Сетевая разведка и 152-ФЗ

Вы боялись спросить, поэтому я спросила за вас.

Всем привет! Меня зовут Катя Тьюринг, я – специалист по защите бизнеса. А это значит, что OSINT, то есть исследования на основе открытых источников данных, является неотъемлемой частью моей работы. Вот лишь некоторые задачи, которые я решаю, раскапывая в интернете то, что не лежит на поверхности: 

1. сбор цифрового следа пользователя, замеченного в совершении мошеннических действий;
2. проведение сетевой разведки для пентест-атаки на компанию;
3. сбор информации о руководителях компании для разработки стратегии деловых переговоров;
4. поиск “проблемных активов” у юридического лица, для доказательства необоснованного банкротства.

В ноябре 2024 года моя жизнь как осинтера усложнилась – были обновлены федеральный закон №152 “Об обработке персональных данных” и статья УК РФ №272 “Неправомерный доступ к охраняемой законом компьютерной информации”. С этого момента обработка персональных данных без согласия их владельца стала уголовным преступлением.  

Бесспорно, это правильный вектор. В последние годы слито огромное количество персональных данных, из-за чего атаки на пользователей стали более целевыми и массовыми. Использование утечек и раньше было незаконным, но слабо контролировалось, а теперь ситуация обещает измениться. Однако сам закон сформулирован размыто – углубляясь в формулировки понимаешь, что если трактовать текст дословно, то часть рабочих обязанностей сотрудника службы безопасности уже может считаться нарушением 152-ФЗ. Создается впечатление, что закон дает фору мошенникам, ведь они не удосуживаются соблюдать те ограничения, которые теперь накладываются на законопослушных граждан.

Я неоднократно беседовала на эту тему с представителями правоохранительных органов, чтобы разобраться, как теперь жить эту жизнь и делать свою работу. Их официальная позиция с ноября осталась прежней: “Правоприменительной практики нет, приговоров суда, вступивших в законную силу, пока что также нет. Сложно дать однозначный ответ, как обвинение будет реализовано на практике”. Однако ряд неофициальных бесед помог мне получить представление, как действовать и оставаться в рамках закона. И своими знаниями я хочу поделиться с вами. 

⚠️ Дисклеймер: данная статья не является побуждением к действию и не дает конкретных рекомендаций.

Часть 1. OSINT физических лиц 

Сбор данных без согласия на обработку ПДн теперь вне закона?

Нет, анализ физических лиц остается легальным при соблюдении ряда правил. 

Анализ бенефициаров

Во-первых, если вы анализируете руководителя, владельца или представителя компании, вы можете это делать ориентируясь на те данные, которые есть в СМИ, официальных реестрах и публичных базах данных. Например, вы вправе определить владельцев бизнеса, проанализировать судебные дела с их участием, публичные высказывания, перемещения, которые были выложены в открытый доступ, и даже скандалы. Другими словами, анализ профессиональной деятельности можно проводить не получая согласия на обработку ПД. 

Однако данные, которые раскрывают детали частной жизни конкретного лица, использовать нельзя. Это адрес регистрации и проживания, семейное, социальное, имущественное положение, доходы и т.д. Приведу конкретный пример: можно выяснить наличие недвижимости у депутата на основе его декларации, но нельзя получить те же самые данные, выяснив, где проживает его семья. Подробнее о том, что относится к ПДн, читайте в оригинальном тексте 152-ФЗ: http://publication.pravo.gov.ru/Document/View/0001201906270035  

Анализ кандидатов

Если вы анализируете сотрудников компании или соискателей, то у вас не должно возникнуть проблем с наличием согласия на обработку ПДн: и те и другие подписывают соглашения на разных этапах найма на работу. Но чтобы оно действительно имело силу, должно выполняться одно из следующих условий: 

1. вы сами должны числиться в штате работодателя;
2. работодатель должен заключить с вами официальный договор и внести вас в перечень лиц, которые могут обрабатывать персональные данные его сотрудников и кандидатов. То есть, подписывая согласие на обработку ПДн, соискатель должен видеть, что их обрабатываете конкретно вы, представитель ООО “Компания”. Сейчас работодатели стараются обходить этот пункт, именуя всех исполнителей “третьими лицами”, однако, согласно ноте закона, эта формулировка некорректна.

Анализ третьих лиц без их согласия

В этом пункте я объединю всех людей, которые точно не дадут нам согласие на обработку своих ПД. Это могут быть лица, подозреваемые в мошенничестве, нарушении закона, или любые люди, идентификация которых нужна для исследования. Мой совет будет простым: вы не можете анализировать ПД, но далеко не все идентификаторы попадают под определение персональных данных. 

⚠️ Самое время сделать важную ремарку: к персональным данным относится информация о человеке, которая неотделима от его личности и позволяет однозначно идентифицировать его. Например, сочетание “ФИО + дата рождения” является персональными данными, для сбора которых необходимо собирать согласие, а имя и фамилия – нет. Существует много Маш Петровых, но всего одна Петрова Мария Алексеевна, родившаяся 18 января 2001 года (да, коллизии возможны, но уникальность все равно очень велика). Аналогично, телефон не относится к персональным данным, требующим согласия, а “телефон + домашний адрес” относится. 

Это была база, а теперь углубимся в детали. Что еще не является ПДн:

1. То, как человек записан в телефонной книге других людей;
2. Электронная почта, даже если ее адрес mariapetrova1992@mail.ru;
3. Ник в Telegram;
4. Сведения об автомобиле, включая VIN и автомобильный номер;

и так далее.

Для нас этого означает следующее: мы, как осинтеры, имеем право исследовать любую личность по идентификаторам, которые не являются ПДн. В ином случае, чтобы обрабатывать персональные данные, необходимо иметь согласие от вашего объекта. 

Анализ ПДн третьих лиц в личных целях

Согласно букве закона вам не нужно спрашивать разрешение на обработку ПДн, если вы обрабатываете информацию о человеке "в личных целях". Осталось лишь разобраться, когда анализ информации может трактоваться, как ваше личное дело. Если кратко, вы действительно можете анализировать данные, если сбор, обработка и хранение осуществляются лично вами, не передаются третьим лицам и не имеют коммерческой выгоды, даже опосредованной. Например, обмен визитками - это нерегулируемая ФЗ обработка ПДн в личных целях, а заведение данных визитки в корпоративную CRM требует наличия согласия.

Что делать, если человек сам опубликовал свои ПД в соцсетях?

Видя персональные данные человека, опубликованные им или третьим лицом в сети, вы можете посмотреть на них и пройти мимо. Их запрещено сохранять и обрабатывать каким-либо автоматизированным способом. При этом никто не запрещает вам анализировать контент на странице без учета персональных данных. То есть вы можете составить цифровой профайлинг личности, ведущей данную страничку, без указания того, кому конкретно она принадлежит.

Можно ли собирать данные об иностранцах, ведь они не попадают под действие 152-ФЗ? 

За обработку персональных данных граждан иностранных государств вас действительно не привлекут по 152-ФЗ. Однако, иностранцы часто защищены собственными законами, например, GDPR. Привлечь физическое лицо за нарушение GDPR в текущих реалиях сложно, но это не значит, что вы можете безнаказанно нарушать международные законы. Несмотря на сложности в геополитике, отношения между правоохранительными органами разных стран не прекратились, и частное право продолжает соблюдаться. 

Кроме этого в России есть ряд собственных законов, которые защищают не только собственных граждан, но и любых людей. Согласно статье 23 Конституции РФ, каждый из нас обладает правом на неприкосновенность частной жизни, личную и семейную тайну, а статья 137 УК РФ вводит ответственность за обнародование персональных данных без согласия человека.

Часть 2. Пентест и информационная безопасность

На первом этапе хакеры готовятся к проведению атаки — собирают данные о компании, ее контуре, сотрудниках, информационных ресурсах. В поисках слабых мест используется все, что может оказаться полезно: сканеры, социальная инженерия, поиск утечек и так далее. Естественно, это чувствительная информация, которая запрещена для использования третьими лицами.

Возникает сразу ряд вопросов: 

1. Может ли пентестер собирать персональные данные сотрудников, чтобы продемонстрировать угрозу, связанную с их доступностью в сети?
2. Может ли он зайти в даркнет и сохранить утекшие пароли пользователей, которые также представляют угрозу для компании? 
3. Может ли законопослушный сотрудник службы безопасности воспользоваться фейковой личностью, чтобы купить у злоумышленника информацию о собственной компании для проведения внутреннего расследования? 

Давайте разбираться и слушать разъяснения неофициальных источников. 

Персональные данные сотрудников

Пентестер имеет право использовать имена, фамилии и электронные почты сотрудников для реализации атак с помощью социальной инженерии (фишинг, вишинг, смишинг и т.п), но только при наличии корректно составленного договора. В договоре на пентест должны выполняться следующие условия: 

1. Договор должен быть заключен от имени директора компании. Иной сотрудник, включая директора по ИБ, не имеет достаточно компетенций, чтобы “узаконить” атаку на компанию;
2. Договор должен быть заключен на конкретный пул работ, выполняемый в конкретные сроки по конкретным сценариям. То есть пункт “проверить сотрудников на устойчивость к социальной инженерии” не подходит. Вместо него нужно расписать, каким способом, когда, с какой легендой будет проходить тест;

Кроме этого любой спорный момент будет решаться исходя из соблюдения Due Diligence, то есть должной осмотрительности обеих сторон. Это значит, что вы не должны злоупотреблять данными, которые оказались в ваших руках, несмотря на то, что у вас есть на это разрешение.

Легендированное общение в даркнете

Использование даркнета на сегодняшний день не запрещено законодательством РФ. Вы имеете право находиться там и имеете право скрывать свою личность. Однако покупать слитые базы, коммерческие тайны и любую другую запрещенную к использованию информацию в общем случае запрещено статьей 272 УК РФ. 

Однако пентест является частным случаем и дает вам чуть больше прав. Проводят пентест, вы получаете от компании разрешение на обработку принадлежащей ей информации. Но не забывайте, что договор с организацией не дает вам права анализировать утечки данных о сотрудниках, которые нарушают их право на частную жизнь. Также вы, как человек, не являющийся сотрудником правоохранительных органов, не имеете права осуществлять “контрольную закупку”. Это значит, что поиск информации о сливах и их применение разрешено, а покупка базы у хакера – нет, даже если у вас на руках есть договор. 

Другими словами, в данном случае договор выступает как основание для законной обработки ПДн. Договорные отношения помогают и в других направлениях для разведки. Например, в частном бизнесе нет цели проверки соискателей, но есть заключение трудовых или гражданско-правовых договоров. Аналогично, журналисты, юристы и полицейские действуют в рамках своих целей, а также особых возможностей по обработке ПДн, предусмотренных федеральными законами, регулирующими их деятельность.

Часть 3. Насколько легальны методы активного OSINT?

Последний блок я посвящу осинт-расследованиям. Элементы розыска достаточно часто встречаются в практике осинтера, который работает в сфере журналистских расследований, занимается поиском людей или конкурентной разведкой. Такая работа может быть сопряжена с различными манипуляциями, методами социальной инженерии и HUMINT. 

Методы активного OSINT, которые разрешены законом

Устный опрос

Человек, который не является сотрудником правоохранительных органов, не имеет права требовать письменных доказательств чего бы то ни было. Любой разговор можно записать на диктофон или камеру, но только с разрешения участников разговора.

В законе не существует четкого требования к тому, чтобы предупреждать тех, кто вас окружает о том, что вы ведете аудиозапись. Однако беседа обязательно должна носить деловой характер, в противном случае предупреждение обязательно должно прозвучать в самом начале записи (это закреплено в статье 24 Конституции РФ, в статье 152.2 ГК РФ и в статье 137 УК РФ).

Наведение справок 

Никто не запрещает задавать вопросы на любые темы, то есть можно написать или позвонить кому угодно и попросить о встрече или о комментарии. 

Внешний осмотр строений, помещений и других объектов 

Вы имеете право осматривать любые объекты, включая частную собственность, пока вы не пересекли ее границу. Например, вы можете осмотреть частную территорию с помощью дрона, если это не запрещено законом данной страны или региона, а также если вы не нарушаете личные или семейные тайны людей, живущих на ней. 

Оперативный эксперимент

По сути оперативный эксперимент это реконструкция событий в точности для того, чтобы проанализировать контекст: как и при каких условиях оно могло произойти. Например, если вы анализируете офис компании на возможность проникновения внутрь под видом разносчика пиццы, и директор компании это позволил, то вы не нарушаете никаких законов. Однако эксперимент эксперименту рознь. Например, если вы подозреваете кого-то в том, что он берет взятки, нельзя провести эксперимент, предложив ему деньги в обмен на услугу с его стороны. В этом случае вы попадете под 291 статью УК РФ (Дача взятки).

Методы активного OSINT, которые запрещены законом

Проверочная закупка, включающая нелегальные действия.

Например, если вы узнали, что в одном интернет-магазине есть продавец, который продает психотропные вещества, нельзя проверить этот факт, заказав себе пару грамм. Это незаконно, как и покупка корпоративных секретов компании, где вы работаете, если сама компания не давала вам согласия. Несмотря на то, что вы сделали это из лучших побуждений, и вам вменят 228 статью УК РФ (Незаконные приобретение, хранение, перевозка, изготовление, переработка наркотических средств) или 183 статью УК РФ (Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну). 

Контроль почтовых отправлений, перехват корреспонденции и иных сообщений, прослушивание телефонных переговоров, незаконное получение информации с технических каналов связи.

Это вторжение в личную жизнь, которое сопровождается получением нелегального доступа к информации. Это грубое нарушение не только закона, но и в целом этических норм. 

Оперативное внедрение.

Если кратко, нельзя самостоятельно внедряться в ОПГ под видом их пособника, чтобы собрать достаточно доказательств и сдать преступников полиции. Вам может показаться забавным само наличие этого пункта, но мой опыт работы в антифроде показывает, что как только человек нападает на след мошенника, он сам хочет распутать клубок. Это приводит к тому, что человек старается проникнуть в закрытые чаты, не имея достаточно опыта и не владея нужным инструментарием. 

Другими словами осинт-аналитик не имеет права проводить оперативно-розыскные мероприятия вместо сотрудников правоохранительных органов, а также “препятствовать проведению расследования”. Что именно это значит:

1. Запрещено скрывать от правоохранительных органов ставшие известными факты готовящихся, совершаемых или совершенных преступлений.
2. Запрещено выдавать себя за сотрудников правоохранительных органов даже общаясь с мошенниками. 
3. Запрещено собирать сведения, связанные с личной жизнью, с политическими и религиозными убеждениями отдельных лиц.
4. Запрещено фальсифицировать материалы или вводить в заблуждение клиента.
5. Запрещено получать и использовать информацию, содержащуюся в специальных и закрытых информационно-аналитических базах данных органов, осуществляющих оперативно-розыскную деятельность, в нарушение порядка, установленного законодательством Российской Федерации.
6. Ну и наконец запрещено проведение действий, нарушающих тайну переписки и телефонных переговоров.

В завершение расскажу одну байку. Я трижды подходила к сотрудникам МВД и спрашивала, есть ли у них список тех, кто пользовался ботами для пробива. “Конечно”, – сказали они, – “На каждого уже есть папочка, включая тебя, так что не шали”. А я и не собиралась.

Как я уже писала выше, уголовная ответственность по 272 статье – норма довольно свежая. Правоприменительной практики нет, приговоров суда, вступивших в законную силу, также нет. Большая часть сотрудников правоохранительных органов считает, что эта норма внесена в Уголовный Кодекс, чтобы у правоохранителей была возможность привлекать к ответственности лиц, осуществляющих незаконное распространение персональных данных (тех самых владельцев ботов и продавцов слитых баз в даркнете). Однако уверенности в том, что под практику закона не попадут обычные пользователи этих сервисов, нет. Будьте осторожны и не нарушайте закон.