Приехал по приглашению партнеров в Европу. Не погулять, а по делу. В связи с изменением моего положения повалились предложения о сотрудничестве из самых разных мест. Из Европы в том числе. Что хотят? А вот это история довольно интересная.
Результаты законотворчества наших избранников в области информационной безопасности докатились, наконец-то, и до Европы. И весьма всех озадачили.
Инвестиции в Россию и выход на российский рынок европейцам очень интересны. Все поляны вокруг утоптаны. А тут такие большие возможности и перспективы… Теперь, прежде чем откликнуться на приглашение вложиться в Россию и, может быть, даже замахнуться на участие в Сколково, наученные горьким опытом «Эрмитаж Капитал», наслышанные про проблемы ввоза всяких там средств защиты и прочих радостях российской жизни, буржуи-фирмачи хотят понять, а во что они потенциально могут вляпаться. С точки зрения проблем информационного права в том числе.
Среди задаваемых вопросов на первом месте – особенности нашего регулирования защиты персональных данных. Честные ответы повергают в шок. Что, если мы открываем представительство в России, для нас все эти приказы (как это будет не по-русски – Федеральная служба экспортного и технического контроля? С ФСБ перевод проще и доступнее. Понятливый кивок – а, КГБ!) обязательны? Почему?! Мы же с вами ратифицировали одну и ту же конвенцию! Восклицательных знаков именно столько.
Этот вопрос возникает у тех, кто серьезно прорабатывает риски «экспансии на Восток», независимо от того, чем они планируют заниматься.
Вторая группа вопросов у тех, кто собирается поработать на рынке информационной безопасности. Фактическая обязательность сертификации средств защиты информации, особенно если их хочется продавать в госструктуры (а кому ж не хочется?) при отсутствии требований к огромной части продуктов, необходимость раскрытия кода для сертификации на отсутствие недекларированных возможностей доводят уже появившуюся ранее оторопь до состояния ступора. Сначала возмущаются: «Мы продаем по всему миру (Европе)!». Потом удивляются: «Но ведь нигде, где мы торгуем, этого не требуется?». «Мы выпускаем патч в неделю, сервис-пак в месяц, сервис-релиз раз в полгода! Какая сертификация, какие контрольные суммы?». И, наконец, определяются: «Доля России сегодня – запятая после нуля. И при таких условиях никогда не станет даже на уровне 10-20%. Зачем заморачиваться?».
Не стимулирует стремление западных компаний на Восток и практика признания и использования международных стандартов, в области безопасности – в частности. К стандартам мы присоединились, но выданные за рубежом сертификаты, подтверждающие их выполнение, не признаем. Позиция занятная, но не понятная.
Более глубокие разговоры, например, про коммерческую тайну взаимопониманию также не способствуют. При полном тождестве «родовых признаков»: действительной или потенциальной коммерческой ценности, неизвестности секретов третьим лицам на законном основании, принятии обладателем мер по охране конфиденциальности практика правоприменения этого института охраны прав оказывается совершенно разной и недоступной для понимания европейцам. Обязательность набора режимных мер, принудительная система учета доступа к коммерческим секретам, полнота и совокупность выполнения режимных требований при принятии решений арбитражными судами об охраноспособности сведений не доходят до сознания прагматичных иностранцев.
Попытки объяснить легальный порядок ввоза в Россию средств защиты, содержащих криптографические модули, заканчиваются полным фиаско. А что, в софте и железе крупнейших вендоров криптографии нет? И в России не используется оборудование Juniper и приложения на Lotus? И что происходит с криптографией там? А как работает https с длинным ключом при обращении к ресурсам, где ключ – длинный? Беседа заходит в тупик.
Система государственного регулирования информационной безопасности и сложившая в России практика правоприменения очень не похожи на американские и европейские, не воспринимаются людьми с другим менталитетом и просто пугают.
Появилось впечатление, что на пути инвестиций в Россию появляется новый барьер. И на пути современных технологий противостояния все новым и новым угрозам – тоже. Государственные риски – страшное дело.