“Теперь, когда любой может купить даркнет-дамп, разведданные перестали быть эксклюзивом спецслужб. Мы не замечаем, как сам принцип «знай своего противника» из защиты превращается в нападение, где каждый оператор КИБ становится потенциальным разведчиком. И регуляторы пока не знают, что с этим делать.”
Разведданные: больше не оружие избранных
Раньше мир был прост: Threat Intelligence, это про защиту, Espionage — про нападение. Команды защитников собирали индикаторы компрометации (IoC), изучали тактики и техники APT-групп, чтобы строить оборону. Агентурная разведка, перехват коммуникаций, целенаправленные взломы оставались уделом государств и очень узкого круга игроков. Эта граница была фундаментальной. Сегодня она размыта.
Причина — демократизация данных. Полноценные дампы внутренней переписки компаний, базы данных утекших паролей, технические отчёты о внутренней инфраструктуре — всё это лежит в открытом доступе в даркнете, на форумах и даже в обычных Telegram-каналах. Эти данные не просто «индикаторы угроз», это прямой взгляд в операционную деятельность и уязвимости конкретной организации.
Де-факто, эти данные становятся разведывательной информацией. Команда, которая заходит на форум и покупает дамп с перепиской отдела ИБ конкурента, формально занимается Defensive Intelligence: она «изучает угрозу». Но содержанием этих данных является самая что ни на есть Offensive Espionage: планы по развёртыванию защиты, список критических активов, мнения о поставщиках, человеческий фактор. Эти данные не для построения сигнатур в SIEM. Они для того, чтобы спланировать атаку.
Под прикрытием «белого» сбора: инструменты, которые не отличают защиты от нападения
Методологии и инструменты сбора данных давно перестали быть чисто оборонительными. Их можно применять с любой целью.
OSINT (Open Source Intelligence) — классический пример. Методика включает сбор информации из открытых источников: соцсети, публичные реестры, объявления о вакансиях, фотографии со штаб-квартиры в Instagram сотрудников. Для защитника это оценка цифрового следа компании и её сотрудников — Attack Surface Management. Для атакующего, это разведка цели: поиск сотрудников с доступом к критическим системам через LinkedIn, выявление используемого ПО для подбора эксплойтов, поиск фотографий пропусков или внутренних схем помещений.
Технические сканеры и сенсоры тоже играют на два фронта. Сканер Shodan, изначально созданный для поиска уязвимых интернет-устройств, стал основным инструментом как для исследователей безопасности, так и для скрипт-кидди и ботнетов, ищущих жертв. Системы типа Censys или ботов, мониторящих сертификаты SSL/TLS для выявления новых поддоменов (Certificate Transparency), дают практически реальную картину изменений в IT-ландшафте любой организации. В руках защитника, это мониторинг собственной инфраструктуры. В руках атакующего — оповещение о появлении нового, возможно, ещё не защищённого сервиса.
Когда защитная аналитика становится разведкой конкурента
Ещё более тонкая грань проходит в сфере бизнес-аналитики. Сбор информации о конкурентах — стандартная практика. Но где заканчивается анализ рынка и начинается промышленный шпионаж?
Рассмотрим гипотетический сценарий. Компания «Альфа», разрабатывающая софт для банков, нанимает специалиста по Threat Intelligence. Его задача — мониторить утечки данных в финансовом секторе. В ходе работы он обнаруживает в даркнете дамп с исходным кодом и внутренней документацией компании-конкурента «Бета». Формально, это инцидент информационной безопасности в финансовой сфере, который нужно анализировать. Фактически, у «Альфы» в руках оказывается коммерческая тайна «Беты». Изучение этих данных для «защиты собственных клиентов» легко перетекает в копирование архитектурных решений или выявление уязвимостей в продукте конкурента для маркетинговых атак.
Та же логика применима к анализу публичных инцидентов. Подробный разбор того, как конкурента взломали,, это лучший урок по защите. Но это и идеальное руководство к действию, если ты решишь атаковать его тем же методом, зная, как была построена его оборона и где она дала сбой.
Правовой и регуляторный вакуум: 152-ФЗ молчит
Российское законодательство в сфере защиты информации, в первую очередь 152-ФЗ «О персональных данных» и требования ФСТЭК, регулируют обработку данных внутри организации. Они предписывают, как хранить, шифровать и защищать информацию. Но они почти ничего не говорят о законности и этике сбора внешней информации, особенно если она получена из серых зон.
ФСТЭК России формулирует требования к системам защиты, но не к действиям аналитиков кибербезопасности на открытом интернет-поле. Вопросы остаются без ответов:
- Легально ли для российской организации покупать утекшие данные на даркнет-форуме, даже для аналитических целей?
- Является ли хранение и анализ дампа с персональными данными клиентов другой компании нарушением 152-ФЗ, если данные получены не от субъекта ПДн и не по договору?
- Где грань между «анализом угрозы» и «незаконным получением и распространением коммерческой тайны» (ст. 183 УК РФ)?
Регуляторная рамка отстаёт от технологической реальности. Defensive Intelligence-отдел, ведущий активный сбор в интернете, юридически находится в подвешенном состоянии. Его действия могут быть истолкованы как подготовка к кибератаке или промышленному шпионажу, особенно если будет доказан умысел или факт использования данных не для защиты, а для получения конкурентного преимущества.
Этическая развилка: не только «можно», но и «нужно ли»
Помимо закона, существует этический выбор, который приходится делать каждому специалисту или руководителю отдела безопасности.
- Принцип происхождения данных. Использовать ли информацию, полученную явно преступным путём (взлом, утечка), даже если она общедоступна? Анализ такой информации косвенно финансирует преступные сообщества (если данные куплены) и может легализовать рынок утекших данных.
- Принцип минимальной достаточности. Для построения защиты обычно не нужны детальные внутренние документы конкурента. Если вы их качаете и изучаете, задайте вопрос: действительно ли это нужно для защиты вашей инфраструктуры, или вас интересует содержание как таковое?
- Принцип намерения. Самое сложное. Намерение формируется в голове. Один и тот же отчёт о методах APT-группы может быть руководством по обнаружению их атак или учебником по их применению. Конечное применение определяет специалист.
Во многих западных компаниях существуют внутренние Ethical Guidelines для отловов Threat Intelligence, ограничивающие, например, активное взаимодействие с хакерскими форумами или покупку данных. В России такие практики пока редкость.
Так где же проходит граница?
Чёткой технической или юридической границы не существует. Она ситуативна и зависит от трёх ключевых факторов:
| Фактор | Сторона Defensive Intelligence | Сторона Offensive Espionage |
|---|---|---|
| Цель | Улучшение собственной безопасности, расследование инцидентов, понимание ландшафта угроз. | Получение конкурентного преимущества, подготовка к целенаправленной атаке, нанесение ущерба. |
| Объект сбора | Общие тактики, техники, индикаторы (TTPs, IoCs), публичные данные об организации. | Конфиденциальная внутренняя информация конкретной организации: исходный код, переписка, детальные схемы. |
| Контекст использования | Внутренний анализ, построение защит, отчётность. Информация не используется против источника. | Информация используется для активных действий против источника или передачи третьей стороне для таких действий. |
Граница проходит не между инструментами, а между намерениями и конечным применением собранной информации. Современный специалист по информационной безопасности по умолчанию владеет инструментарием разведчика. Что он сделает с этой силой — вопрос не к технологиям, а к корпоративной культуре, личной этике и, в конечном счёте, к закону, который пока не успевает за этой трансформацией.
Игнорирование этой двойственной природы intelligence — большая ошибка. Она ведёт к правовым рискам для компании и к профессиональной деформации специалиста, который перестаёт видеть разницу между защитой и скрытой агрессией. Осознание этой тонкой грани — первый шаг к выработке ответственной позиции в мире, где данные стали главным полем боя.