Форум Сообщества Практиков Конкурентной разведки (СПКР)

А насколько приемлимо использовать приемы социальной инженерии в конкурентной разведке? Сам я КР только начал интересоваться, так как тема смежная с моей (я информационной безопасностью занимаюсь) и пока только изучаю литературу по КР.
Были случаи когда при проведении тестов на проникновение приходилось проникать куда-либо с целью подключиться к сети со всем сопутствующим.

Пример: Большая компания, сеть филиалов. В головном офисе сидят айтишники компании и иногда, периодически выезжают на объекты, что-то сделать, что-то поменять. Знаю как зовут руководителя айти-подрзделения, выясняю номер телефона одного магазина, звоню заведующей магазина, представляюсь новым сотрудником, мой руководитель - Имя Отчество отправил меня к вам что-то перенастроить и т.д. и просил позвонить, узнать, нет ли каких других проблем что бы попутно сделать, но для этого мне нужно знать что захватить из офиса. В процессе беседы по телефону всячески втираюсь в доверие проявляя сочуствие по поводу их компьютерных проблем.
Приезжаю, встречают как родного)) Решаю их проблемы, попутно выясняя где что лежит. Сливаю необходимое, пью чай, прощаюсь и ухожу.

В данном случае, ситуация попадает под правонарушение? Я полагаю что да, но в то же время была получена масса информации, как устно, так и в виде баз данных. Насколько приемлимо использование подобных приемов в КР?

Использование подобных приемов в КР неэтично. Вы представились другим человеком.

Вы описали один из методов ПШ, а не КР.

dr_kennel написал:

[q]

при проведении тестов на проникновение

[/q]

dr_kennel написал:

[q]

целью подключиться к сети со всем сопутствующим.

[/q]

Я не совсем понял - Вы подключались к чужой сети без ведома и согласия ее владельца? Или тест - это типа аудита - когда владелец тестирует дыры в собственной защите?

Если сеть чужая, то посмотрите это:

УК РФ
Статья 272. Неправомерный доступ к компьютерной информации
1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, —
наказывается штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.
2. То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, —
наказывается штрафом в размере от пятисот до восьмисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от пяти до восьми месяцев, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет.



dr_kennel написал:

[q]

А я должен был представиться тем кто есть и зачем пришел? В КР только так?

[/q]

Нет. Не совсем. Вы без проблем можете назваться кем угодно, но при дном условии - что Вы действительно имеете для этого формальные основания. Для этого их надо создать.

В принципе, если Вы представляетесь другим человеком, то это не преступление (если конечно не представляетесь сотрудником правоохранительных органов или спецслужб). Это этическое нарушение, причем для нашей страны само по себе не очень существенное. Но иногда потенциально опасное. Что это значит?

1. Могут быть репутационные риски - когда у СМИ появится возможность начать поливать Вашу компанию грязью. Которая - только начни - затем будет копиться и может вылиться в серьезные проблемы. Когда начнут с этого факта, а потом закончат чем-то более серьезным. Вроде: "Кстати, напомним, что эта компания уже не раз проходила в оперативных сводках, в связи я громким делом по контрабанде кукурузы из Антарктиды". Это надо принимать во внимание при планировании мероприятия.

2. Если окажется, что те сведения, к которым Вы так получили доступ, защищены коммерческой тайной, и если при этом Вы попадетесь, то Вам будет крайне трудно объяснить, что вы проделали все эти мероприятия, просто проходя мимо. И совершенно неумышленно. Это уже тоже статья.

Но посмотрите еще раз на то, как подстраховывался человек в случае, когда хотел избежать mispresentation:
forum.razved.info/index.php?t=18

Нарушать закон невыгодно по двум (как минимум) причинам:

1. Вы привлекаете внимание в случае, если что-то пойдет не по плану. И нарушается принцип скрытности

2. Вы работать долго не сможете. Потому что работаете "до первого милиционера", то бишь до первого прокола.

В то же время, практически всегда можно достичь тех же результатов без нарушения закона. Надо просто немного подумать. Это и есть профессионализм, по большому счету.

dr_kennel написал:

[q]

Естественно такой заказ делает либо сам владелец либо, что чаще, СБ предприятия.

[/q]

Если это заказ владельца и он правильно юридически оформлен, то я не вижу проблемы


dr_kennel написал:

[q]

ПШ (но опять таки это вопрос как понимается КР в головах бизнесменов)

[/q]

Если Вы о ПШ (промышленном шпионаже), то это вопрос закона, а не головы бизнесменов. Закон или нарушен, или нет. Причем во многих случаях одни и те же действия могут быть законными или незаконными, в зависимости от того, как они оформлены.

Если же вы имели в виду незаконодательные ограничители, то тут не все так просто. Ваше мнение в данном случае не столь существенно. Существенно мнение "общественности", а реально - интереса или отсутствия интереса прессы (прежде всего - "желтой") к тому, на чем Вы попались.