Исследуя конкурентов

Штат компании в США: кто, где, сколько? 👥 В прошлом году на одном из воркшопов я читал доклад "Штат компании: кто, где, сколько?", который был посвящён инструментам, способам и методам поиска информации о персонале компаний в России. 🔽Сегодня я хочу рассказать о сервисе TheOrg, в котором собрана база данных о сотрудниках компаний, работающих в США, в иерархическом виде. Обратимся к рисунку. ▶️В верхней части рисунка представлен уровень топ-меджмента известной американском компании Palantir: их имена и фамилии. Чуть ниже овалов с фото в серых (черных) ячейках указано число работников, подчиняющихся определенному менеджеру в соответствии с организационной структурой. ▶️Обратимся к нижней части рисунка. На ней мы видим конкретных работников, непосредственным руководителем которых является David Glazer (CFO компании Palantir). 📑Для каждого работника на ресурсе TheOrg сформирована отдельная карточка, в которой указаны контактные данные, ссылки на соцсети и иная информация. 🌐 Ссылка на каталог компаний #OSINT #FININT @business_cons

...продолжение

Пора уже заканчивать эти рассуждения, уже почти месяц пишу об этой теме, сегодня точно финальный пост из серии 😄

В прошлой части мы проговорили, что увеличение количества и разнообразия источников данных, возрастающий интерес бизнеса к теме сбора, обработки и анализа данных, появление возможности коммерциализации аналитических продуктов - являются предпосылками для дальнейшего расширения возможностей OSINT-аналитиков. 💠 Вместе с тем, не стоит забывать, что аналитика данных - это уже сформировавшаяся, но пока ещё не окрепшая отрасль экономики. Ни много ни мало. Сюда же входит ниша продажи данных. Интерес Правительства к теме данных понятен. С одной стороны на государство возложена обязанность по защите интересов граждан, отсюда инициативы, тапа изменений в УК или предложение отдать все данные государству. С другой стороны раз уж глобальный рынок Big Data и аналитики данных растет нужно как-то и отечественный сегмент развивать и регулировать, отсюда секция на ПМЭФ 2024 "Защита прав граждан в интернете как вопрос экономической безопасности" и национальный проект "Экономика данных". ❗️Что из этого следует? Регулирование будет продолжаться. Цели по совершенствованию нормативного регулирования в сфере данных уже поставлены. Эффект предугадать крайне сложно, но по итогу должны оформиться актуализированные "правила игры" в сфере сбора, обработки и анализа данных из открытых источников. Но есть несколько нюансов, которые меня смущают. Сейчас попробую донести свою мысль. Людвиг Эрхард говорил, что "Экономика - на 50% психология". Данный тезис раскрывает в своих публикациях д.э.н., профессор Никита Александрович Кричевский. По мнению Н.А. Кричевского под психологическим фактором понимается прежде всего менталитет нации, который накладывает свой отпечаток на принятие управленческих решений. Я согласен с мнением Эрхарда и Кричевского. 🔗 Менталитет нации хорошо отражают пословицы и поговорки, коих в русском языке огромное множество. Например, поговорка "Пока гром не грянет, мужик не перекрестится" отлично описывает подход к законодательному регулированию. Да и в принципе данная черта присуща многим людям нашей ментальности. Узнал(-а) себя за 1-2 дня до дедлайна? Ой, не ври 😁

Примеров куча, думаю вы и сами понимаете. К примеру, после чего решили ужесточить ответственность за утечки данных? После утечек данных. Такой вот принцип.

Вместе с тем, стоит помнить и другие пословицы и поговорки, а именно: "Не торопись исполнять приказ, поступит команда "Отставить", а также "Строгость российских законов смягчается необязательностью их исполнения". К чему я это написал каждый додумает сам. Я же хотел просто сделать отсылку к Русскому народному творчеству 🙈 🔽Учитывая изложенные тезисы, что можно сказать относительно будущего законодательного регулирования OSINT: 🔖Законодательное регулирование отстает от реальности и этот тренд сохранится. Из этого следует, что OSINT-аналитик почти всегда работает и будет работать в "серой" зоне, что, кстати, дает пространство для "маневра". 🔖Катализатором ужесточения ответственности будет какое-то громкое уголовное дело, связанное или с использованием OSINT для незаконного обогащения, или с использованием OSINT для помощи недружественным государствам. 🔖Вместе с тем, реализация проекта "Экономика данных" по идее должна расставить точки в спорных вопросах сбора, обработки и анализа открытых данных, что положительно скажется на дальнейшем развитии отрасли. P.s. Конечно, я не могу не сказать про то, что популярность OSINT-аналитики как направления деятельности растет от года к году: появляются новые авторы / исследователи, растет число активных членов сообщества, меняется образ OSINT-аналитика в представлении социума - все это меня лично очень радует. В то время, когда я начинал увлекаться OSINT, не было CTF от Северной Пальмиры, да и сообщество OSINT Mindset только начинало свой длинный путь к созданию "Форума расследований". Это я все к тому, что в моем понимании сейчас время возможностей: учиться, зарабатывать, развиваться дальше. Вопрос в том, обращаешь ли ты на это внимание?

Рассуждений пост: о будущем OSINT-аналитики в России. Финальная часть⚡️ Пришло время закрыть гештальт и завершить, наконец, серию постов о будущем OSINT-аналитики в России. Часть 1 и Часть 2 тут. Ну а сегодня попробуем оценить тренды и заглянуть в будущее. Букв будет много. Будущее OSINT-аналитики в России Чтобы понять, что ждет сферу OSINT в России, нужно понять без чего развитие данной сферы невозможно и как этот фактор пытаются регулировать. Для OSINT не только в России, но и во всем мире таким фактором являются данные в цифровом виде: их количество, разнообразие источников и т.д. Если рассматривать ситуацию с этой точки зрения, то мы можем увидеть следующие объективные тренды: 🔽Количество данных растет. Исследователи компании Exploding topics рассчитали, что в среднем в год объем генерации данных увеличивается на 23%. На конец 2023 года всего в мире было сгенерировано 120 зеттабайт данных. Прогноз на конец 2024 - 147 зеттабайт, на конец 2025 - 181 зеттабайт. 🔽Объем рынка инструментов Big Data растет. Как следствие из предыдущего пункта - увеличение количества данных требует иных подходов к их хранению, обработке и анализу. По данным TAdviser c 2021 по 2023 год глобальный рынок инструментов Big Data вырос с 162,6 до 220,2 млрд. $. Прогнозируется рост рынка в среднем на 11,9% в год. 🔖Вывод. Учитывая данные тренды можно с уверенностью сказать, что со временем возможности OSINT-аналитиков будут только расти, а сферы применения OSINT будут увеличиваться. 📑Уже сейчас можно отметить междисциплинарный характер методологии OSINT. Если раньше OSINT в основном применялся специалистами информационной/экономической безопасности и журналистами, то сегодня OSINT активно используется в маркетинге, бизнес-аналитике, Data Scince, юриспруденции, активно осваивается предпринимателями из разных отраслей экономики.

И это не фантазия - это мои личные наблюдения. Я часто общаюсь с предпринимателями, выполняю различные задачи на аутсорсе. Сейчас как никогда предпринимателям нужна и информация, и аналитика в абсолютно разных областях. Об этом ниже.

❗️Анализируя указанные выше тренды можно заметить очень интересную деталь. В настоящее время данные стали полноценной экономической единицей, т.е. фактически - это ресурс, при том важный и ценный. Об этом, в частности, и говорит рост глобального рынка Big Data и аналитических продуктов. "Длинные" деньги умнее (предусмотрительнее) меня или вас, ставка на данную отрасль уже сделана. И не только на Западе. 🔖Вывод. Аналитика данных будет и дальше набирать популярность, станет более востребованной. Чем больше предпринимателей понимает ценность данных и аналитики, тем больше вакансий по поиску OSINT-аналитиков и Data Science специалистов появляется на различных порталах по поиску персонала. Данная зависимость сохранится и в будущем. Впрочем, предстоит пройти длинный путь, прежде чем такую аналитику будут учитывать при принятии решений повсеместно. Сейчас это интересно в основном крупным компаниям. 🔥Что общего и в чем разница между OSINT и Data Science хорошо показано в интервью Артура Хачуяна моему коллеге Schwarz_Osint. Рекомендую, очень достойный материал.

Data Science специалистов ищут безусловно в большей степени и за это надо сказать спасибо различным лидерам мнений в OSINT сообществе, благодаря которым OSINT ассоциируется не с аналитикой данных, а с "пробивом". Тоже вывод, сделанный на основе личных наблюдений.

💼 Вернемся к рынку труда и кадрам. Вижу большие перспективы в связке OSINT + Data Science, когда OSINT-аналитик ищет источники данных, проводит верификацию данных и источников, обеспечивает формирование выборки, а Data Science специалист непосредственно работает с выборкой данных, строит аналитические (в т.ч. прогнозные) модели, производит расчёт метрик. Впрочем, это может делать и один человек, обладающий необходимыми компетенциями. 🔖Вывод. Работодателям будут нужны специалисты в сфере OSINT и эта потребность будет расти, но не галопирующими темпами. Ажиотажа не будет. Продолжение следует 🔴 [тут будет ссылка на продолжение]

Простой способ узнать e-mail автора Google-документа 📑 На этой неделе в СМИ активно обсуждалась новость: информация об отправлениях СДЭК оказалась в открытом доступе. В материалах СМИ говорится, что информация была выложена в открытый доступ неким лицом в виде Google-документа.

Кстати, почему-то, после таких новостей на "дваче" оперативно заблокировали тред по СДЭКу, совпадение, наверное 🙈

Ну да ладно, ответственные лица пусть разбираются. Мы же поговорим о том, как найдя в интернете какой-нибудь Google-документ, определить электронную почту его создателя. Способ максимально простой. Возможно "баян", но очень полезный. 🔽О проблеме с расшаренными документами ранее писал тут, там же можно посмотреть как их искать. Итак, чтобы найти e-mail автора Google-документа нужно сделать следующее: ▶️Зарегаться или осуществить вход в сервисы Google и перейти в сервис Google Drive (облачное хранилище) ▶️Открыть интересующий вас Google-документ в соседней вкладке, далее можно закрыть, важен сам факт, что вы его открыли ▶️Перейти обратно в Google Drive и вверху страницы в строке поиска вписать название документа, который вы открывали ✅В результате вы увидите адрес электронной почты автора документа в соответствующей графе. Скрин выше. P.s. Работает ли данный способ в обратную сторону? Хех.

OSINT пошёл в массы 😁 Ростелком, не сходи с ума. Это что была шутка? Лучше к сообществу обратись с вопросом, поинтересуйся. Коллега STEIN уже давно подборку и по авиа-перелетам сделал. Ну чего ты в самом деле. ❗️ А если серьёзно, то даже открывать не стал и Вам не советую.

Рассуждений пост: о будущем OSINT-аналитики в России. Часть 2⚡️ Продолжаем рассуждать о будущем OSINT-аналитики в России. Сегодня поговорим о судьбе независимых OSINT-исследователей, а также о рынке OSINT-услуг в России. 🔽Начнем с рынка OSINT-услуг. В ранее рассмотренном фрагменте дискуссии представитель ФСТЭК Виталий Лютиков обозначил позицию относительно предоставления услуг по анализу цифрового следа компаний и сотрудников компаний сторонними организациями. По сути все просто - важно заключение договора на оказание услуг такого характера. Наиболее подходящим из существующих ОКВЭД для таких услуг является группа ОКВЭД 63.99 "Услуги информационные прочие, не включенные в другие группировки", в частности: ▶️63.99.10.110. Услуги по поиску информации за вознаграждение или на договорной основе ▶️63.99.10.130. Услуги по сбору и обобщению фактов и информации, кроме списков адресатов ❗️Обратим внимание, что в рамках дискуссии речь шла о поиске информации в отношении заказчика.

Т.е. я (компания) обращаюсь за услугами по анализу цифрового следа к исполнителю и эти мероприятия проводятся именно в отношении меня (компании).

Во всех остальных случаях, по мнению Виталия Лютикова - это "не законная история". Я не согласен с мнением Виталия. Как минимум в двух случаях можно вполне легально оказывать такие услуги: ▶️OSINT может рассматриваться как один из элементов системы должной осмотрительности компаний при проверке контрагентов. Тут есть вопрос в границах применения, но все же. ▶️OSINT может рассматриваться как инструмент сбора доказательств в рамках судебного разбирательства. Об этом говорила Ангелина Балакина, а также об этом не плохо написал в своих постах Игорь Бедеров: [1], [2]. ▶️Третий случай - это как раз анализ цифрового следа физических лиц и сейчас это самая сложная относительно правового обоснования история. ❗️При этом, обратим внимание на следующее. OSINT в рамках дискуссии рассматривается как инструмент информационной безопасности, в частности тестирования на проникновение. Тестирование на проникновение является лицензируемым видом деятельности, кстати лицензирование по данному виду деятельности проводит именно ФСТЭК. Добавьте к этому слова представителя ФСТЭК, сказанные относительно лицензирования OSINT, и вы поймете почему окончательного решения о лицензировании пока нет. Для них это одно и тоже. Но это если вы работаете в легальном поле. Если OSINT-аналитик работает "из тени" в условиях личной анонимности, то его это не касается. И это очень глубокая мысль. Услуги в области OSINT сейчас - это в большей части теневой сектор экономики. Оценить его объем довольно сложно, также как сложно оценить качество предоставляемых услуг. Вместе с тем. Сам факт наличия на рынке предложений по оказанию OSINT-услуг приводит нас к следующей цепочке рассуждений: Если есть услуги, то они должны быть оказаны качественно ▶️ качество определяется исходя из критериев оценки результата▶️ наличие критериев оценки результата неизбежно приводит нас к вопросу сертификации, поскольку качественный результат может получить только специалист, который понимает, что значит качественно ▶️ необходимость сертификации приводит нас к вопросу изучения и осмысления дисциплины OSINT на другом уровне относительно текущего. На уровне образовательного стандарта. 📑Не профессионального стандарта, который прямо скажем - так себе, а на уровне систематизации знаний, умений и навыков. Про курсы. Ни один из курсов, которые сейчас представлены на рынке, не то чтобы не дотягивает до уровня образовательного стандарта - у них просто другая цель. Какая? 💰 🔖Сейчас умения OSINT-аналитика можно оценить только на практике. Других вариантов нет. И то, на практике может оказать, что человек просто обратился за помощью к сообществу, чтобы решить тестовое задание. Это ещё одна проблема - проблема оценки квалификации. 🔖Если говорить о заказчиках, то сейчас работает модель "сарафанное радио", когда заказчик приходит по рекомендации от друзей или коллег, которые уже имели опыт работы с отдельными специалистами и клиентский опыт их устроил.

Рассуждений пост: о будущем OSINT-аналитики в России. Часть 1 ⚡️ Вчера в рамках PH Days 2024 прошла очень интересная дискуссия, которая носила название OSINT по-взрослому. Запись можно посмотреть тут, а список участников дискуссии тут. Прослушав дискуссию и перечитав интервью с Ангелиной Балакиной у меня сложилось некоторое концептуальное видение о будущем OSINT в России, и о том как можно работать OSINT-аналитику в рамках правового поля. Хочу поделиться с Вами мыслями по этому поводу и ещё обсудить кое-что важное. Данный пост будет опубликован в трех частях: ▶️В первой части мы поговорим о применении OSINT компаниями в отношении самих себя в части обеспечения информационной безопасности. ▶️Во второй мы поговорим о деятельности независимых OSINT-аналитиков, а также затронем тему рынка OSINT-услуг в России. ▶️В третей мы поговорим об OSINT концептуально и пофантазируем, о том каким мог бы быть следующий шаг на пути к законодательному регулированию OSINT в России. Важное примечание. Описанное далее касается только тех специалистов и компаний, которые хотят работать в легальном поле. 💬 Общая канва дискуссии свелась к использованию OSINT в рамках мероприятий по информационной безопасности и легитимизации данных действий, что логично учитывая тематику форума. При этом, по моему мнению, тема обсуждения взята крайне узко, поскольку сами спикеры не раз говорили о том, что OSINT применяется не только в рамках мероприятий по информационной безопасности. Общее впечатление, сложившееся от дискуссии отлично описал мой коллега Sсhwarz_Osint, поэтому переходим к самому интересному - мнению регулятора, которое озвучил представить ФСТЭК Виталий Лютиков. Видео-фрагмент тут. Что важно подчеркнуть: ❗️ OSINT-мероприятия, проводимые компанией в отношении самой себя, должны быть регламентированы и отражены в документах компании ❗️ OSINT-мероприятия в отношении работников компании должны быть документально оформлены, сотрудник должен быть предупрежден о проведении таких мероприятий и дать свое согласие на их проведение Это кончено не официальные письменные рекомендации, но с этим уже можно работать. По сути, если компания использует OSINT как инструмент обеспечения собственной информационной безопасности, то для ведения этой деятельности в правовом поле нужно сделать условно две вещи: 🔖Разработать регламент проведения OSINT-исследований, в котором будет четко прописано для чего, как, при каких условиях и в каких рамках проводится OSINT-исследование, какие инструменты и типы данных будут использоваться, как должен оформляться отчёт об исследовании и т.д. Аналогичные пункты необходимо внести в положение о проверке контрагентов при необходимости. 🔖Внести в форму "Согласия на обработку персональных данных" пункт примерно такого содержания:

..даю согласие на проведение в отношении меня мероприятий по сбору, обработке и анализу данных, находящихся в открытых источниках

Исследование проводится согласно регламенту. 🔽 Кстати согласие на обработку персональных данных подписывают не только работники, но и клиенты, а также соискатели при трудоустройстве. Такой подход позволит закрыть множество рабочих вопросов, но нужно согласовывать с юристами. Безусловно, в рамках разработки регламента нужно учесть множество нюансов, но в итоге Вы получите рабочий документ, который на данном этапе развития индустрии OSINT в России сможет обезопасить компанию и её работников от возможных правовых рисков при использовании OSINT в решении профессиональных задач. ❓ Почему компанию и её работников? Потому что я по себе знаю, что многие задачи в рамках рабочего процесса ставятся неформально (без документального подтверждения). Формально если нет письменного задания от руководства, то OSINT-аналитик как-будто ищет информацию по собственному желанию. Есть нюансы, но со стороны это выглядит именно так. Разработка регламента снимает данный вопрос. Процедура проводится по регламенту и в определенных случаях.

Борьба с агрегаторами утечек персональных данных в свете законопроекта о привлечении к уголовной ответственности ⚡️ В декабре 2023 года в Государственную Думу России был внесен законопроект, предусматривающий уголовную ответственность за незаконные использование и передачу, сбор и хранение компьютерной информации, содержащей персональные данные. 🔽Законодатели предлагают дополнить УК РФ статьей 272.1 "Незаконные использование и(или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее незаконного хранения и (или) распространения". ❗️Из сути законопроекта становится понятно, что в первую очередь он направлен на пресечение деятельности агрегаторов утечек персональных данных (ботов для "пробива"). Ни для кого не секрет, что агрегаторы утечек персональных данных, на ряду с другими источниками данных, используются некоторыми OSINT-аналитиками в рамках проведения различных исследований. ❓Учитывая данный факт возникает множество вопросов относительно возможности привлечения к уголовной ответственности OSINT-аналитиков за использование утечек данных, а также в принципе возможности привлечения к уголовной ответственности за использование персональных данных в рамках OSINT-исследований. ▶️Об этом и иных юридических тонкостях законодательства в области персональных данных поговорили с руководителем практики юридической фирмы Orlova\Ermolenko, членом "Ассоциации российских специалистов по защите данных" - Ангелиной Балакиной.

Некоторые выводы из нашего с Ангелиной разговора оформил в виде карточек для удобства восприятия. Советую также ознакомится с полным текстом беседы, в котором Вы сможете найти множество интересных инсайтов относительно использования персональных данных.

🌐Ссылка на статью. P.s. Отдельное спасибо за помощь в организации данного интервью хотел бы выразить директору по PR и внешним коммуникациям компании Versus.legal - Алексею Заварзину. Спасибочки 🫶 👁

Детали проверки иностранных компаний 💼 В ходе исследования компаний, которые ведут бизнес в России, Вы можете встретить такие компании, о которых нет сведений в ЕГРЮЛ. Сегодня расскажу о том, в каком случае это возможно. На территории России могут вести бизнес не только отечественные, но и иностранные компании. В пределе существует три возможных сценария как иностранная компания может вести дела в России: ▶️Зарегистрировать дочернее предприятие. В этом случае иностранная компания или её представители (или номиналы) будут являться учредителями новой компании, которая будет носить статус налогового резидента Российской Федерации (подробнее ст. 246.2. НК РФ).

Налоговое резидентство - это юридический статус, который определяет, является ли лицо налогоплательщиком определенной страны, в нашем случае - Российской Федерации.

Информация о таких компаниях есть в ЕГРЮЛ. ▶️Открыть филиал иностранной компании на территории России. Механика следующая. На территории России создается обособленное структурное подразделение иностранной компании, которое является его составной частью (филиал / представительство), регистрация нового юридического лица - не требуется. Каждой иностранной организации присваивается ИНН, который обязательно начинается с цифр: 9909... Так их можно идентифицировать при первичном анализе документов. ⚡️Информацию об аккредитованных филиалах иностранных компаний можно найти в соответствующем реестре ФНС. Рисунок выше. ▶️Открытие расчетного счёта в российском банке. Иногда для сотрудничества с партнерами из (в) России иностранным компаниям достаточно открыть счёт в российском банке для получения (отправки) платежей. В этом случае компания является НЕрезидентом. ❗️ При открытии счёта также происходит постановка компании на учет в качестве налогоплательщика (ИНН 9909...), но сведения о такой компании в открытых источниках найти крайне сложно. Максимум, что можно найти - это сам факт постановки на учёт такой компании. Сделать это можно через ЕГРН.

Друзья, всем привет! 👋 Давненько ни чего не публиковал, извиняюсь за долгое отсутствие. За последнее время успел провести несколько не публичных исследований, написать пару статей, одну из них вы можете прочитать выше, но это не самое главное. 🔽 Буквально в прошлую пятницу мы с коллегой из юридической фирмы Orlova\Ermolenko разобрали законопроект внесения изменений в УК РФ в части неправомерного доступа к компьютерной информации, содержащей персональные данные. В сообществе его уже окрестили как законопроект по борьбе с ботами для "пробива". Скоро выпустим материал по этой теме. ❗️Тема архиважная для каждого OSINT-аналитика и тем более для компаний, которые держат в штате таких специалистов. Таких компаний, кстати, не мало. Следите за обновлениями.