
Интервью с Сергеем Гландиным про влияние санкций на рынок ИБ

Редакция CISO CLUB пообщалась с Сергеем Гландиным, специальным советником по санкционному праву коллегии адвокатов Pen & Paper о влиянии санкций и контрсанкций на рынок информационной безопасности. Предметом интервью стали вопросы ограничений для ИТ-компаний, попавших под санкции, последствий клиентов компаний, работающих с поставщиками из санкционного списка США, геополитические разногласия и многое другое. Сергей рассказал, как оспорить попадание в санкционные списки, почему в Крыму до сих пор не работают крупнейшие ИТ-компании России, и дал советы как избежать санкций, и куда обращаться если компания уже попала под санкции.

Сергей Гландин — кандидат юридических наук, практикующий юрист-международник и преподаватель кафедры международного права юридического факультета МГУ им. М.В. Ломоносова, Сергей обладает уникальным практическим и теоретическим опытом в области санкций (ограничительных мер) США и ЕС. В настоящее время ведет три спецкурса, которые пока ещё являются единственными в России по теме санкционного права: «Ограничительные меры и санкции в праве международной ответственности», «Исключение из санкционных списков в международных и национальных судах» и «экономические санкции и комплаенс».

  1. Какие ограничения накладываются на ИТ-Компании, попавшие под международные санкции?

Для начала давайте определимся с терминологией. Есть 2 основных вида санкций: международные, которые вводятся Советом Безопасности ООН, и односторонние, которые вводят США, ЕС и другие субъекты международного права.

ИТ-компаний под международными санкциями вы практически не найдёте. Чтобы их ввести нужно согласие всех 5 постоянных членов ООН, включая Россию. Но Россия никогда не разрешит ввести международные санкции против своих юридических лиц. Да, в сводном санкционном перечне ООН можно встретить людей с российскими фамилиями, но они попали туда исключительно по «террористическим» основаниям.

О второй разновидности ограничительных мер – односторонних санкциях мы слышим очень часто. В самом общем виде эти санкции представляют собой запрет на вступление или продолжение финансово-экономических отношений с участниками определённого «чёрного списка». То есть, к примеру, США требуют от своих участников делового оборота прекратить любые экономические отношения с фигурантом своего санкционного списка SDN. Если у американского участника делового оборота во владении или на балансе есть какие-либо активы иностранного подсакнционного лица, он должен их заморозить, то есть запретить собственнику распоряжаться ими пока он под санкциями. 

В отношении физических лиц большинством юрисдикций вводится запрет на въезд и получение визы. 

То есть, если под санкции США попал «Позитив Текнолоджиз» (ПТ) – американскому бизнесу теперь запрещено вести с ним дела, американским банкам – обслуживать, а простым американцам – покупать их продукты и решения.

  1. Какие могут быть последствия для клиентов компаний, работающих с поставщиками из санкционного списка США?

Вопреки всеобщему заблуждению последствия возможны только для западных компаний. Если российское ООО «Ромашка» не имеет никакой привязки к основным западным юрисдикциям, вводящим санкции, риски у такого ООО минимальны, если не теоретические. Другое дело для компаний плотно интегрированных в западный рынок или имеющих бенефициаров с западным ВНЖ, ПМЖ, гринкартой или гражданством. 

Здесь нужно думать категориями рисков. Чем сильнее у вас привязка к западному периметру, западным рынкам, тем более вероятно появление информации о вашем сотрудничестве с запрещёнными лицами. И тем сильнее риск разных неблагоприятных последствий. И наоборот: российская компания, ориентированная на российский рынок и с российскими учредителями, никому не интересна. 

Например, компания «Инфотекс» не находится под санкциями. Она в «чёрном списке» Бюро промышленности и безопасности Министерства торговли США. Это ему запрещено покупать американские программы, решения и технологии. У «Инфотекс» покупать ПО можно, и рисков это не несёт даже для американских клиентов. Другое дело, что они знают о факте ограничения этой компании в правах и будут крайне осторожны при вступлении в любые правоотношения.

  1. Как отражается на компаниях и их сотрудниках участие в российских киберучениях и ИБ-выставках?

Здесь уже сами ИТ-компании должны понимать свои риски. До указа Байдена 14024 действительно не было оснований для санкций за содействие вредоносной деятельности российского правительства за рубежом. Именно так называется указ Байдена №14024 «О блокировке собственности и активов за определённую вредоносную деятельность Правительства Российской Федерации за рубежом». Раньше предполагались санкции за вмешательство в выборы, за злонамеренную деятельность в киберпространстве, а теперь в цитируемом указе крайне широкий перечень критериев, при соответствии которым можно попасть под санкции. Среди главных и самых заметных – это поддержка злонамеренной или вредоносной деятельности российского государства в киберпространстве; оказание соответствующих услуг 3 российским спецслужбам; руководство или владение ИТ-компанией, которая была замешана в вышеуказанном. Под последнее можно спокойно подвести выставки. Однако риски у организаторов и спонсоров значительно выше, чем у простых участников. Поэтому оценивайте риск по принципу «тише едешь, дальше будешь».  У тех, кто не афиширует свое участие в потенциально опасных после 15 апреля 2021 хакерских конгрессах и симпозиумах, проблем возникнуть не должно.

  1. Как оспорить попадание в санкционные списки?

Если берём американские санкции, то есть два пути: в порядке административного пересмотра и судебный. Во второй можно идти если первый этап пройден или Минфин США непропорционально долго не говорит: ни да, ни нет. Но конечно же не советую это делать самостоятельно. Лучше оценить шансы вместе со специалистами, и если таковые имеются – двигаться вместе с ними по утверждённой стратегии. 

В Европе всё значительно проще: там действует высочайший стандарт прав человека, который распространяется и на юридические лица. Орган, администрирующий европейские санкции, обязан не реже чем раз в год проверять – сохраняются ли в силе те первичные основания для принятия ограничительных мер, что были в самом начале; продолжает ли фигурант списка соответствовать критериям из нормативного правового акта о санкциях. И если таковые отпали или прекратилось соответствие – сам орган должен исключить из санкционного списка. При этом оба порядка: и судебный, и в административный пересмотр работают там даже лучше, чем в США.

Есть один интересный пример российско-беларуской компании «Синезис». Она через дистрибьютеров продавала свои программы и решения по распознаванию лиц КГБ и МВД Беларуси. Многие мирные митингующие и члены гражданского общества этой страны после такого столкнулись с задержаниями, неправосудными судебными решениями и даже пытками. В ЕС на это ответили введением санкций против компании 17 декабря 2020. Компания оспорила санкции в Суд ЕС. Видимо, у них были счета в Евро или просто счета в европейских банках, а возможно и активы, дебиторка на Западе. Так вот, не успел ещё суд ЕС назначить дату соглашения, как 21 июня 2021 по санкции попал владелец и гендиректор Synesis Александр Шатров. Попал, в основном, по тем же основаниям. 

  1. Американские и европейские ИТ-компании могут попасть под санкции России? Или процесс импортозамещения — это и есть аналог санкций США?

В теории – да. По факту, нет. Российское «санкционное» законодательство как лоскутное одеяло. Нормы, позволяющие вводить российские специальные экономические меры и санкции, фрагментарно распределены между многими законами. 

Президент России на основании 127-ФЗ от 04 июня 2018 года «О мерах воздействия (противодействия) на недружественные действия Соединенных Штатов Америки и иных иностранных государств» может подписать указ, в котором определит иностранные ИТ-компании, угрожающие национальной безопасности или совершающие некие недружественные действия. На основании такого указа нашего президента правительство в течение 2 недель сформирует перечень этих компаний и определит виды запретов и ограничений, применяемых к ним. Но это, повторю, теоретический сценарий. По сути, у России только 2 таких режима: против ряда американских военных, судей и чиновников по т.н. «закону Димы Яковлева» и против Украины по указу президента № 592 от 22.10.2018 и постановлениям правительства, изданным во его исполнение. 

  1. Российские контрсанкции вытеснят аудиторскую четверку с рынка ИТ/ИБ-аудитов?

Не думаю. Вопрос, вероятно, про то странное апрельское постановление правительства № 622, которое предписывает ограничить предоставление необходимой для проведения аудита информации иностранным аудиторам. Задумка правительства – чтобы компании, где проведение аудита обязательно, начинали работать с российскими фирмами. Однако они и так работают с российскими фирмами: АО «КПМГ»; ООО «Эрнст Энд Янг — Оценка и Консультационные Услуги»; АО «Делойт и Туш СНГ»; ООО «Прайсвотерхаускуперс Консультирование». Участниками этих организаций прямо или косвенно выступают российские граждане, да еще и обладающие статусом аудиторов. Указанные юрлица заключают с привычной нам западной четвёркой лишь франчайзинговые договоры, используя товарные знаки, ноу-хау, стандарты зарубежных коллег.

  1. Какие потенциальные риски наблюдаются в отрасли ИБ из-за разногласий США и России в геополитическом поле? Могут ли российские ИТ-компании попасть под санкции из-за возможной причастности к взлому JBS

Могут, и в теории «Дамоклов меч» занесён над многими российскими ИТ- и ИБ-компаниями. Всё зависит от скорости получения информации американскими властями о соответствии той или иной компании критериям указа 14024, а также качества такой информации. Основную роль здесь играют открытые источники. Если ИТ-компания дорожит связями с ФСБ и везде афиширует работу на эту спецслужбу, включая собственный сайт, – санкции придут быстрее. И наоборот.

  1. Почему в Крыму до сих пор не работают крупнейшие ИТ-компании России? Какова вероятность, что с компанией, открытой в крымском технопарке будут работать партнеры?

Если почитать применимые нормативные акты США и ЕС (указ президента США 13685 и Регламент ЕС 692/2014 в редакции Регламента ЕС 1351/2014) – в Крыму установлена почти «бесполётная зона» для любых западных инвесторов. Сбербанк боится не только и не столько санкций, сколько стать «токсичным» и «нерукопожатным» в западной среде. Комплаенс фирм-партнёров и инвесторов сразу отследит факт выхода в Крым. А после такого будут последствия: никто не даст в долг; могут прекратить корреспондентские отношения, западные клиенты – уйти, и. т.д. ИБ- и ИТ-компании, скорее всего, рассуждают в том же ключе. То же самое применимо и к Технопарку ИТ Крым: туда выйдут только те российские компании, которые не дорожат западным периметром своего бизнеса, не имеют счетов и активов на Западе. 

  1. Большинство отечественных ИБ-компаний заявляют о росте выручки после попадания под санкции США. Санкции позитивно складываются на финансовых показателях компаниях?

Сложно ответить за ИБ-компании. Возможно это и так. Однако для многих российских бизнес-компаний из иных отраслей, за исключением «оборонки», заметна иная картина. Уже в год попадания под санкции США или ЕС, согласно «Контур-Фокусу», кривая прибыли (доходности) стремится резко вниз. Некоторые через пару лет прекращают существование или уходят в банкротство. Нужно смотреть и обсуждать конкретные кейсы.

  1. Как избежать санкций ИБ-компаниям и куда обращаться если компания уже попала под санкции? Дайте советы.

Каждый случай уникальный и не похож на другие. Если вы заболели, можно конечно же заняться самолечением по советам из интернета, но лучше пойти к врачу, который сделает диагностику болезни и предложит индивидуальный план лечения. С санкциями всё почти что так же. Единственно что не порекомендую, так это идти сначала к западным консультантам. Они в силу применимых норм и стандартов сообщат всю полученную от вас своим компетентным органам власти. Разумеется, вы об этом даже не узнаете. Тем самым вы сами себе серьёзно сузите простор для манёвра. У российских юристов таких обязанностей нет. Кроме того, и европейское, и американское законодательство не запрещают российским юристам снимать санкции в порядке административного пересмотра. 

Дорогие друзья и коллеги, мы и не знали, насколько многогранна и неизведанна тема санкций. Поэтому 2 часть вопросов обсудили с экспертом по санкциям Сергеем Гландиным во время видео интервью.

CISO CLUB

Об авторе CISO CLUB

Редакция портала cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора CISO CLUB

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *