Найти в Дзене
Skillbit
24 подписчика

Граф всё показал? Как я нашёл «прокладку» в сети связей, которую пропустили до меня

3 мин
Этот кейс начался так, как начинаются 90% OSINT-расследований:
у заказчика уже был красивый граф. 150 узлов.
300 связей.
Цвета, стрелки, подписи. И абсолютное ощущение, что «всё понятно». Через неделю этот же граф чуть не стал основанием для ошибочного управленческого решения на несколько миллионов.
Причина — классическая: граф рисовали как картинку, а не как аналитический инструмент. Показываю, где именно была ошибка — и как мы нашли ключевую «прокладку», которую до этого никто не заметил. Задача:
Проверка аффилированности контрагента перед крупной сделкой. Исходные данные: До меня с этим работали две команды: Обе пришли к выводу: «Прямой связи с рисковым субъектом нет». Формально — да.
Аналитически — нет. Граф был построен по принципу: В итоге: На экране — спагетти.
Много линий, но нулевая иерархия. 📌 Ключевая ошибка:
все связи считались равнозначными. Я не стал добавлять новые данные.
Я сломал граф. Я задал себе вопрос: Эта связь различает гипотезы или просто создаёт шум?
Оглавление

Этот кейс начался так, как начинаются 90% OSINT-расследований:

у заказчика уже был красивый граф.

150 узлов.

300 связей.

Цвета, стрелки, подписи.

И абсолютное ощущение, что «всё понятно».

Через неделю этот же граф чуть не стал основанием для ошибочного управленческого решения на несколько миллионов.

Причина — классическая: граф рисовали как картинку, а не как аналитический инструмент.

Показываю, где именно была ошибка — и как мы нашли ключевую «прокладку», которую до этого никто не заметил.

Вводные данные кейса

Задача:

Проверка аффилированности контрагента перед крупной сделкой.

Исходные данные:

  • корпоративные реестры;
  • открытые профили руководителей;
  • домены, email, телефоны;
  • 200+ скриншотов и выписок.

До меня с этим работали две команды:

  • первая — внутренняя служба безопасности;
  • вторая — внешний подрядчик.

Обе пришли к выводу:

«Прямой связи с рисковым субъектом нет».

Формально — да.

Аналитически — нет.

Как выглядел «ошибочный» граф

Граф был построен по принципу:

  • узел = объект;
  • ребро = любое совпадение.

В итоге:

  • директор → компания;
  • телефон → компания;
  • email → домен;
  • домен → другая компания.

На экране — спагетти.

Много линий, но нулевая иерархия.

📌 Ключевая ошибка:

все связи считались равнозначными.

Что я сделал в первую очередь

Я не стал добавлять новые данные.

Я сломал граф.

Шаг 1. Убрал всё «недиагностичное»

Я задал себе вопрос:

Эта связь различает гипотезы или просто создаёт шум?

И без сожаления выкинул:

  • общие соцсети;
  • старые совпадения адресов;
  • публичные e-mail;
  • массовые сервисы.

Граф сократился:

  • с 150 узлов → до 47;
  • с 300 рёбер → до 62.

И только теперь начал что-то говорить.

Шаг 2. Перекрасил граф по смыслу, а не по красоте

Я использую простое правило:

  • 🔴 красный — влияние / риск
  • ⚪ серый — транзит / прокладка
  • 🟢 зелёный — фон, без признаков участия

И сразу стало видно странное:

  • один серый узел соединял два кластера, которые считались независимыми.

Это и была «прокладка».

Кто такая «прокладка» в аналитическом смысле

Не номинал.

Не формальный директор.

И не бенефициар.

Актор со следующими признаками:

  • низкая публичность;
  • минимальный формальный статус;
  • высокая посредническая роль в сети.

📌 В терминах SNA — high betweenness centrality, при низком degree.

На старом графе он выглядел незначительным.

На очищенном — ключевым.

Шаг 3. Проверка гипотезы, а не «озарение»

Я не писал сразу вывод.

Я зафиксировал:

[F]

  • субъект Х фигурирует в трёх компаниях как консультант;
  • его контакты появляются в переписке двух кластеров;
  • прямых транзакций нет.

[A]

  • субъект Х вероятно выполняет функцию координационного узла;
  • контроль не доказан, но оперативное влияние вероятно.

Ограничения

  • отсутствуют банковские данные;
  • часть коммуникаций вне открытых источников.

Это было важно:

я не «раскрыл заговор», я сузил неопределённость.

Почему предыдущие команды этого не увидели

Потому что:

  1. Смотрели на граф как на иллюстрацию
  2. Не различали типы связей
  3. Не задавали вопрос «а что будет, если убрать 70% узлов?»

Граф не должен поражать.

Он должен отвечать на вопрос.

Как это выглядело в финальном отчёте

Key Judgment

Средняя уверенность: субъект Х выполняет роль посредника между группами А и Б, обеспечивая координацию без формального контроля.

So What

Наличие такого узла создаёт риск скрытого влияния при сохранении формальной независимости сторон.

Now What

Рекомендуется расширенная due diligence по субъекту Х и мониторинг коммуникационных связей.

Никаких «разоблачили».

Только то, что можно защитить.

Что взять себе из этого кейса

Если коротко:

  • Граф — это инструмент исключения, а не накопления.
  • Меньше узлов → больше смысла.
  • Не ищите «главного злодея» — ищите узлы влияния.
  • Всегда отделяйте факт от анализа.

И да — красивый граф чаще всего врет.

Связанные материалы (внутренняя перелинковка)

Если вы здесь впервые — начните отсюда:

👉 Статья №1:

От сырых скриншотов к решению: как писать OSINT-отчёты, которые принимают в работу

Если хотите не попасть в юридическую ловушку:

👉 Статья №2:

Факт или догадка? Как аналитик отделяет данные от интерпретаций

Что дальше

В следующей статье разберу тему, о которую чаще всего ломаются новички:

«Связь ≠ контроль: почему общий IP, телефон или директор ничего не доказывают»

Подпишитесь, если вам нужен OSINT без иллюзий и маркетинга.

CTA под Дзен

💬 Если вы строите графы — в чём чаще всего путаетесь: в инструментах или в интерпретации?

👍 Лайк, если хотите больше реальных кейсов.

🔔 Подписка — дальше будет разбор типичных ошибок.