Foreign Military Sales для постачальників ПЗ: навігація між FMS та прямими комерційними продажами

Q: Які специфічні для ПЗ положення з'являються в Letter of Offer and Acceptance?

Letter of Offer and Acceptance (LOA) для ПЗ містить положення, що охоплюють: конкретну збірку та версію ПЗ, яка пропонується (включно з тим, чи входять оновлення та патчі в період пропозиції), права доступу до вихідного коду (майже завжди відмовлені іноземному замовнику), зобов'язання з передачі ліцензій третіх сторін, ціноутворення на підтримку та обслуговування як окрему позицію, ліцензійну модель (на робоче місце, на вузол або корпоративну) та будь-які обмеження на субліцензування ПЗ громадянам третіх країн, що працюють у складі оборонного відомства країни-покупця. Підтримка ПЗ зазвичай пропонується на щорічно поновлюваній основі окремо від початкової позиції придбання.

Q: Які вимоги до контролю кінцевого використання для експортованого оборонного ПЗ?

Програми уряду США Golden Scepter та Blue Lantern проводять перевірки кінцевого використання експортованих оборонних виробів, включно з ПЗ. Для випадків FMS Defense Security Cooperation Agency координує періодичні візити з перевірки після відвантаження, щоб підтвердити, що ПЗ використовується відповідно до дозволу й не було передано неуповноваженим сторонам. Від постачальників ПЗ очікують співпраці з цими перевірками шляхом ведення записів про місця встановлення, кількість користувачів та розгорнуті версії. Власники експортних ліцензій DCS стикаються з аналогічними зобов'язаннями за перевірками Blue Lantern Держдепартаменту. Неспроможність вести належні записи або відмова співпрацювати з перевірками кінцевого використання може призвести до відкликання ліцензій, що вплине на весь майбутній експортний бізнес.

Q: Які зобов'язання з підтримки в країні супроводжують продаж ПЗ за FMS?

Випадки ПЗ за FMS зазвичай включають Technical Assistance Agreement (TAA) або окрему позицію з навчання, що охоплює підтримку встановлення, навчання операторів та навчання системних адміністраторів, які проводяться в країні. Польові сервісні представники постачальника повинні мати відповідні допуски персоналу до безпеки й можуть потребувати перевірки особистої безпеки країни-покупця перед доступом до закритих мереж, де працюватиме ПЗ. Зобов'язання з підтримки включають службу підтримки з визначеними SLA на час реагування, графіки доставки патчів, прив'язані до позиції підтримки в LOA, та зобов'язання повідомити Defense Security Cooperation Agency, якщо відома вразливість у ПЗ може вплинути на операційну безпеку іноземного замовника до появи патча.

Автор: Інженерна команда Corvus Intelligence · Про команду →

19 червня 2026 9 хв читання

Компанії з оборонного ПЗ, що створюють платформи ситуаційної обізнаності, інструменти C2 або аналітику ISR, дедалі частіше виявляють, що їхні найкваліфікованіші потенційні клієнти є іноземними військовими замовниками: союзні та партнерські нації, які модернізують свої сили й готові платити за спроможність, що перевищує можливості внутрішніх оборонних галузей. Два юридичні канали з'єднують постачальників США з цими замовниками: Foreign Military Sales (FMS), де уряд США виступає посередником і продає від імені постачальника, та прямі комерційні продажі (DCS), де постачальник укладає контракт безпосередньо з іноземним покупцем за експортною ліцензією. Вибір правильного каналу та розуміння того, чого кожен вимагає в плані документації, зобов'язань з відповідності та довгострокових зобов'язань з підтримки, є настільки ж технічно складним, як і саме ПЗ. Ця стаття детально розглядає обидва канали з особливою увагою до ландшафту експортного контролю, що регулює кожну транзакцію оборонного ПЗ.

FMS проти прямих комерційних продажів: який канал підходить вашому продукту

Структурна різниця між FMS та DCS визначає все подальше: гнучкість ціноутворення, простір для переговорів, терміни постачання, рівень юридичної відповідальності та ступінь, до якого уряд США стоїть за транзакцією. За FMS іноземний уряд надсилає Letter of Request (LOR) до Міністерства оборони США, Міноборони оцінює запит за критеріями зовнішньої політики та безпеки, і, якщо схвалено, Міноборони видає Letter of Offer and Acceptance (LOA) країні-покупцю. Контракт з постачальником тоді укладає відповідний вид збройних сил США (Армія, Флот або Повітряні сили), а не іноземний замовник безпосередньо. Уряд США є юридичним продавцем за документами, а постачальник є субпідрядником у цій схемі.

DCS усувають урядового посередника. Постачальник подає заявку на експортну ліцензію до Держдепартаменту (для ПЗ під контролем ITAR) або Міністерства торгівлі (для ПЗ під контролем EAR), і після схвалення веде переговори й підписує комерційний контракт безпосередньо з іноземним оборонним відомством або його призначеним генеральним підрядником. Це дає постачальнику значно більше контролю над ціноутворенням, умовами інтелектуальної власності та графіками постачання. Однак постачальник також бере на себе повний юридичний ризик транзакції, включно з відповідальністю за порушення кінцевого використання та зобов'язанням проводити власну переддоговірну перевірку легітимності замовника й передбачуваного використання.

Практичне рішення залежить від двох факторів: класифікації чутливості вашого ПЗ та відносин країни-покупця з програмами співпраці у сфері безпеки США. ПЗ, яке твердо перебуває в US Munitions List (USML) і передача якого вимагає повідомлення Конгресу понад певні вартісні пороги, майже завжди йтиме через FMS: Держдепартамент неохоче видає ліцензії DCS для виробів Категорії XI (військова електроніка та ПЗ), коли існує канал FMS, що забезпечує сильніший урядовий нагляд. Новіші платформи подвійного використання з чітким ECCN за EAR є більш життєздатними кандидатами на DCS, особливо для партнерських націй, що мають Blanket Purchase Orders або наявні рамкові угоди DCS з постачальниками США. Для компанії з ПЗ, яка ще не пройшла жоден з каналів, FMS є точкою входу з нижчим ризиком саме тому, що менеджер випадку від виду збройних сил США несе значну частину тягаря відповідності.

Letter of Offer and Acceptance: структура та специфічні для ПЗ положення

LOA є юридичним інструментом, що визначає, що продається, за якою ціною, за яких умов та з якими зобов'язаннями з підтримки. Для програмного продукту структура LOA суттєво відрізняється від транзакції лише з апаратним забезпеченням. Позиції апаратного забезпечення описують фізичні кінцеві вироби та супутні боєприпаси чи запасні частини. Позиція ПЗ повинна описувати нематеріальний продукт постачання: конкретну версію або базову збірку, її ліцензійну модель, обсяг прав використання, наданих іноземному замовнику, та умови, за яких оновлення й патчі надаватимуться протягом періоду пропозиції.

Специфічні для ПЗ положення LOA, з якими постачальники часто стикаються під час перегляду проєкту, охоплюють чотири сфери. По-перше, фіксація версії: LOA вкаже версію ПЗ, що пропонується, і без внесення змін іноземний замовник отримує цю версію та її пряму лінію патчів, а не майбутній великий реліз, який може нести інший ECCN або вимагати нового політичного огляду. Постачальникам слід домовлятися про формулювання, що враховує незначні оновлення в межах того самого сімейства версій без вимоги нового LOA. По-друге, структура ціноутворення на підтримку: підтримка ПЗ майже завжди оцінюється як окрема повторювана позиція, зазвичай щорічно поновлювана, а не вбудовується в одиничну вартість придбання. Це операційно правильно, але вимагає від постачальника підтримувати цінову прозорість на горизонті від п'яти до десяти років на етапі P and A. По-третє, доступ до вихідного коду: політика уряду США одноманітно забороняє надання доступу до вихідного коду іноземним замовникам за FMS, якщо не узгоджено й не схвалено окремий Technology Assistance Agreement (TAA). Постачальникам слід переконатися, що формулювання їхнього LOA явно зазначає це обмеження, а не залишає його неоднозначним. По-четверте, зобов'язання з ліцензій третіх сторін: якщо ваше ПЗ містить компоненти з відкритим кодом з copyleft-ліцензіями або комерційні бібліотеки третіх сторін, LOA повинен враховувати, як ці ліцензії передаються іноземному замовнику, який бере на себе ті самі обмеження використання, що застосовуються до будь-якого ліцензіата.

LOA також зазвичай включає позицію одноразових інженерних робіт (NRE), якщо потрібна будь-яка специфічна для країни кастомізація: локалізація, адаптація інтерфейсу до специфічних для країни систем C2 або інтеграція зі застарілою інфраструктурою. Постачальникам слід розглядати NRE як окрему узгоджену позицію від підтримки, оскільки витрати NRE є одноразовими, а їхнє обґрунтування вимагає іншої документації, ніж ціноутворення на повторюване обслуговування.

Вимоги до контролю кінцевого використання для експортованого оборонного ПЗ

Уряд США підтримує дві паралельні програми перевірки кінцевого використання для експортованих оборонних виробів: Golden Scepter для випадків FMS та Blue Lantern для виробів, ліцензованих за DCS. Обидві програми проводять перевірку після відвантаження, щоб підтвердити, що передані вироби, включно з ПЗ, використовуються відповідно до дозволу, не були передані неуповноваженим третім сторонам і доступні для інспекції представниками уряду США. Для постачальників ПЗ ці програми створюють постійні зобов'язання з відповідності, що тривають значно довше за дату постачання й вимагають внутрішніх систем ведення записів, яких більшість комерційних компаній з ПЗ за замовчуванням не мають.

За Golden Scepter Defense Security Cooperation Agency (DSCA) координує з Security Cooperation Office у посольстві США в країні-покупці проведення періодичної перевірки кінцевого використання. Для ПЗ перевірка зазвичай передбачає підтвердження того, що ПЗ встановлене лише на авторизованих об'єктах, використовується лише перевіреним персоналом з рівнем доступу, зазначеним у LOA, і що не було поширено неавторизованих копій. Від постачальника очікують співпраці шляхом надання записів про розгортання: адрес об'єктів встановлення, кількості користувачів за ролями, розгорнутої версії та історії доставки патчів. Частота перевірок масштабується за ризиком: чутливіше ПЗ у країнах з менш зрілою історією співпраці у сфері безпеки отримує частішу увагу. Постачальники, які не можуть надати належні записи на момент перевірки, стикаються з потенційними коригувальними заходами, включно з ліцензійними обмеженнями на майбутні випадки.

Практичне ускладнення для постачальників ПЗ виникає, коли продукт використовує телеметрію, хмарно під'єднаний контроль ліцензування або механізми автоматичного оновлення. Ці функції, стандартні в комерційному ПЗ, можуть створювати ненавмисні потоки даних між мережею іноземного замовника та інфраструктурою постачальника, які не були розкриті в LOA й можуть порушувати політики інформаційної безпеки країни-покупця або, в деяких випадках, обмеження США на передачу даних, згенерованих іноземними урядовими системами. Перш ніж розгортати будь-яку форму функціональності зворотного зв'язку для іноземного оборонного замовника, постачальникам слід отримати явне схвалення від DSCA та від органу безпеки країни-покупця, а також задокументувати схвалені потоки даних у доповненні до LOA або Technical Assistance Agreement.

Обмеження на передачу технологій: що можна й не можна включати до пакета FMS

Обмеження на передачу технологій є найбільш технічно вагомим обмеженням, яке FMS та DCS накладають на постачальників ПЗ. Термін «технологія» в ITAR та EAR охоплює не лише вихідний код, але й технічні дані: проєктні документи, діаграми архітектури, навчальні дані для моделей машинного навчання, специфікації алгоритмів, достатньо детальні для відтворення, та операційні параметри, що характеризують межі продуктивності ПЗ. Постачальники часто недооцінюють широту того, що становить контрольовану технологію, і ненавмисно створюють ризик відповідності, надаючи детальні технічні брифінги технічним командам іноземного замовника без підтвердження того, що матеріали брифінгу входять в обсяг схваленого експорту.

Для ПЗ, проданого за FMS, позиція за замовчуванням полягає в тому, що іноземний замовник отримує об'єктний код (розгортуваний бінарний файл або образ контейнера) та документацію лише користувацького рівня. Вихідний код, навчальні набори даних для AI-компонентів, ваги моделей для пропрієтарних елементів машинного навчання та специфікації API на рівні інтеграції потребують окремих схвалень на випуск технологій. Постачальники, які хочуть надати ці елементи, наприклад, щоб дати іноземному замовнику можливість розробляти специфічні для країни інтеграції, повинні запросити Release of Technology через менеджера випадку DSCA, який спрямовує запит через процес огляду технологічної безпеки відповідного виду збройних сил США. Цей огляд оцінює, чи міг би випуск технології дати одержувачу можливість відтворити спроможність всередині країни, передати її третій країні або вивести дані про продуктивність, що розкрили б розвідувальні пріоритети США.

Ключовий висновок: Найпоширеніше порушення передачі технологій в експорті оборонного ПЗ не є навмисним: це надання надмірно детального технічного інтеграційного брифінгу інженерній команді іноземного замовника без офіційного схвалення на випуск технологій. Брифінг, що детально розглядає внутрішні схеми даних, конвеєри інференсу моделей або алгоритми обробки RF-сигналів настільки докладно, що компетентний інженер міг би відтворити підхід, становить передачу контрольованої технології за ITAR, незалежно від того, чи було поширено вихідний код. Постачальникам слід запровадити процес перегляду перед брифінгом, який класифікує кожну технічну презентацію за обсягом схваленого експорту перш, ніж її буде проведено в країні.

Обмеження на передачу третім країнам є пов'язаною проблемою. Якщо країна-покупець розгортає ПЗ у багатонаціональній операції, де персонал з несхвалених країн матиме доступ, що поширене в коаліційних середовищах, де союзні нації спільно використовують єдину оперативну картину, постачальник повинен переконатися, що LOA або ліцензія DCS охоплює таке розкриття. Випадок FMS, схвалений для національного використання Країни А, не авторизує автоматично доступ для персоналу Країни Б, що діє поряд із силами Країни А. Менеджер випадку DSCA може додати положення про передачу третій країні до LOA, але це слід запросити до настання доступу, а не після.

Зобов'язання з підтримки в країні та правила передачі третім країнам

Випадки ПЗ за FMS майже завжди включають елемент підтримки, що вимагає від постачальника надавати персонал у країні-покупці. Ця підтримка набуває кількох форм: початкова підтримка встановлення та налаштування, що надається при введенні системи в експлуатацію, навчання операторів та адміністраторів, а також постійне покриття службою підтримки або польовим сервісним представником (FSR) протягом періоду підтримки. Кожна з них вимагає планування задовго до підписання LOA, оскільки персонал підтримки в країні стикається з власними вимогами відповідності, що можуть вплинути на терміни найму, поїздок та допусків до безпеки.

Польові сервісні представники, що працюють над випадками FMS в іноземних країнах, повинні мати допуски до безпеки США на рівні, необхідному за класифікацією системи. Якщо ПЗ працює в закритій мережі країни-покупця, FSR також може потребувати визначення особистої безпеки від органу безпеки країни-покупця, процес, який може зайняти від трьох до дванадцяти місяців і не гарантовано буде успішним. Постачальникам слід ідентифікувати кандидатів на FSR заздалегідь та ініціювати обробку допуску паралельно з переговорами щодо LOA, а не чекати на підписання LOA. Підписаний LOA, який не можна виконати, бо постачальнику бракує персоналу підтримки в країні з допуском, є провалом програми, що генерує значну шкоду відносинам як з менеджером випадку DSCA, так і з іноземним замовником.

Правила передачі третім країнам також впливають на підтримку в країні. Якщо FSR постачальника є особою з подвійним громадянством, має паспорт країни з обмеженнями в межах рамкової безпеки країни-покупця або народився в країні, яку LOA позначає як країну обмеженого громадянства для доступу до системи, потрібні додаткові схвалення, перш ніж ця особа зможе працювати над програмою. Ці правила не завжди задокументовані в самому LOA: вони виводяться з поєднання вимог безпеки країни-покупця, політики уряду США щодо випуску технологій для конкретного ПЗ та класифікації мережі, в якій працює ПЗ. Постачальникам слід запросити перегляд громадянства від менеджера випадку DSCA як частину планування перед розгортанням, а не як перевірку в останню хвилину.

Запити Price and Availability: як відповідати без зобов'язань

Запит Price and Availability (P and A) надходить від менеджера випадку виду збройних сил США, коли іноземний уряд подав Letter of Request на ваше ПЗ. Відповідь P and A є основою, на якій Міноборони складає LOA, що означає, що цифри, які ви надаєте на цьому етапі, з'являться, часто дослівно, в юридично обов'язковій пропозиції іноземному уряду. Процедурна пастка для постачальників, незнайомих з FMS, полягає в тому, щоб трактувати відповідь P and A як комерційну пропозицію, що підлягає переговорам. Це не так. Щойно LOA видано іноземному уряду на основі ваших даних P and A, ви контрактно зобов'язані постачати на тих умовах, якщо замовник погодиться.

Правильний підхід до відповіді P and A полягає в наданні вашої найкращої оцінки витрат з явними припущеннями, задокументованими у відповіді: версія ПЗ, ліцензійна модель, кількість користувачів, обсяг навчання, період підтримки та будь-який обсяг специфічної для країни кастомізації. Якщо будь-який елемент витрат залежить від вимоги, яка ще не визначена (наприклад, кількість об'єктів встановлення), явно позначте цю залежність і надайте діапазон або поодиничну ставку замість загальної суми. Менеджери випадків DSCA розуміють, що ціноутворення на ПЗ має змінні компоненти, і вони включать ваші припущення до LOA як виноски, що кваліфікують ціноутворення. Це захищає вас, якщо фактичний обсяг розгортання відрізняється від припущень P and A.

Постачальникам також слід розглянути ціноутворення на підтримку ПЗ на горизонті щонайменше п'яти років у відповіді P and A, навіть якщо початковий запит охоплює лише дворічний період. Іноземні замовники регулярно продовжують випадки підтримки, і менеджери випадків DSCA віддають перевагу структуруванню початкового LOA з опціями поновлення, а не обробці окремих випадків внесення змін щороку. Надання структурованого графіка ціноутворення на підтримку з визначеними ставками ескалації та чіткими визначеннями того, що входить на кожному рівні, робить ваш продукт легшим в управлінні через систему FMS і зменшує адміністративний тягар, що відштовхує від повторного бізнесу через цей канал.

Побудова відносин з програмним офісом у країні та командою США в країні

Процес FMS формально є міжурядовим, але результати: які продукти вписуються до Letters of Request, які постачальники включаються до циклів P and A та які випадки підтримки фінансуються, формуються відносинами, побудованими задовго до початку будь-якого формального процесу. Двома ключовими вузлами відносин для постачальника ПЗ є програмний офіс іноземної країни та US Security Cooperation Office (SCO) в американському посольстві в країні-покупці.

Програмний офіс у країні є технічним органом, що визначає вимоги, оцінює конкуруючі рішення та внутрішньо обстоює фінансування для виконання випадку FMS. Для оборонного ПЗ програмний офіс зазвичай перебуває в межах J6 (зв'язок та інформаційні системи) оборонного відомства чи еквівалентного директорату, або в межах спеціалізованого директорату спроможностей для ISR, логістики чи C2. Постачальники, які продемонстрували спроможність програмному офісу до подання LOR, через демонстраційні заходи, оцінювання, профінансовані програмами Building Partner Capacity уряду США, або участь у двосторонніх навчаннях, мають значну перевагу у формуванні документа вимоги відповідно до архітектури свого продукту. Це не маніпуляція процесом, це стандартний спосіб, яким спроможні постачальники встановлюють технічну довіру з іноземними замовниками заздалегідь до формального придбання.

SCO є ланкою уряду США між країною-покупцем і системою FMS Міноборони. Офіцери SCO зазвичай є персоналом Армії, Флоту чи Повітряних сил, призначеним до посольства на терміни від двох до трьох років. Вони координують Letters of Request, сприяють циклам P and A та управляють відносинами між іноземним відомством і менеджером випадку DSCA у Вашингтоні. Побудова продуктивних робочих відносин з SCO означає інформування його про дорожню карту вашого продукту, позначення оновлень спроможностей, що можуть задовольнити нові вимоги замовника, та надання технічної підтримки для оцінювань, яким сприяє SCO. Постачальники, які трактують SCO як адміністративний ретранслятор, а не як змістовного партнера, втрачають можливість сформувати те, як їхній продукт позиціонується в межах ширшого портфеля співпраці у сфері безпеки країни. Для компанії з ПЗ, що переслідує кілька випадків FMS у кількох країнах, мережа SCO є каналом розповсюдження так само, як і інтерфейсом відповідності, а інвестування в ці відносини є однією з найприбутковіших активностей, доступних для компанії з оборонного ПЗ, що прокладає собі шлях через цикл закупівель.

Структуруйте своє ПЗ для іноземних оборонних замовників

Corvus Intelligence має досвід структурування розгортань ПЗ для іноземних оборонних замовників. Зв'яжіться з нами, щоб обговорити, як вимоги FMS та DCS впливають на ваш продукт і модель підтримки.

Зв'язатися з Corvus Intelligence → Замовити брифінг

Цей аналіз підготували інженери Corvus Intelligence, які створюють критично важливі ISR та польові застосунки для оборонних та урядових організацій. Дізнайтеся про нашу команду →

Часті запитання

У чому різниця між FMS та прямими комерційними продажами для оборонного ПЗ?

Foreign Military Sales (FMS) проводить транзакцію через уряд США: іноземний замовник підписує Letter of Offer and Acceptance з Міністерством оборони, а Міноборони укладає контракт з постачальником від імені замовника. Прямі комерційні продажі (DCS) оминають цього посередника: постачальник підписує контракти безпосередньо з іноземним покупцем, використовуючи експортну ліцензію, видану Держдепартаментом за ITAR або Міністерством торгівлі за EAR. FMS зазвичай передбачає довші терміни виконання, але дає іноземному замовнику неявну підтримку цінових та постачальних гарантій уряду США, тоді як DCS можуть рухатися швидше й дають постачальнику більше контролю над комерційними умовами.

Які специфічні для ПЗ положення з'являються в Letter of Offer and Acceptance?

Letter of Offer and Acceptance для ПЗ містить положення, що охоплюють: конкретну збірку та версію ПЗ, яка пропонується, чи входять оновлення та патчі в період пропозиції, права доступу до вихідного коду (майже завжди відмовлені), зобов'язання з передачі ліцензій третіх сторін, ціноутворення на підтримку та обслуговування як окрему позицію, ліцензійну модель (на робоче місце, на вузол або корпоративну) та будь-які обмеження на субліцензування громадянам третіх країн, що працюють у складі оборонного відомства країни-покупця. Підтримка ПЗ зазвичай пропонується на щорічно поновлюваній основі окремо від початкової позиції придбання.

Які вимоги до контролю кінцевого використання для експортованого оборонного ПЗ?

Програми уряду США Golden Scepter (FMS) та Blue Lantern (DCS) проводять перевірки кінцевого використання експортованих оборонних виробів, включно з ПЗ. Від постачальників очікують співпраці шляхом ведення записів про місця встановлення, кількість користувачів та розгорнуті версії. Для випадків FMS DSCA координує періодичні візити з перевірки після відвантаження, щоб підтвердити, що ПЗ використовується відповідно до дозволу й не було передано неуповноваженим сторонам. Неспроможність вести належні записи або відмова співпрацювати з перевірками кінцевого використання може призвести до відкликання ліцензій, що вплине на весь майбутній експортний бізнес.

Чи можна включити оборонне ПЗ до пакета FMS разом з апаратним забезпеченням?

Так. ПЗ регулярно включають до випадків FMS як основний виріб або як супутній виріб підтримки в комплекті з апаратним забезпеченням. Коли ПЗ є основним виробом, воно отримує власний номер позиції в LOA і підлягає власному огляду ціни та доступності. Коли його включено як супутню підтримку, воно з'являється під позицією апаратного забезпечення, яке воно підтримує. Ключова вимога відповідності полягає в тому, щоб категорія ECCN або USML для ПЗ була правильно визначена й щоб LOA зазначав будь-які обмеження на шляхи оновлення, які вимагали б зміненого випадку або нового LOA, якщо класифікація ПЗ зміниться в майбутній версії.

Які зобов'язання з підтримки в країні супроводжують продаж ПЗ за FMS?

Випадки ПЗ за FMS зазвичай включають підтримку встановлення, навчання операторів та навчання системних адміністраторів, які проводяться в країні. Польові сервісні представники постачальника повинні мати відповідні допуски до безпеки й можуть потребувати перевірки особистої безпеки країни-покупця перед доступом до закритих мереж. Зобов'язання з підтримки включають службу підтримки з визначеними SLA на час реагування, графіки доставки патчів, прив'язані до позиції підтримки в LOA, та зобов'язання повідомити Defense Security Cooperation Agency, якщо відома вразливість може вплинути на операційну безпеку іноземного замовника до появи патча.