OSINT чек-лист для розслідувань компаній
Журналіст-розслідувач Techjournalist опублікував статтю на Medium під назвою "OSINT Checklist For Company Investigations" як корисний посібник для дослідників, які займаються аналізом компаній, їхніх бізнес-операцій та пов’язаних мереж за допомогою методів OSINT. У статті викладено покроковий метод збору даних про компанії, з особливим акцентом на візуалізацію зв’язків і результатів дослідження.
Сучасні методи розвідки з відкритих джерел (OSINT) дозволяють дізнатися, хто керує компаніями, хто їх фінансує, а також виявити тих, хто намагається це приховати.
Хто заробляє гроші? Хто є власником бізнесу? Хто відповідає за злочини чи сумнівні бізнес-операції? Хто підписує угоди в обхід санкцій? Хто ухиляється від сплати податків через заплутані схеми компаній, завдаючи державі мільярдних збитків? Хто ж…?
Це одні з головних питань, над якими сьогодні працюють журналісти та слідчі фінансових злочинів. Іноді відповіді очевидні, але найчастіше — ні. І часто це зроблено навмисно. Відмивачам грошей, корумпованим чиновникам і пов’язаним із ними бізнесменам вигідно діяти в тіні. Що ж можемо зробити ми, онлайн-дослідники? Ми використовуємо відкритий інтернет, deep та darkweb, закриті реєстри та витоки даних. Це не новий підхід, але інструменти й методи постійно змінюються, одні можливості зникають, інші з'являються. Цей чек-лист допоможе вам ефективно проводити розслідування компаній.
Що ми шукаємо?
Правоохоронці зазвичай шукають "бенефіціара" — людину, яка отримує вигоду від незаконного чи сумнівного бізнесу. В останні двадцять років розвідка з відкритих джерел (OSINT) стала важливим інструментом для розслідувань компаній, використовуваним правоохоронцями, журналістами та для перевірки контрагентів.
У цьому випадку, можна стверджувати, що оцінка компанії, яка діє у власних інтересах, проведена американською Hindenburg щодо індійського конгломерату Adani, із наведенням доказів про "неналежне використання офшорних податкових гаваней та маніпуляції акціями групою", була нічим іншим, як добре проведеним розвідувальним аналізом.
Є багато речей, які потрібно враховувати, коли ми шукаємо сліди даних про компанії. Дані, зібрані з відкритого, глибинного чи темного вебу, часто дозволяють встановити зв'язки, які виявляють незаконний або сумнівний бізнес.
Іноді доводиться копати глибше. Якщо колись інформація про компанії була доступною всім, то тепер прозорості стало менше. Підставні компанії на тропічних островах і правила захисту інформації про бізнес засновників у деяких країнах ускладнюють розуміння того, хто насправді керує компанією.
Чи існує "система в хаосі" (стратегія) при дослідженні бізнес-процесів?
Автор вважає, що є. Тут ви отримаєте свій чек-лист, і він допоможе впоратися з великими обсягами даних і не дозволить забути важливі кроки.
Чек-лист зручний тим, що ви не зобов'язані йти по порядку — можна пропускати деякі пункти. Але коли всі вони виконані, можна сміливо сказати: "Я розібрався з цією компанією, її бізнесом і ключовими людьми". І поставив усі ті запитання, які поставив би хороший журналіст.
Другою важливою складовою є візуалізація. Вона є ключовим етапом дослідження. Тому чек-лист поданий у вигляді візуальної схеми. На даний момент він складається з 17 кроків.
Оскільки в оригінальній статті автора посилання на чек-лист вже не працює залишаємо пдф-ку в коментарях до публікації на телеграм - каналі OsintFlow
Кілька слів про візуалізацію: Для журналістів-розслідувачів часто стоїть завдання розплутати складні схеми та викрити справжніх власників бізнесу. А це зазвичай означає — створювати карти зв’язків, розкриваючи цілі корпоративні мережі, власників і зацікавлених осіб. Це величезна і складна робота. Але вона того варта, як показують приклади розслідувань компаній Wirecard AG та Mossack Fonseca. У 2016 році аналітик Валдіс Кребс, який досліджує відмивання грошей, у своєму блозі опублікував карту зв’язків між компаніями та людьми з різних країн, використовуючи дані з масштабного витоку Panama Papers. І це лише один приклад із тисяч подібних.
Чек-лист (версія 1)
Крок 1: Отримати швидкий загальний огляд компанії
За допомогою GoogleDork, Wikipedia, а також низки інструментів для пошуку компаній від Bellingcat, таких як Company Research OSINT Tool, Corporate Wiki, бази даних Brownbook та інших, ви можете швидко отримати загальне уявлення про те, з якою організацією маєте справу.
Крок 2: Назва компанії/офіційна реєстрація
Це трохи залежить від країни та типу організації, але швидка перевірка в реєстрі компаній, де може бути зареєстрована ця фірма, відкриє доступ до баз даних, у яких можна знайти інформацію про неї. Щойно ви визначили юрисдикцію, звідси можна поглибити розслідування у світ відкритих корпоративних даних. Реєстр промислової власності надасть вам відомості про торговельні марки компанії, знаки обслуговування, інтегральні мікросхеми, комерційні назви та патенти. Це може дати відповідь на питання, чи пов’язана компанія з іншими організаціями.
Крок 3. Компанії та власники бізнесу володіють землею - це часто хороший спосіб знайти імена (іноді бенефіціарних власників). Перевірте #cadastre. Шукайте записи в базах даних, таких як Land Portal, Land Matrix або національні реєстри. Якщо це шахта, перевірте бази даних щодо концесій на видобуток корисних копалин…
Крок 4. Перевірка витоків даних про компанію та власників/керівників: Якщо ви підозрюєте, що це підставна компанія, зверніться до OCCRP та бази даних Offshore Leaks від ICIJ. Для персональних даних компанії шукайте витоки від програм-вимагачів або бази даних, специфічні для країни (наприклад, для Росії).
5. Вебсайт компанії: Тут є на що полювати. Напевно, найцікавіше — це перевірка зв’язків з іншими організаціями (розгортання посилань або перенаправлення); дані про реєстрацію домену (WHOIS), а також вміст сайту (відстеження змін через Webarchive) та архівні дані (наприклад, відео, старі PR-релізи)…
6. Правова історія/судові справи/звинувачення — чи була організація або її засновники замішані в чомусь підозрілому в минулому, наприклад, у звинуваченнях щодо порушення прав людини? Перевірте юрисдикцію країни/регіону та виконайте пошук на відповідних платформах або, наприклад, за хештегом "#bankruptcies" додаючи назву чи ім`я (https://neu.insolvenzbekanntmachungen.de/ap/suche.jsf).
7. Чи є компанія під санкціями або в чорному списку? Це можуть бути офіційні санкційні списки (торговельні обмеження), чорні списки по галузі (наприклад, для судноплавства) або онлайн-бази даних шахрайств (сайти-шахраї, криптовалютні афери тощо).
8. Перевірити інтелектуальну власність компанії або її власників. Країна -> IP бази даних, пошук на платформі або Google Dork для пошуку патентів/технологій/торгових марок...
9. та 10. Стосується даних про імпорт/експорт — чи укладала компанія підозрілі угоди із зарубіжними клієнтами? За потреби відстежуйте контейнери. Або, якщо торгівля публічна, спробуйте tradint (trading OSIINT)
11. Виявити сліди токсичного лобіювання компанії та її партнерів. Існують різні реєстри #lobbying, які варто перевіряти, наприклад, база @ProPublica, реєстр лобістів ЄС, база Німеччини та інші.
12. Перевірити на причетність до корупції. Це ширший підхід, що передбачає перевірку через бази даних щодо відмивання коштів, наприклад, "Troika Laundromat", база Bird ind Bulgaria та інші, залежно від юрисдикції компанії. У будь-якому разі, варто зареєструватися на https://aleph.occrp.org.
13.Дані про екологічні та соціальні питання: перевір ESG-дані, звіти компаній про корпоративну відповідальність і звіти TCFD, або чи купувала компанія вуглецеві кредити з сумнівного джерела…
14. Аналіз інвестицій: Його можна провести за допомогою #socint (чи має власник компанії човен на Канарських островах, або чи є у компанії інші інвестиції, які не відображені в документах, але згадуються в соціальних мережах), чи є у компанії сумнівні інвестори (сторінки фінансування стартапів?)…
15. Варто перевірити, чи вже був поданий “Запит на публічні дані” щодо конкретної компанії, і чи інформація вже доступна онлайн. Є кілька баз даних, які потрібно перевіряти, наприклад, MuckRock (база даних США), FragDenStaat (німецька) або розширений пошук на http://asktheeu.org, ЄС.
16. Співробітники компанії — це також джерела інформації, особливо якщо щось іде не так. Вони можуть бути очевидцями злочинів або неправомірної поведінки (іноді через анонімні відгуки на платформах типу Kununu). Також варто вивчати мережі зв'язків (наприклад, через LittleSis) або сторінки працівників у LinkedIn — там багато корисного в розділі "Інтереси". Окрім цього, за доменом корпоративної пошти можна знайти реальних людей усередині компанії (наприклад, через сервіси: Hunter.io, Experte Email Finder та інші подібні).
17. Візуалізуйте зв'язки! Корпоративні мережі можуть займати десятки сторінок. Тому важливо з'єднати найважливіші точки: Власники -> бізнес-операції -> злочини/порушення. Для цього підходять різні інструменти: Neo4j, Gephi, SpiderFoot, Maltego, Miro.
Кілька слів про візуалізацію: Для журналістів-розслідувачів часто стоїть завдання розплутати та викрити складні схеми, які створюють ці особи. А це означає будувати мапи зв’язків, розкривати всю мережу компаній, власників, партнерів та акціонерів. Візуалізація допомагає краще побачити, хто за ким стоїть і як усе пов’язано.
Це зазвичай величезна й складна робота. Але вона може бути дуже результативною — як показують приклади Wirecard AG та Mossack Fonseca.
У 2016 році аналітик Валдіс Кребс, який досліджує схеми відмивання грошей, у своєму блозі показав реальні зв'язки між компаніями та людьми з різних країн, виявлені у масштабному витоку Panama Papers. І це лише один приклад з тисяч подібних розслідувань.