Форум Сообщества Практиков Конкурентной разведки (СПКР)

С блога Конкурентная разведка

Андрей Масалович - для Forbes Russia: "Шпион, которого никто не ищет"

Наш друг и коллега, член Сообщества Практиков Конкурентной разведки (СПКР), разработчик программы для мониторинга Интернета "Аваланч" - Андрей Масалович рассказал Forbes Russia о том, как работает в Интернете конкурентная разведка.
Замечательная журналист Forbes Russia Ольга Попова, которая, как мне кажется, знает про конкурентную разведку почти все, написала по итогам бесед с Андреем Масаловичем статью.

Вы увидите в этой статье примеры того, как даже тяжеловесы IT-индустрии могут, помимо своей воли, поделиться конфиденциальными документами со всем миром. Хотя бы уже потому что каждому человеку свободно доступен ответ на вопрос: "Как искать в Гугле?".

Далее - цитата. По сравнению с источником, я лишь добавил скриншоты ряда страниц и документов, к которым отсылает текст - для удобства читателей.


Специалист по конкурентной разведке Андрей Масалович рассказал как узнать секреты Microsoft, адрес рейдеров и найти китайский авианосец

Ольга Попова | 12 июля 2010 21:03

Я объясняю, чем занимается конкурентный разведчик, начиная с простых вещей. Вот две задачки: добраться до конфиденциальных документов самой крутой компании в сфере интернет-безопасности; добраться до конфиденциальных документов самой крутой IT-компании мира.

В качестве самых крутых безопасников выберем «Лабораторию Касперского».

Шаг первый — проверяем порталы их партнеров (обычный источник утечек). Ищем партнера с самым нахальным слоганом (главный источник утечек — гордыня). Находим: партнер Лаборатории Касперского — CheckPoint, их портал www.opsec.com, слоган " The most trusted name in security interoperability ". Проверяем на портале наличие открытых парок. Их наличие проверяется несколькими простыми способами, причем половину черновой работы делает Google.

На сервере обнаруживается довольно много открытых папок. В частности открыта папка с документацией партнеров.



В этой папке среди прочих лежит документ с грифом "Kaspersky Confidential".



Итак, не прошло и трех минут, как мы добрались до конфиденциального документа самой безопасной компании. Кстати, обнаружили залежи еще более любопытных документов — если побродить по открытым папкам этого сервера, мало не покажется.

Как насчет самой крутой IT-компании? В качестве таковой выберем Microsoft, заглянем к ним на сайт www.microsoft.ru. Видим: в адресной строчке появился совсем другой адрес - www.microsoft.com/ru/ru/default.aspx. Т.е. работая в России, компания пересылает нас на сайт, расположенный в Америке.

Так не бывает. Должен у них быть и российский сервер. Давайте его найдем. Для того, чтобы найти скрытый сервер какой-либо компании, проще всего воспользоваться приемом якорных фраз — т.е достаточно странных и необычных выражений, которые употребляет данная компания, и не употребляет кто-либо еще.

Берем любую из находящихся тем же Google презентаций нужной нам компании и выбираем из нее фразу постраннее. Например: "КОРПОРАЦИЯ МАЙКРОСОФТ НЕ ПРЕДОСТАВЛЯЕТ В ЭТОМ ДОКУМЕНТЕ КАКИХ-ЛИБО ГАРАНТИЙ"

Далее набираем в Google эту фразу с поиском по доменной зоне .ru и оказывается, что скопление документов с такой фразой находится на сервере msdb.ru. Наберите этот адрес, и вы увидите, что судя по дизайну, хозяева этого сервера даже не очень представляют себе, что он виден из интернета.

Нет ли на сервере msdb.ru документов с грифом "Microsoft Confidential"? Есть, отвечает Google - штук 20-30...



Конкурентная разведка — это поддержка принятия стратегических решений. Она нужна той передовой трети бизнеса, которая заинтересована в развитии. Для компаний это пропуск в элиту. Многие думают, что конкурентная разведка — это быстро найти информацию об объекте, о котором раньше не слышали. На самом деле, конкурентная разведка — это совокупность из более чем 20 видов задач, среди которых основной является скучный мониторинг.

Сейчас я специализируюсь на том, что устанавливаю программу собственного изобретения и настраиваю так, чтобы дальше ей можно было пользоваться самостоятельно. Она производит мониторинг по видимому и невидимому интернету. Цена оборудования одного рабочего места стоит до 200-300 000 евро. И бизнесмены платят, потому что оно того стоит. К такому рабочему месту инструкция занимает полстранички.

Вы утром посмотрели на экран, там такие папочки. Вот конкуренты, конкретные лица, вот топ-менеджеры, вот технологии, вот объекты интереса. Посмотрел на эти карточки, если они все зеленые, иди работай. Если папочка желтая, загляни, значит, за ночь произошло по этой теме что-то интересное. Если папочка красная, значит, все бросай: угроза бизнесу и репутации. Что-то произошло такое, с чем надо сражаться, разбираться и бежать докладывать начальству.

Какая именно выводится информация? Во-первых, репутационная: негатив, компромат, упоминание первых лиц — на сайтах, в блогах, в кружках нелояльных бывших сотрудников. То есть целый спектр. Второе: все документы с грифом «конфиденциально» ваших конкурентов. Третье: планы развития конкурентов и их незащищенные документы их внутреннего оборота.

Второе направление, которым я занимаюсь: аудит утечек конфиденциальной информации. Не утекло ли что-то? Нет ли предпосылок, что утечет? Организация защиты данных. За три года, что я занимаюсь этой услугой, при предварительной проверке я ни разу не подписал заключение, что утечек не обнаружено. Утечки есть у всех: у маленьких, крупных, у защищенных, у суперзащищенных, у структур спецслужб — у всех.

Бывают случаи, когда меня приглашают разбираться с проблемой рейдерства. Спрашивают: кто на нас наехал и что делать? И зачастую ясно, что если б 3 месяца назад пригласили, система эту угрозу нашла бы — это всё в интернете было. Сейчас захват происходит с соблюдением законов, его нужно готовить, рейдер вольно или невольно в нескольких местах засветится.

В голове клиентов есть иллюзия, что конкурентная разведка — это часть безопасности. Это не часть безопасности, и не часть маркетинга. Это отдельное направление. Руководитель конкурентной разведки должен отчитываться непосредственной первому лицу, потому что его информация определяет ключевые решения фирмы. От размера фирмы необходимость разведки не зависит — она нужна даже на уровне пивного ларька. Выживет он или нет, зависит только от того, правильные ли он будет совершать действия по сравнению с другими конкурентами.

Вот пример, близкий к тем, что часто заказывают конкурентной разведке — поиск реальных владельцев компании. Допустим, мне попадает в руки фирма с названием «Ренинс Нолайф Лимитед».

Я всегда работаю на опережение. Если я вижу что-то важное, но мне не нужное, я это сохраняю, пригодится - жизнь длинная, мир маленький. Я знаю, что у человека есть свойство – он тянет за собой часть ников и паролей. Одинаковые пароли и ники – это хуже, чем пароль 1234. Дело в том, что часть паролей уже есть в открытом доступе. Я дважды в год провожу регламент на проверку утечки паролей. Обычный улов: 3 тысячи компаний, последний улов 5 тысяч компаний, включая 1С, «Аэрофлот», «Инэк», «Коммерсант», «Индепендент Медиа», «Ланит». Их пароли лежат для меня в открытом доступе. Дальше уже вопрос морали, этики, соблюдения закона и оставления улик.

Итак, реальный пример — ищем компанию «Ренинс Нолайф Лимитед», исходя из того, что в интернете на ее вообще ничего нет. Срабатывает опыт: мне название «Ренинс» уже попадалось. Борису Йордану из «Ренессанс страхования» когда-то пришло в голову использовать его для названия своих компаний. С тех пор, как я это увидел в первый раз, запомнил. Итак, у нас уже есть подсказка, что это что-то из империи Йордана, которая включает «Ренессанс страхование» и группу «Спутник».

Далее, известный факт, что ФАС собирает списки предприятий, которые являются монополистами или потенциальными монополистами. А сейчас практически везде империализм, курс на укрупнение. Маленький магазинчик обречен, его поглощают сети. Потенциальные монополисты при каждом чихе обязаны отчитываться: выкладывать большую сводку, в том числе раскрыть свою структуру собственности. И они ее раскрывают, не зная о том, что сервер ФАС один из самых прозрачных, и все, что там лежит, очень легко увидеть. В интернете есть робот, который просто показывает, что именно им сегодня положили.

Итак, мы не нажали еще ни на одну кнопку, а задача уже изменилась. Начиналось все с того, как пробить фирму, о которой нет ни слова в интернете? Сейчас задача уже звучит по-другому: посмотреть, не накопилось ли чего-нибудь новенького с сервера ФАС по поводу последних изменений в структурах группы «Спутник» и «Ренессанс».

Я смотрю в досье и вижу, что есть. Там лежит файл с расширением jpg, и на этой картинке «нарисовано» название фирмы «Ренинс Нолайф Лимитед»…

Конкурентный разведчик должен быть хорошим преферансистом — уметь хорошо просчитывать комбинации. Плюс интерес к делу. Не знаю, как назвать это качество — даже не любознательность, но что-то вроде «радости познания». Нужно немножко технических, программистских знаний, но они даже не вторичны, а третичны. Большую часть времени я пытаюсь решить задачу как аналитик. И только последние десять минут — технические приемы.

Существует пара-тройка институтов, где есть факультеты, где готовят специалистов по конкурентной разведке, есть такая специальность. Но после этого конкурентным разведчиком не станешь, это смешно. Надо наработать опыт. Я бы советовал заниматься маркетингом, аналитикой или безопасностью, но по сути вести себя, как конкурентный разведчик.

Недавно был красивый случай. Я проводил обучение в одном крупном банке Казани. Прошло буквально четыре месяца, они меня снова пригласили. Прилетаю, меня встречает паренек из службы безопасности в новом «мерседесе». Я сажусь, говорю: «Классно! В лотерею выиграл?». Он отвечает: нет, на зарплату купил. Оказывается, их служба безопасности стала делать справки для руководства — с опережением, по своей инициативе — по конкурентной ситуации. Руководство посмотрело и сказало «отлично». Сделали подразделение по конкурентной разведке, парня поставили начальником.

Надо понимать, что конкурентная разведка — рутинная работа с очень низким КПД. Можно неделями стоять на месте. Приведу такой пример.

Задача: китайцы, не сообщая России, хотят построить авианосец — нужно проверить, строят или нет. Длинная задача, на несколько лет.

Как они могут проявиться? Начать скупать истребители… Начинают. Су-33 наши не продают, боятся, что тут же сдерут. Смотрю, пошли у Украины купили прототип Су-33.

Начинаю думать: китайского я не знаю, но, наверное, планами китайцев интересуюсь не только я. Нахожу среди полусотни изданий, которые подключены к вооружениям Восточной Азии, одно – Kanwa Defense, издателем которого служит Андрей Чан. Живет в Канаде, ведет себя, как тайваньский шпион. Придирчивый, очень внимательно следит за Китаем. Но он же не будет писать «Андрюха, у меня для тебя новость…»

Залезаю к нему на сервер. Там есть раздел, куда он регулярно складывает файлы, интересные ему. Начинаю периодически туда заглядывать и делать себе пометки. Проходит три или четыре года, за это время у меня появляется десять пометок.

Первая: пишет «китайцы купили у Украины подержанный авианосец «Адмирал Горшков», перегнали в Макао, объявили, что построят на нем казино и отель с эстетикой старого советского авианосца. Дальше пишет: «проверил, стоит в Макао на рейде, купила туристическая компания, которая действительно владеет отелями и казино». Прошел год: «блин, компания исчезла из каталога фирм». Еще через полгода: «авианосец исчез с рейда из Макао».

Проходит года полтора, новая запись: «в городе таком-то на рейде стоит авианосец, паренек в блоге написал «а что это за хреновина у нас там маячит?» и повесил фотку». Дальше пишет: «На палубе появились люди, что-то переделывают под определенный тип самолета. Предположим, будут покупать Су-33. Но Россия не продает. Значит, надо переделать движок Су-27». И действиетльно начинают переделывать. Он вешает фотографию, сделанную сквозь решетку аэропорта, на которой видно, как в Су-27 вбабахивают новый двигатель.

Это читается, как роман. С одной стороны, задание выполнено. С другой — оно длилось четыре года, в течение которых почти каждый день ничего не происходило.

Я не олимпийский чемпион и даже не мастер — я, скажем так, перворазрядник. Но у меня бизнес построен на том, что остальные плавать не умеют. Чемпионов я знаю — они в России есть. Они не светятся, часть работает в спецслужбах, часть работают частным образом. Эти профессионалы не хакеры — конкурентный разведчик ничего не взламывает. Их можно найти только по сарафанному радио, больше никак.

Конец цитаты.

UPDATED 16/07/2010
Примеры Андрея Масаловича в дополнение к статье в Forbes Russia :

Методы конкурентной разведки могут также помочь:
В улучшении качества интернет-ресурсов (на примере инцидента с Газетой Маркер)

В исправлении ошибок в продвижении (на примере инцидента с Газетой Маркер)

В предотвращении утечек важной информации (на примере инцидента с Газетой Маркер)

В повышении популярности интернет-ресурсов (на примере инцидента с Газетой Маркер)

В оперативном отражении информационных атак (на примере инцидента с Газетой Маркер)

Я думаю, корректно. Это ее адрес: www.forbesrussia.ru/karera/rynok-truda/52723-shpion-kotorogo-nikto-ne-ishchet И он указан как ссылка в тексте "По сравнению с источником, я лишь добавил скриншоты ряда страниц и документов, к которым отсылает текст - для удобства читателей.".
До обеда вчера она была в открытом доступе. В соответстии с правилами, написанными на странице Форбса, при условии ссылки на источник, статью можно размещать. Вчера ее убрали, но автор высказала предположение, что это связано с "воплями", которые дошли до руководства. И что ее должны открыть снова.

CI-KP написал:

[q]

то связано с "воплями"

[/q]

И что за вопли такие ?

[q=Иоанн]И что за вопли такие ? [/q]
А я догадываюсь, какие. Обычные. "Что ж Вы, такие-сякие, всяких мерзавцев учите?"
Я думаю, всем нам приходилось слышать такое не раз.

Иоанн написал:

[q]

И что за вопли такие ?

[/q]

Она не объяснила.
Там у Ольги в посте вообще какой-то то ли теорэтик, то ли непонятливый, то ли прикидывающийся непонятливым товарищ троллит. Посмотрите, если время и желание будет.

Если есть желание - можно ему и тут ответить, процитировав - я переброшу туда. Это если у кого-то нет ЖЖ.
o-berezinskaya.livejournal.com/609877.html
А можно и не обращать на него внимания. Человек, который додумался оценить потери от рейда на предприятие, как всего лишь потерю стоимости бизнеса, уже несерьезный, на мой взгляд. И рейд видевший только в книжках Латыниной. Или - таковым прикидывающийся.

hound написал:

[q]

Вот этого я там что-то не увидел (может, просмотрел?), а мне это интересно. Где это?

[/q]

Вот тут: o-berezinskaya.livejournal.com/609877.html?thread=5345365

комментарий пользователя jktue 2010-07-14 02:15 pm (local)

Сам его пост, о котором я сказал. А ниже - еще есть немного беседа с ним.

Еще до этого поста начал требовать показать ему, как увеличится кэшфлоу от КР. Позиция счетовода, по большому счету. Ему Ольга ответила, что это далеко не всегда так очевидно. Я подтвердил это, и затем рассказал, каким бразом компании приходят (если приходят) к покупкам софта в КР.

Он настаивал на своем (периодически путаясь в своих желаниях - он то про Интернет хотел, то про КР вообще) и делал вид, что ничего не понял из написанного мною.
Я его тогда попросил ответить на четыре простых вопроса, персонифицировав их. Я спросил:

1. Как Вы посчитаете кэшфлоу от восстановления Вашего честного имени?

2. Как Вы посчитаете кэшфлоу от удаления Вашего потенциально опасного
конкурента с рынка до того, как он туда войдет?

3. Как Вы посчитаете кэшфлоу от предотвращенного рейда на Ваше
предприятие?

4. Как Вы посчитаете кэшфлоу от того, что Вас не посадили в тюрьму,
поскольку предотвратили "замыкание цепи", направленной на это?

После этого и появился его пост, ссылку на который я дал.
его ответ на п.3 там: "3. -полная стоимость бизнеса :)). Как вариант ее расчета: планируемые прибыли за будущие периоды с дисконтом процентов 20%. С монетизацией остального также разберемся."

hound написал:

[q]

В принципе - понятно желание все посчитать, только вот мир устроен несколько сложнее.

[/q]

Так он, судя по его блогу, ученый-экономист.

hound написал:

[q]

Ну, тогда его намерение еще более понятно.

[/q]

Как, видимо, и оторванность от практики со всеми ее неприятными нюансами.

[q=CI-KP]Как, видимо, и оторванность от практики со всеми ее неприятными нюансами. [/q]
Бывает так, а бывает и так, что человек просто смотрит со своей колокольни - и ни с какой другой смотреть не желает. Я с Вашего позволения расскажу одну историю.
Несколько лет назад меня пригласили прочитать лекция о рейдерстве - только не смейтесь - для бухгалтеров. Почему им захотелось - хоть убей, не пойму, не знаю, не пытайте, но вот было. После лекции они мне говорят - Вы нас убедили в том, что антирейдеры ничем не лучше рейдеров, и что Ваши модели для нас неприемлемы. Признаюсь, был в шоке - ну, в интернете-то я к этому привык (только вчера меня менты по этому вопросу долбали), но чтобы публично - впервые. И спрашиваю - почему такое мнение сложилось? Они говорят - ну Вам ведь за работу надо платить, плюс операционный бюджет, а это - убытки для компании. Я говорю - ну хорошо, рассматривайте это как убытки, но ведь лучше же потерять часть, чем все. Они говорят - нет, не лучше. С их точки зрения - не лучше.
На мой взгляд, правомерная аналогия с этим экономистом. Ему надо посчитать, а если посчитать невозможно - значит, не годится.

hound написал:

[q]

На мой взгляд, правомерная аналогия с этим экономистом.

[/q]

Да, есть аналогия, я считаю. Но более всего она в том, что если человек оторван от темы, она для него - абстракция.
Он, соответственно, и не может понять того, что ему говорят: у него ни с чем конкретным это не ассоциируется.
А тот факт, что его не зовут, когда не надо посчитать что-либо, создает ощущение, что ничего иного в природе и не существует. Ну, что-то вроде "По данным интернет-опроса, сто процентов опрошенных пользуются Интернетом".

hound написал:

[q]

Один из слушателей говорит - ну, Вы приводите примеры дырявых сайтов, но есть ведь и защищенные, просто нужно спецов грамотных в штате иметь. Андрей ему говорит - хотите, прямо сейчас посмотрим сайт Вашей компании. Тот говорит - давайте, называет адрес сайта. Через 5 минут аудитория валяется от хохота, а задавший вопрос сидит весь белый - там Андрей такую инфу с из сайта вытащил своими методами, что никому мало не покажется.

[/q]

Ну вот поэтому например, стоимость аудитов в некоторых компаниях вполне можно увязывать с затратами на обеспечение безопасности.


CI-KP написал:

[q]

как увеличится кэшфлоу от КР

[/q]

А почему увеличится? Сама постановка вопроса не грамотная. Оно может в принципе изменится, если считать каждый отдельный проект компании и долю участия в нем КР. Например, сведения о новой стратегии рекламной компании конкурента. Использовав данную информацию, можно изменить с учетом нее свою рекламную стратегию, таким образом часть бюджета конкурента будет играть на вас. Вполне осязаемый параметр, который вот пусть такие люди и "считают".
А стратегические цели, про которые Жень ты пишешь, они же не так учитываются на самом деле. Не в кешфлоу, а вдоле рынка например, росте продаж, эффективностях всяких. Ну и так далее.

В комментах у Ольги Поповой развивается порой подлинная феерия:

Один из комментаторов:
> гербалайф какой-то

> малютин правильно говорит - это лохотронщики-впариватели

> 1. в водопроводной воде водятся смертельно опасные для здоровья
> микроклещики (вар. нас повсюду окружает вредоносное ЭМИ-излучение),
> поэтому см. пункт 2

> 2. уникальная оборонная разработка - нанофильтр от Петрика решит все ваши
> проблемы

> ("вероятность найти таким образом, как они описывают, что-то ценное в
> Интернете, равна вероятности найти в лондонском такси забытый кем-то
> ноутбук со сверхсекретной информацией, ну, поскольку она ОЧЕНЬ ценная,
> проверять все такси Лондона начинает иметь смысл", логика примерно такая)

Ольга отвечает:

Мне после этих дрязг автор статьи предложил выложить ссылки на внутренние
документы Маркера... Такое впечатление, что действительно очень мало кто
разбирается в приемах разведчиков и реальной безопасности документов.

И еще оттуда же - от Андрея Масаловича
o-berezinskaya.livejournal.com/609877.html?thread=5346645#t5346645


Ольга, респект за материал. Снимаю шляпу.
Несмотря на вчерашнюю выходку троллей и быстрое закрытие материала осторожными редакторами, Ваш материал попал в Top News - old.topnews.ru/media_id_7557.html и в лидеры блогосферы - yablor.ru/archive/2010-07-13 .
Статью обсуждают на десятке профессиональных форумов, включая не только конкурентных разведчиков, но и банковских аналитиков и даже разведку Украины :-) .
Общий тон – более чем позитивный. Поздравляю!

Маленькая поправка для специалистов. Речь в примере про авианосец, разумеется, идет о Варяге. Просто в первом своем документе Андрей Чан ошибочно обозвал его "Адмирал Горшков" (потом быстро разобрался), я это дословно процитировал, Ольга дословно напечатала.

Кому интересно:
Варяг был выкуплен у Украины аомыньской компанией «Chong Lot Tourist and Amusement Agency» по цене металлолома – за $ 20 млн. долларов (для сравнения: стоимость яхты «Затмение», одной из яхт Романа Абрамовича – чуть более 1 млрд. долларов). Увы, вместе с авианосцем, Киев также передал Пекину комплект технической документации с Черноморского судостроительного завода в Николаеве, на основе которой Китай уже приступил к строительству собственных авианосцев.

После исчезновения с рейда Макао Варяг был обнаружен в Даляне, вот по этому снимку - googis.info/_ph/23/2/875122143.jpg
До марта 2010 года был в сухом доке в Даляне, в марте вышел на большую воду под бортовым номером 83.
Сейчас выглядит так –
2.bp.blogspot.com/_3wZSwFvZzqM/S667-fZkFiI/AAAAAAAAGP4/8KyJLQMotyU/s1600/25_136562_48e984896747c0f.jpg
В строй вступит в этом году под названием Shi Lang (имя китайского генерала, который захватил Тайвань в 1861 году).

Успехов,
Андрей Масалович

P.S. А на тех, которые тут бузили, не обращайте внимания – вчера перед ними действительно стояла срочная задача: любой ценой забанить материал более успешной коллеги, подхватившей топовую тему.
В остальном они вполне вменяемые ребята, постоянно обращаются ко мне за всякими задушевными документами и комментариями. Последнее интервью надысь даже поставили главной новостью– front.marker.ru/news/1015
Да и сервер у них весьма полезен для конкурентной разведки – документы, составляющие служебную и коммерческую тайну, находятся одним кликом (в онлайне :-) )
(Я уже скачал себе переписку по Сколково :-)) )

hound написал:

[q]

Собственно регуляторы тоже не разделяют оптимизма в отношении неконтролируемой подготовки таких специалистов.

[/q]

Интересно, а что регуляторы думают по поводу выхода в отставку "контролируемо подготовленных" "в интересах конкретного заказчика (ФинМониторинга, например)"?
Еще не предложили в спецпоселения отправлять, я надеюсь?
Да и неплохо было бы, как мне кажется, разобраться в том, что именно там понималось под нарушением ФЗ. Неужто, поиск в Гугле?

CI-KP написал:

[q]

Да и неплохо было бы, как мне кажется, разобраться в том, что именно там понималось под нарушением ФЗ. Неужто, поиск в Гугле?

[/q]

Под нарушением ФЗ-152 скоре всего понимался сбор персональных данных без разрешения субъекта, поскольку в ходе КР часто собирается информация о персоналиях
Ответить на это можно так - опубликовав свои данные в Интернет в открытом доступе, человек сделал их категории 4 (общедоступными) со всеми вытекающими последствиями
А вот использование "черных" и "серых" баз - это действительно нарушает ФЗ-152.

Почитал прения. Подивился. Даже вякнул в ответ.... Но не о том речь.

Каки же "не паханные поля" открываются перед конкурентной разведкой.

Анекдот есть такой про ворону, что на крыле самолета летела и пассажира-дебила. Что называется довыеживались. И вновь как всегда особоинициативный умник подставил компанию (и людей в ней).

Вернусь к дискуссии на банкире - что скажете насчет ответа malotavrа?

_ttp://dom.bankir.ru/showpost.php?p=2748088&postcount=411

[q]

[q]

Алексей, а Вы можете ответить, какие конкретно действия специалиста по КР нарушают законодательство (какие законы)?

[/q]

Понятие "нарушение законодательства" приенимо только к административному праву: напимер, орган государственной власти сказал "низзя", а вы на этот запрет наплевали. В рамках административного права никакие действия по сбору и анализу информации из общедоступных источников законодательство не рарушают.

Но кроме административных правоотношений, есть еще, как минимум, конституционное, гражданское и уголовное право с другими принципами правоотношений. В первых двух отраслях действия специалиста могут нарушать установленные законом права третьих лиц, в третьей отрасли они могут оказаться уголовным преступлением.

Примеры:
1. Человек имеет конституционное право на неприкосность частной жизни (статья 23). При этом вы имеете конституционное право право свободно искать, получать, передавать, производить и распространять информацию любым законным способом (статья 29). Противоречие? Ни фига. Как только вы начинаете осуществлять свое конституционное право, вы натыкаетесь на часть 3 статьи 17, которая обязывает вас отказаться от осуществления своего права, если при этом вы нарушите какие-либо конституционные права других лиц. Т.е. поиск любой информации, осносящейся к частной жизни какого-либо лица (а это и места работы, и принадлежности бизнеса и т.п.), будет нарушением конституционных прав этого лица, и вы должны этот поиск прекратить.

2. При сборе персональных данных у вас как у оператора появляется обязанность заручиться согласием субъекта (даже если вы собираете данные, опубликованные в общедоступных источниках - согласие-то давалось только этим источникам, а не вам). Если вы собираете ПД без согласия, вы нарушаете ФЗ-152. Если при этом вы каким-либо образом причините вред субъекту, в силу ГК у вас появится гражданская ответственность перед ним, и эта ответственость заключается в обязанности возместить причиненный вред.

3. Я постоянно привожу этот пример. Сведения о передвижении ядерных боеприпасов - государственная тайна. При этом сведения о передвижении составов с вагонами, перевозящими ядерные боеприпасы - общедоступная информация (ставите видеокамеры на каждой стрелке и наблюдаете, спецвагоны несложно отличить от остальных). При этом по совокупности сведений второй категории вы легко получите сведения первой категории. А это, при наличии умысла на помощь представителям иностранного государства, квалифицируется либо как государственная измена, либо как шпионаж - в зависимости от вашего гражданства.

Т.е. дело не в конкретных ваших действиях, а в том что эти действия сами по себе могут нарушать законные интересы государства или третьих лиц. Это как огнестрельное оружие у граждан - оно, вроде, и для законной самозащиты прав, а опасно.

[/q]

Что я думаю по этому поводу.


malotavr написал:

[q]

поиск любой информации, осносящейся к частной жизни какого-либо лица (а это и места работы, и принадлежности бизнеса и т.п.), будет нарушением конституционных прав этого лица, и вы должны этот поиск прекратить.

[/q]

Нифига (с) его. Я, например, намеренно размещаю информацию о своем месте работы, а также некоторую контактную информацию. И совершенно не желаю, чтобы кто-то прекратил ее поиск. Если я буду этого желать, я попрошу Яндекс, Гугл и владельца сайта убрать эту информацию. Т.е., объявлю это моей частной жизнью и приму меры к ее защите.

А уж как далеко или глубоко автора того комментария пошлет в эротическое путешествие человек, размещающий на работном сайте свое резюме - можно только догадываться.



malotavr написал:

[q]

При сборе персональных данных у вас как у оператора появляется обязанность заручиться согласием субъекта (даже если вы собираете данные, опубликованные в общедоступных источниках - согласие-то давалось только этим источникам, а не вам). Если вы собираете ПД без согласия, вы нарушаете ФЗ-152. Если при этом вы каким-либо образом причините вред субъекту, в силу ГК у вас появится гражданская ответственность перед ним, и эта ответственость заключается в обязанности возместить причиненный вред.

[/q]

Насколько я помню ФЗ, там прямо сказано, что если сведения получены из общедоступных источников - то проблемы не возникает. Я неправ? И уж точно нет согласия субъекта Гуглу на - заметьте, автоматизированную - обработку.


malotavr написал:

[q]

А это, при наличии умысла на помощь представителям иностранного государства, квалифицируется либо как государственная измена, либо как шпионаж - в зависимости от вашего гражданства.

[/q]

Угу. Вот только решение принимают эксперты - в ходе предварительного следствия и судебного заседания. Ответственность не наступает сама по себе. И крайне тяжело привлечь к ней того, кто никогда никаких допусков не имел.
Это - если не считать сущей мелочи: прямого запрета применения уголовного законодательства по аналогии - что записано в Общей части УК. Так - пустячок, конечно, для любителей теоретизировать о законодательстве.

Ну и еще один момент. Законодательство РФ прямо предусматривает приоритет международного законодательства над национальным - я ничего не путаю? Так вот, наш ФЗ, написанный как раз для приведения в соответствие с международными нормами, вряд ли от них может отличаться. Покажите мне за рубежом запрет искать в Гугле, плиз.

Vinni написал:

[q]

Вернусь к дискуссии на банкире - что скажете насчет ответа malotavrа?

[/q]

Стоило уйти в отпуск и ...

У malotavr-а ключевая ошибка в п.3 - см. мой ответ в теме

ссылка в тему - _ttp://www.anti-malware.ru/news/2011-07-26/4374
дело А. Масаловича живет и процветает...

[q]

Специалисты проанализировали более 10 миллионов нападений, которым с января по май текущего года подвергались Интернет-ресурсы крупных предприятий и государственных ведомств. В результате были сделаны очевидные выводы (злоумышленники активно используют вредоносные сети и другие возможности автоматизации для наращивания объемов атак), однако сами статистические выкладки представляют определенный интерес.

Итак: в среднем крупный бизнес получает по 27 нападений, направленных против его веб-представительства, в течение одной минуты. Технологии автоматизации, о которых было сказано выше, позволяют злоумышленникам достигать существенных результатов: семь атак в секунду, около 25 тыс. - в час. При этом не всегда используются сложные программные комплексы - часто нападения на значительное количество целей инициируются относительно простым скриптом, который при желании и умении можно даже найти в Интернете в готовом виде. Часто при организации атак используется система проверки веб-приложений на уязвимости Metasploit.

Наиболее распространенным методом атаки аналитики Imperva назвали обход каталогов - попытку обнаружить на целевом сервере файлы, изначально не предназначенные для публичного обозрения, однако оказавшиеся общедоступными в результате задания ошибочных разрешений и прав. На долю этого типа вредоносной деятельности взломщиков пришлось 37% от общего количества нападений. Следом с отставанием всего в один процент идет межсайтовое исполнение сценариев (XSS), а "почетное" третье место заняли SQL-инъекции (23%). При этом различные разновидности атак часто используются злоумышленниками совместно - например, тот же обход каталогов активно применяется в качестве своеобразного "разведывательного" средства, позволяющего определить, какие орудия из вредоносного арсенала целесообразно использовать в дальнейшем.
...

[/q]