Найти в Дзене
RedSec.BY | Кибербезопасность в Беларуси
6 подписчиков

OSINT на минном поле: Юридические границы разведки в Беларуси

5 мин
В мире информационной безопасности OSINT (разведка по открытым источникам) — это стандарт де-факто для предварительного этапа пентеста. Но в реалиях Республики Беларусь этот инструмент требует хирургической точности. Белорусское законодательство в сфере цифровой безопасности — одно из самых строгих в регионе. Если в США аналитик рискует гражданским иском, то в Беларуси один неверный клик, сохранение скриншота из «запрещенного» Telegram-канала или сбор данных о сотрудниках без их ведома может привести к реальному сроку по уголовным статьям (ст. 203-1, 352, 361-1 УК РБ). Многие специалисты работают по привычке, ориентируясь на российские или европейские нормы, что является фатальной ошибкой. В этой статье мы разберем правовой фреймворк OSINT именно для Беларуси: как работать с Законом № 99-З, как не попасть под статью об экстремизме при сборе данных и как оформить SOW/ROE так, чтобы не стать фигурантом уголовного дела. Мы используем модель светофора, но с добавлением специфической для Бе
Оглавление
OSINT на минном поле: Юридические границы разведки в Беларуси
OSINT на минном поле: Юридические границы разведки в Беларуси

В мире информационной безопасности OSINT (разведка по открытым источникам) — это стандарт де-факто для предварительного этапа пентеста. Но в реалиях Республики Беларусь этот инструмент требует хирургической точности. Белорусское законодательство в сфере цифровой безопасности — одно из самых строгих в регионе.

Если в США аналитик рискует гражданским иском, то в Беларуси один неверный клик, сохранение скриншота из «запрещенного» Telegram-канала или сбор данных о сотрудниках без их ведома может привести к реальному сроку по уголовным статьям (ст. 203-1, 352, 361-1 УК РБ).

Многие специалисты работают по привычке, ориентируясь на российские или европейские нормы, что является фатальной ошибкой. В этой статье мы разберем правовой фреймворк OSINT именно для Беларуси: как работать с Законом № 99-З, как не попасть под статью об экстремизме при сборе данных и как оформить SOW/ROE так, чтобы не стать фигурантом уголовного дела.

Часть 1. Светофор данных: Классификация рисков в РБ

Мы используем модель светофора, но с добавлением специфической для Беларуси «Радиоактивной зоны».

1.1. Зелёная зона: Публичные данные (ЛЕГАЛЬНО)

Информация, открыто размещенная владельцем или государством.

  • Что входит:ЕГР (Единый государственный регистр юрлиц и ИП) — portal.egr.by.
    Реестр сведений о банкротстве.
    СМИ (официально зарегистрированные в Мининформе).
    Официальные сайты компаний (раздел «О нас»).
    Научные публикации.
  • Легальный статус: Законно.
  • Нюанс РБ: Даже если данные публичны, их использование для «незаконных целей» (например, деанонимизации силовиков или чиновников) влечет уголовную ответственность.

1.2. Жёлтая зона: ToS-Restricted (СЕРАЯ ЗОНА)

Данные доступны, но автоматический сбор запрещен правилами сайта (LinkedIn, Facebook).

  • Риск в РБ: В отличие от США, где это гражданский спор, в РБ массовый скрейпинг может быть теоретически квалифицирован по ст. 352 УК РБ («Неправомерное завладение компьютерной информацией»), если будет доказано, что вы преодолевали технические средства защиты или нарушали целостность работы системы.
  • Практика: Ручной сбор — ОК. Массовый скрейпинг — высокий риск.

1.3. Красная зона: Персональные данные (ВЫСОКИЙ РИСК)

Любая информация, идентифицирующая физлицо.

  • Регулятор: Закон РБ от 07.05.2021 № 99-З «О защите персональных данных».
  • Национальный центр защиты персональных данных (НЦЗПД): Регулятор, который активно штрафует за нарушения.
  • Правило: Сбор, обработка, хранение ПД возможны ТОЛЬКО с согласия субъекта или при наличии законных оснований (ст. 6 Закона № 99-З).
  • Уголовная ответственность: Ст. 203-1 УК РБ (Незаконные действия в отношении информации о частной жизни и персональных данных). Наказание — до 5 лет лишения свободы.
  • Ошибка: «Клиент попросил собрать досье на сотрудников конкурента».Результат: Уголовное дело по ст. 203-1. Согласия сотрудников у вас нет, законного основания — тоже.

1.4. Чёрная зона: Коммерческая тайна и НСД (НЕЗАКОННО)

  • Статьи:Ст. 254 УК РБ (Коммерческий шпионаж).
    Ст. 349 УК РБ (Несанкционированный доступ к компьютерной информации).
  • Сценарий: Использование утекших баз данных, вход под чужими (даже дефолтными) паролями. В РБ любая работа с «ликами» (leak) может трактоваться как соучастие в распространении или неправомерное завладение.

1.5. ☢️ Радиоактивная зона: Экстремизм (СМЕРТЕЛЬНО ОПАСНО)

Уникальная особенность белорусского ландшафта.

  • Суть: В РБ существует «Республиканский список экстремистских материалов». Сюда входят сотни Telegram-каналов, сайтов и даже страниц в Instagram.
  • Риск для OSINT:Подписка на такой канал = Административка (штраф или арест).
    Репост/пересылка материалов (даже коллеге или в отчет клиенту) = Распространение (Ст. 19.11 КоАП).
    Сбор информации и передача её администраторам этих каналов =     Ст. 361-1 или 361-4 УК РБ (Создание/участие в экстремистском формировании или содействие). До 6-7 лет лишения свободы.
  • Правило: Если в ходе OSINT вы наткнулись на экстремистский ресурс — не сохраняйте скриншоты, не пересылайте ссылки, не подписывайтесь. В отчете указывайте только факт наличия негативной информации без цитирования и логотипов.

Часть 2. Документальная защита: SOW и ROE

В Беларуси "джентльменское соглашение" не работает. Вам нужны документы, которые прикроют вас перед Следственным комитетом или ОАЦ (Оперативно-аналитическим центром).

2.1. SOW (Statement of Work)

В договоре должна быть фраза: "Исполнитель обязуется соблюдать Закон Республики Беларусь № 99-З «О защите персональных данных» и не осуществлять действий, нарушающих УК РБ".

2.2. ROE (Rules of Engagement) для РБ

Ваш ROE должен содержать специфические пункты:

  • Scope (Границы): "Сбор информации осуществляется исключительно из открытых общедоступных источников, не запрещенных законодательством РБ".
  • Запрет на ПД: "Заказчик подтверждает, что не требует от Исполнителя сбора персональных данных физических лиц без их письменного согласия, за исключением случаев, предусмотренных ст. 6 Закона № 99-З (например, данные из ЕГР)".
  • Экстремизм: "Исполнитель не осуществляет мониторинг, подписку и анализ ресурсов, включенных в Республиканский список экстремистских материалов, и не предоставляет отчеты, содержащие символику или контент таких ресурсов".
  • Соблюдение ст. 349/352 УК РБ: "Исполнитель не производит подбор паролей, обход технических средств защиты и использование уязвимостей для получения доступа к информации".

Часть 3. Как говорить с Заказчиком (Бизнес vs УК РБ)

Белорусские заказчики часто хотят «пробить человека по базам». Ваша задача — объяснить, почему вы не будете этого делать, ссылаясь не на этику, а на Уголовный Кодекс.

Сценарий 1: "Пробейте сотрудников конкурента"

  • Клиент: "Найдите нам мобильные телефоны и адреса менеджеров компании X."
  • Вы: "Это прямое нарушение ст. 203-1 УК РБ (Незаконный сбор персональных данных). В Беларуси за это предусмотрена уголовная ответственность, а не просто штраф. Кроме того, это нарушение Закона № 99-З. Мы можем собрать только официальные контакты, указанные на сайте компании или в бизнес-справочниках."

Сценарий 2: "Посмотрите, что про нас пишут в 'черных списках' телеграма"

  • Клиент: "Сделайте отчет по всем оппозиционным чатам."
  • Вы: "Работа с материалами, признанными экстремистскими, несет риски по ст. 19.11 КоАП (хранение и распространение). Мы не можем сохранять этот контент и пересылать его вам в отчете. Мы можем использовать специализированные сервисы мониторинга брендов, которые обезличивают данные, но ручной сбор и подписка на эти каналы для нас невозможны."

Продолжение на сайте redsec.by >>>