Форум Сообщества Практиков Конкурентной разведки (СПКР)

Я считаю, что никакое нарушение УК недопустимо, а вот административные правонарушения в ряде случаев допустимы.
Приведу пример.
Когда произошел "банковский кризис доверия", Альфа из-за известной статьи в Коммерсанте чуть не обрушилась. Но - начала разъяснительную информаработу и параллельно - ввела драконовские меры для вкладчиков - они могли забирать депозиты с 10% дисконтом. Это дало свои результаты - ажиотаж был сбит. Но многие вкладчики, все же забравшие свои депозиты с 10% дисконтом, подали в суд на Альфу - и та им возместила потери.
Подобные действия я считаю допустимыми.

Собственно, в осенний банковский кризис эти нарушения стали чуть не нормой для банков.
Особенно, учитывая негласное распоряжение по ЦБ.

[q=Генрих Лемке]
, Нарушение законов при осуществлении КР недопустимо.Тут, правда, есть одна лазейка - разведка старается работать вообще вне правового поля, т.е. в той правовой зоне, которая законами не регулируется вовсе и используя лакуны в законодательстве.Любое нарушение устоявшегося порядка (неважно, уголовного или административного характера) - это "возмущение" существующих на данный момент условий, особенно, когда можно заподозрить чей-то злой умысел или волю (а, следовательно, начать расследование и розыск подозреваемого) - очень часто (вернее, в подавляющем большинстве случаев) это не способствует СКРЫТНОСТИ разведывательной деятельности.В то время, как стабильная обстановка позволяет разведке делать своё дело абсолютно незаметно для окружающих и наиболее эффективно.. [/q]

Согласен. Собственно даже нарушение ПДД или совсем банально - проезд без билета, просто нарушение привычных бытовых норм УЖЕ не способствуют скрытности проведения мероприятий в классическом понимании разведки.

Рискну вызвать бурю гнева, но вот какая штука. Собственно это не я придумал - см. вузовские учебники. В любой системе законодательства, помимо собственно норм (статей), существуют основополагающие принципы, так сказать общая идея, направленность. В частности имеется такое понятие, как "крайняя необходимость". И его суть, как принципа - совершение формально противозаконных действий, однако предотвращающих существенно больший вред , не является преступлением. Я повторяю, речь идет не о статье УК, а о принципе, подходе.

Я не исключаю, что на некотором усредненном предприятии задачи КР интегрированы в общий пласт работы СБ, соответственно может возникнуть ситуация, когда формально нарушая некоторые нормы, исполнитель предотвращает существенно больший вред, в т.ч. и в плане нарушения законодательства другими лицами.

В частности может быть поставлена задача разведывательного характера в контексте мероприятий по предотвращению агрессивно-преступных действий другой стороны. Вполне возможно, что при этом имеется серьезный цейтнот по времени. Вполне возможно, что ресурсы ограничены, а также существует реальная угроза коррумпированного участия правоохранителей и пр.органов власти.

Мне кажется, что подход, описанный в законодателем как действия в ситуации крайней необходимости в таком разарезе не нарушает этических норм, не вредит репутации и "тактически оправдан".

Уважаемые коллеги, возможно, мне удалось достаточно четко донести своию мысль. Собственно, я имел в виду следующее.
Мне нередко приходилось сталкиваться вот с чем. Разрабатывается некая программа действий, она идет на экспертизу к к юристам. И юристы говорят - не пойдет, жто нельзя потому-то, а то нельзя потому-то. Начинаешь разбираться -оказывается, что да, нельзя, но вот за это конкретное нарушение отнюдь не статья УК, и просто, к примеру, административный штраф. И вот в ряде случаев, на мой взгляд, такие нарушения вполне оправданны - когда наказание не слишком суровое - небьольшой штраф - но в реализации стратегии можно продвинуться достаточно серьезно.

[q=hound]
Уважаемые коллеги, возможно, мне удалось достаточно четко донести своию мысль. Собственно, я имел в виду следующее.Мне нередко приходилось сталкиваться вот с чем. Разрабатывается некая программа действий, она идет на экспертизу к к юристам. И юристы говорят - не пойдет, жто нельзя потому-то, а то нельзя потому-то. Начинаешь разбираться -оказывается, что да, нельзя, но вот за это конкретное нарушение отнюдь не статья УК, и просто, к примеру, административный штраф. И вот в ряде случаев, на мой взгляд, такие нарушения вполне оправданны - когда наказание не слишком суровое - небьольшой штраф - но в реализации стратегии можно продвинуться достаточно серьезно. [/q]

Собственно речь о другом. Подход по принципу "а что будет" вполне оправдан в юридическом смысле. НО. В долговременной работе, связанной с получением информации, лучше не светиться никак - даже, как я уже писал, не нарушая ПДД, не нервируя соседей и вообще не фиксируя внимание третьих лиц. И вопрос здесь в эффективности мероприятий. а не в возможных процессуальных последствиях.

Тихонов написал:

[q]

В разгар конкурентных разборок сотрудники СБ спровоцировали автомобильную аварию без тяжелых (да собственно вообще без каких-то заметных последствий)

[/q]

Я считаю, что приведен не самый удачный пример. У нас нет законов, в котором было бы написано, что нельзя наезжать на чужие автомобили. Законодательство допускает аварии, но требует возмещения ущерба потерпевшему. В приведенном случае потерпевшему был возмещен ущерб (не сотрудниками СБ, так страховой компанией), а значит закон не нарушен.

Согласен, что приведенный пример не совсем удачен. Наезд и разведка вещи не совместимые. Ведь не только вы выяснили "любопытного", но и вас срисовала, и на этом разведка закончилась. Расшифровка всегда считалась расшифровкой, как бы ее не пытались преподнести руководителю. Может иногда стоит немного потерпеть и любопытный сам нарвется на неприятность или "поделится" другой информацией, когда начнет думать что выполнил работу и имеет полное право расслабиться. В итоге совесть чиста, закон не нарушен и главное сон крепкий.

А насколько приемлимо использовать приемы социальной инженерии в конкурентной разведке? Сам я КР только начал интересоваться, так как тема смежная с моей (я информационной безопасностью занимаюсь) и пока только изучаю литературу по КР.
Были случаи когда при проведении тестов на проникновение приходилось проникать куда-либо с целью подключиться к сети со всем сопутствующим.

Пример: Большая компания, сеть филиалов. В головном офисе сидят айтишники компании и иногда, периодически выезжают на объекты, что-то сделать, что-то поменять. Знаю как зовут руководителя айти-подрзделения, выясняю номер телефона одного магазина, звоню заведующей магазина, представляюсь новым сотрудником, мой руководитель - Имя Отчество отправил меня к вам что-то перенастроить и т.д. и просил позвонить, узнать, нет ли каких других проблем что бы попутно сделать, но для этого мне нужно знать что захватить из офиса. В процессе беседы по телефону всячески втираюсь в доверие проявляя сочуствие по поводу их компьютерных проблем.
Приезжаю, встречают как родного)) Решаю их проблемы, попутно выясняя где что лежит. Сливаю необходимое, пью чай, прощаюсь и ухожу.

В данном случае, ситуация попадает под правонарушение? Я полагаю что да, но в то же время была получена масса информации, как устно, так и в виде баз данных. Насколько приемлимо использование подобных приемов в КР?

Использование подобных приемов в КР неэтично. Вы представились другим человеком.

Вы описали один из методов ПШ, а не КР.

dr_kennel написал:

[q]

при проведении тестов на проникновение

[/q]

dr_kennel написал:

[q]

целью подключиться к сети со всем сопутствующим.

[/q]

Я не совсем понял - Вы подключались к чужой сети без ведома и согласия ее владельца? Или тест - это типа аудита - когда владелец тестирует дыры в собственной защите?

Если сеть чужая, то посмотрите это:

УК РФ
Статья 272. Неправомерный доступ к компьютерной информации
1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, —
наказывается штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.
2. То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, —
наказывается штрафом в размере от пятисот до восьмисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от пяти до восьми месяцев, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет.



dr_kennel написал:

[q]

А я должен был представиться тем кто есть и зачем пришел? В КР только так?

[/q]

Нет. Не совсем. Вы без проблем можете назваться кем угодно, но при дном условии - что Вы действительно имеете для этого формальные основания. Для этого их надо создать.

В принципе, если Вы представляетесь другим человеком, то это не преступление (если конечно не представляетесь сотрудником правоохранительных органов или спецслужб). Это этическое нарушение, причем для нашей страны само по себе не очень существенное. Но иногда потенциально опасное. Что это значит?

1. Могут быть репутационные риски - когда у СМИ появится возможность начать поливать Вашу компанию грязью. Которая - только начни - затем будет копиться и может вылиться в серьезные проблемы. Когда начнут с этого факта, а потом закончат чем-то более серьезным. Вроде: "Кстати, напомним, что эта компания уже не раз проходила в оперативных сводках, в связи я громким делом по контрабанде кукурузы из Антарктиды". Это надо принимать во внимание при планировании мероприятия.

2. Если окажется, что те сведения, к которым Вы так получили доступ, защищены коммерческой тайной, и если при этом Вы попадетесь, то Вам будет крайне трудно объяснить, что вы проделали все эти мероприятия, просто проходя мимо. И совершенно неумышленно. Это уже тоже статья.

Но посмотрите еще раз на то, как подстраховывался человек в случае, когда хотел избежать mispresentation:
forum.razved.info/index.php?t=18

Нарушать закон невыгодно по двум (как минимум) причинам:

1. Вы привлекаете внимание в случае, если что-то пойдет не по плану. И нарушается принцип скрытности

2. Вы работать долго не сможете. Потому что работаете "до первого милиционера", то бишь до первого прокола.

В то же время, практически всегда можно достичь тех же результатов без нарушения закона. Надо просто немного подумать. Это и есть профессионализм, по большому счету.

dr_kennel написал:

[q]

Естественно такой заказ делает либо сам владелец либо, что чаще, СБ предприятия.

[/q]

Если это заказ владельца и он правильно юридически оформлен, то я не вижу проблемы


dr_kennel написал:

[q]

ПШ (но опять таки это вопрос как понимается КР в головах бизнесменов)

[/q]

Если Вы о ПШ (промышленном шпионаже), то это вопрос закона, а не головы бизнесменов. Закон или нарушен, или нет. Причем во многих случаях одни и те же действия могут быть законными или незаконными, в зависимости от того, как они оформлены.

Если же вы имели в виду незаконодательные ограничители, то тут не все так просто. Ваше мнение в данном случае не столь существенно. Существенно мнение "общественности", а реально - интереса или отсутствия интереса прессы (прежде всего - "желтой") к тому, на чем Вы попались.

А некоторые мои коллеги говорят. что лучше подходит статья по ОПГ (номер не помню, сорри). Не один же Вы...

О! Экстаз вообще :о)) А не будет ли Вам сложно, еще раз перечитать сообщение, и указать те моменты, где я "подозревал" Вас в проведении PCI DSS ? А не просто упомянул его в качестве одного из примеров? Мне как бы мало интересно на самом деле, так что вполне пойму, если Вы не обратите внимание на мой вопрос, корректный Вы наш. А вот осветить подробней, где же, пускай не в семействе ISO/IEC 27001, пускай даже в BSS, есть требования или рекомендации по использованию вот этой "социальной инженерии", как Вы выразились. Чувствую какой-то пробел громадный в подготовке, очень грустно это :о))) Хотя признаться честно, не участвовал ни разу в аудит СУИБ поставленного по ISO/IEC 27001.

Приятно мне читать то, что я вообще не понимаю.
Ну не 159-я, конечно. но чел явно мыслит в этом направлении.
Просто мелко.

dr_kennel написал:

[q]

это уже ПШ (но опять таки это вопрос как понимается КР в головах бизнесменов).

[/q]

В голове бизнесмена это может пониматься хоть как. Даже, как невинный розыгрыш конкурента. Это ж не его, если что, возьмут за филей, когда тот будет незаконно инфу сливать. Бизнесмен, ясно дело, не лох печальный - письменных договоров на незаконную добычу информации с исполнителем не станет заключать. И на очной ставке ничего не подтвердит. Так что, вариант "старший приказал!" тут никак не пройдет, а потому: "...признал виновным в совершении преступления, предусмотренного статьей 272 Уголовного кодекса Российской Федерации и приговорил..."

[q=МВЛ]
Согласен, что приведенный пример не совсем удачен. Наезд и разведка вещи не совместимые. Ведь не только вы выяснили "любопытного", но и вас срисовала, и на этом разведка закончилась. Расшифровка всегда считалась расшифровкой, как бы ее не пытались преподнести руководителю. Может иногда стоит немного потерпеть и любопытный сам нарвется на неприятность или "поделится" другой информацией, когда начнет думать что выполнил работу и имеет полное право расслабиться. В итоге совесть чиста, закон не нарушен и главное сон крепкий. [/q]

Собственно, взгляды с раных концов ковровой дорожки сильно отличаются. Если бы все было так, тов. Р.Зорге в частности благополучно на пенсии ловил бы рыбку до глубокой старости. Чего там? Сиди в Японии, да получай инфу. Скрытно. Однако бывают разные расклады. В т.ч. и такие. когда цена вопроса больше чем жизнь конкретного человека. Или когда время на решение не позволяет развивать процесс "как положено".

Приведенный пример имел как раз такую специфику - времени на принятие решения было около двух часов. Наверное можно теоретизировать и далее и говорить, что если бы и тако бы все делалось правильно, такой срочности не возникло бы. Может и так. Однако она возникла. И принятое решение было самым мягким из обсуждаемых. Был риск, что результат получиться не тот. Если бы оппоненты работали тщательно. Но получилось все ОК. Установили личность - собственно ее установили сотрудники ГАИ. Вслед за этим выяснилась прямая связь с некими товарищами. Все. Стало ясно, как действовать.