Базовые принципы конкурентной бизнес-разведки в OSINT

До эпохи Интернета разведка и спецслужбы получали до 80% информации из открытых источников — газет, радио и телевидения. С развитием технологий многократно увеличилось не только количество источников, подходящих для сбора данных, но и объемы общедоступной информации, а разведывательная деятельность перестала быть прерогативой лишь госслужб. Конкурентная разведка в OSINT — один из важнейших инструментов ведения успешного бизнеса. Она позволяет принимать более взвешенные и эффективные управленческие решения на основе анализа собранных из открытых источников данных о партнерах, конкурентах и текущей ситуации на рынке. Рассмотрим, какие источники информации допустимо использовать в конкурентной разведки с точки зрения базовых принципов OSINT и законодательства, а, главное, как их можно применить на практике.

Что такое OSINT?

OSINT, или Open Source INTelligence — это сбор информации из открытых источников. Таковыми могут быть личные профили и группы в социальных сетях, открытые базы данных компаний и госучреждений, публикации в онлайн- и оффлайн-изданиях, информационные сайты, сайты с отзывами. Для анализа не обязательно быть хакером и разбираться со сложными программами — на базовом уровне сбор информации можно провести при помощи привычного поисковика.

Важно отметить, что принципы OSINT предполагают использование только тех данных, что были добыты законным путем. Если мы говорим о личных данных пользователей, то предполагается, что они сами их опубликовали или дали согласие на их сбор и обработку. Информация о компаниях также должна быть публичной, недопустимо использовать данные, полученные незаконным путем — взломом баз данных и информационных систем, в результате несанкционированных утечек и т.п. К счастью, это и не требуется — законным путем, как правило, удается собрать достаточное количество информации для составления портрета человека или компании. 

Применение OSINT в бизнесе

OSINT часто используется в бизнесе для принятия управленческих решений, оценки рыночной ситуации, поиска информации о конкурентах и потенциальных партнерах. Часто ко мне обращаются с такими запросами, касающимися бизнес-разведки и OSINT:

• мониторинг тенденций бизнес-среды — с помощью анализа данных из открытых источников изучаю ситуацию на рынке, отслеживаю появление новых продуктов, услуг или конкурентных компаний;
• повышение осведомленности о планах конкурентов — ищу скрытые действия, такие как подготовка к открытию филиала или начало курса повышения квалификации их сотрудников;
• проверка контрагентов, с которыми работает компания — выясняю, нет ли у них задолженностей, судимостей, подозрений в мошенничестве или неблагоприятной репутации;
• поиск новых партнеров или клиентов из B2B-сегмента — ищу компании на рынке, с которыми можно сотрудничать, составляю их портрет для того, чтобы сделать предложение о сотрудничестве более персонализированным;
• оценка репутации — составляю портрет компании на основании открытой информации, чтобы клиент мог посмотреть на свой бренд “со стороны” и понять, какие шаги нужно предпринять для улучшения имиджа.

Как это выглядит на практике? Например, вы нанимаете нового сотрудника и хотите удостовериться в его благонадежности — не является ли он шпионом конкурентов, не имеет ли судимостей, заложенностей, не обладает ли репутацией, которая не соответствует политике компании. В этом случае будет использоваться поиск по базам данных, соцсетям, информации на сайтах конкурентов. 

Еще один вариант — проверка репутации потенциального работодателя или бизнес-партнера. Его можно проверить на наличие судимостей, найти в интернете информацию о его компании, удостовериться, зарегистрирована фирма как юрлицо, выяснить, участвовала ли она в судебных разбирательствах. Также имеет смысл найти группы или каналы по типу “Черный список”, где исполнители выкладывают информацию о мошенниках и неблагонадежных заказчиках.

Бизнес-задачи конкурентной разведки OSINT

Типичные бизнес-задачи, решаемые посредством конкурентной разведки:

• сбор информации об участниках тендера для получения преимущества;
• оценка эффективности маркетинговых кампаний конкурентов;
• принятие управленческих решений, например, об инвестициях или прекращении партнерства;
• оценка имиджа компании в глазах конкурентов, партнеров, инвесторов, госорганов, потенциальных клиентов;
• выявление скрытых тенденций в отрасли и поиск возможностей, которые могут быть использованы с опережением конкурентов;
• раннее обнаружение скрытых угроз рынка, например, новых конкурентов, высокотехнологичных продуктов;
• поиск возможностей для слияния компаний или приобретения новой собственности, например, недвижимости, акций, доли в бизнесе;
• ранняя оценка общей ситуации в политике и экономике и выявление рисков, например, колебания курса валют, введение санкций, изменения в законодательстве;
• проверка информации о новых и действующих сотрудниках, оценка уровня их добросовестности и благонадежности;
• поиск источников утечки закрытой информации из компании, проверка наличия шпионов от конкурентов;

Что нельзя использовать в разведке?

Несмотря на легальность OSINT, при сборе информации есть риск ненамеренно нарушить закон — такие ошибки часто совершают новички, которые еще не знают, какие данные использовать можно, какие — нет. За такие действия грозит уголовная ответственность — ее регулируют статьи 137 и 138 УК РФ, поэтому следует отдельно остановиться на том, какие действия запрещены, и как обезопаситься себя от случайного нарушения закона.

Запрещенные методы

Главный принцип OSINT — это использование открытых законных данных, которые не нарушают конфиденциальность других пользователей интернета. Подкуп должностных лиц или администраторов сайтов на доступ к информации, хакерские взломы, использование утечек данных — это незаконная деятельность, не имеющая отношения к OSINT. Фотография, выложенная на странице в соцсети, может использоваться для анализа, а утекшее изображение из частной переписки — нет.

Ответственность за такие действия серьезная — вплоть до штрафа в 200 тысяч и лишения свободы на срок до 2 лет. Под действие закона попадает не только использование и распространение данных, но и просто сбор в личных целях.

Как не нарушить закон?

Даже если вы не собираетесь взламывать чужие страницы или нанимать хакера для сбора информации о конкурентах, есть риск использовать те данные, которые были выложены в открытый доступ в результате утечки. Чтобы избежать таких ситуаций, следует избегать сомнительных источников — например, использовать официальную базу судебных приставов безопасно, а неофициальные ресурсы с таким же названием — нет.

Следует всегда использовать официальные и надежные источники. Критически оценивайте полученную информацию: например, если вы находите данные паспорта или банковских счетов, фрагменты переписок, факты из частной жизни, компрометирующие фото — скорее всего, это результат взлома или утечки. Его нельзя ни хранить, ни использовать в отчетах.

Источники информации для OSINT

Разведку ОСИНТ по открытым источникам можно провести без специального софта — достаточно вооружиться поисковиком и доступными сайтами. Для подготовки к сбору информации можно придерживаться следующего плана действий:

• определите цель исследования — что вы хотите найти, какую информацию стоит подтвердить или опровергнуть;
• структурируйте данные, которыми вы располагаете — например, ФИО, дата рождения, номер телефона, ссылки на соцсети, почта, никнеймы;
• выясните, какой информации не хватает для полноценного исследования — например, отчества, номера или email;
• подготовьте площадку для записи данных — можно использовать таблицу Exсel или Word, главное, чтобы вся информация была наглядной и не потерялась.

После этого, в зависимости от целей и количества исходной информации, скурпулезно подбирайте источники, которыми будете пользоваться во время разведки. Помните об озвученных базовых принципах OSINT.

Базы данных

Базы данных госучреждений — это законные и достоверные источники, по которым можно проверить наличие у человека задолженностей, а также регистрацию и статус налогоплательщика. На практике очень полезны и универсальны следующие базы:

• База судебных приставов. Позволяет проверить, есть ли у человека непогашенные задолженности перед банками, государством или кредиторами. Обычные кредиты в список не включаются, а после того, как долг закрыт, запись из базы удаляется. Для поиска физлиц понадобится ФИО, юрлиц — наименование фирмы. Также можно искать по номеру исполнительного производства, исполнительного документа или ИНН юрлица. 
• Реестр юридических лиц и ИП. Позволяет узнать, состоит ли фирма или человек на учете Едином государственном реестре. Для поиска понадобится наименование юрлица или ФИО ИП, а также регион регистрации. 

Через базу судебных приставов я проверяю благонадежность человека — нет ли у него долгов по кредитам, штрафам или алиментам. Поиск в Едином государственном реестре сообщает, официально ли работает фирма или человек — если записи в реестре нет, то контрагент может оказаться мошенником. 

Соцсети

Для поиска в соцсетях понадобится только имя и фамилия. Если вы проверяете соискателей, то можете попросить добавлять ссылку в резюме. Вот что можно проверять на странице в соцсети:

• фото и видео на стене, содержание записей;
• подписки на паблики — там можно выяснить увлечения человека, обнаружить группы конкурентов или нежелательный контент;
• список друзей — внимание стоит обращать на однофамильцев, это могут быть члены семьи;
• люди, проявляющие активность на странице — лайки и комментарии чаще всего получают от близких друзей;
• дата регистрации и количество информации — если страницу завели недавно или на ней почти нет активности, высока вероятность, что у человека есть другие аккаунты, возможно, под другим именем;
• упоминания в других постах ВК — для этого в глобальном поиске записей нужно ввести символ “*” и адрес страницы после vk.com.

Проблема соцсетей заключается в том, что не все указывают настоящие данные. Можно попробовать загрузить фото человека в поисковик или воспользоваться доступными сайтами по поиску лиц. Также можно воспользоваться расширенным поиском в Яндексе или Google по нику из Telegram или электронной почты, указав в качестве указав адрес сайта социальной сети с помощью директивы “site” в начале запроса, к примеру, для VK получится запрос вида “site:vk.com username”, где username — искомый ник.

Группы и сайты с отзывами 

Этот вариант подходит, когда нужно найти информацию о компании — например, о потенциальном работодателе, партнере или конкуренте. Данные можно искать на картах от Google и Яндекс, на агрегаторах отзывов, таких как Irecommend или Otzovik, на сайтах, которые автоматически анализируют информацию и предоставляют рейтинг компании. Можно проверить наличие отрицательных откликов — для этого можно воспользоваться специальными группами. Чаще всего они называются “Черный список + название города или сферы деятельности”, например, “Черный список Томск” или “Черный список фриланс”. В поиске по группе нужно ввести название компании — результат будет, если кто-то упоминал ее в записях или в комментариях. Там можно найти более точную и объективную информацию — чаще всего такие паблики модерируются энтузиастами, которые не размещают заведомо проплаченные отзывы и не удаляют негатив из комментариев по требованию обвиняемой компании.

Можно ли защититься от сбора данных

Полностью скрыть информацию о себе нельзя — цифровой след остается даже во время повседневных операций в интернете. В большинстве случаев это и не нужно — если вы не замешаны в мошенничестве или у вас нет задолженностей, то потенциальные клиенты или работодатели не найдут ничего компрометирующего. Чтобы убедиться в этом, можете проверить информацию — провести OSINT-разведку о своей компании. Иногда в базы попадают неверные данные — например, когда долг уже погашен, но соответствующая запись еще не сделана. В этом случае можно обратиться в соответствующую инстанцию с просьбой обновить информацию.

Бывают ситуации, когда выложенные в открытый доступ данные играют против вас. Чтобы избежать такого, следите за контентом, который размещается в соцсетях, блогах и каналах. Даже если вы тщательно фильтруете информацию, которую выкладываете на свои страницы, при разведке могут проверить профили ваших родственников и друзей. 

То же самое касается и имиджа всей компании — она зависит и от репутации сотрудников, и от отзывов клиентов. Нужно проводить разведку регулярно — это можно делать вручную или нанимать специалиста по OSINT. Негативные и несправедливые публикации можно законно удалить или ответить на них так, чтобы “лицо” компании в глазах потенциальных покупателей не пострадало. Мониторить имеет смысл и личные личные страницы сотрудников в соцсетях, порой это позволяет выявить источники утечки информации, составляющей коммерческую тайну вашей компании и наносящей вред вашему бизнесу.

Подведем итог

Бизнес-разведка — это важный источник данных, анализ которых поможет повысить качество управленческих решений и сделать ваш бизнес эффективнее. Пренебрегать им нельзя. Однако, при поиске информации следует помнить о главном принципе OSINT — не использовать данные, добытые незаконным путем, такие как взломы и утечки. Можно пользоваться информацией из официальных баз и соцсетей, поиском по никнеймам и названиям фирм — это позволит составить полное впечатление и при этом не нарушить закон. А чтобы проверить, нет ли в интернете данных, угрожающих вашей деловой репутации или репутации вашей компании можно воспользоваться тем же алгоритмом действий, что и при сборе данных о конкурентах.