Před mikrofonem: Pomocí OSINTu prověřuji obchodní partnery a řeším úniky dat

Ondřej Šlechta. Přední český odborník na OSINT, tedy získávání informací z otevřených zdrojů. K čemu se OSINT v praxi používá? Kde leží etické a právní hranice?

Před mikrofonem: Pomocí OSINTu prověřuji obchodní partnery a řeším úniky dat

OSINT, open source intelligence, zpravodajství z otevřených zdrojů. Jak bys tento pojem nebo činnost stručně vysvětlil?

Ondřej Šlechta: Pokusím se OSINT vysvětlit jako obor, jehož význam dnes exponenciálně nabývá významu s tím, jak narůstá a doslova bobtná informační prostor a množství veřejně dostupných (otevřených) informací a informačních zdrojů.

Z jednoho úhlu pohledu není tedy OSINT, zpravodajství z otevřených zdrojů, nic nového. Jde se o jednu ze zpravodajských domén a jako takový byl OSINT využíván minimálně od druhé světové války. Byl tu tedy samozřejmě dříve, ale během druhé světové války se otevřenými informačními zdroji začaly různé instituce zodpovědné za vedení válečných operací zabývat systematicky.

Takže zatímco dříve se zpravodajské organizace (nejen ty státní) zabývaly otevřenými zdroji ve smyslu novinových článků, dostupných databází nebo obsahem rozhlasového vysílání, postupně se všechno přesunulo do digitální oblasti, která jako by absorbovala velkou část toho „analogového“ informačního světa. Čili mezi otevřené zdroje informací dnes můžeme zařadit nejenom veřejné databáze jako obchodní a živnostenské rejstříky nebo mediální archivy, ale také veškerou digitální stopu, kterou za sebou uživatelé internetu a různá do internetu připojená zařízení zanechávají v podobě metadat a dalších údajů. Patří tam všechno, co lze objevit v diskusních fórech různých komunit a na sociálních sítích. A to jsem ještě nezmínil metody, kterými lze obcházet nastavené vyhledávací algoritmy a výrazně tak zpřesňovat výsledky vyhledávání pomocí internetových vyhledávačů. Tedy vyhledávačů v tom viditelném prostoru, který ve skutečnosti tvoří jen cca 5 % obsahu veškerého internetu. Pochopitelně
i těch zbylých 95 % lze zkoumat OSINT metodami. Nehledě na to, že tohle všechno je možné výrazně zrychlit pomocí automatizace a umělé inteligence…

Zařadil bys tedy OSINT mezi ostatní zpravodajské metody nebo formy práce s informacemi?

Ondřej Šlechta: Já jsem přesvědčený, že dnes se z OSINT stává samostatný obor. Velmi obecně, až akademicky, můžeme OSINT označit za způsob získávání a vyhodnocování dat a informací z těch zdrojů, které jsou veřejně dostupné, a proto otevřené. To ale neznamená, že jsou dostupné vždy, za všech okolností, že přístup k nim není technicky složitější a že se obejdeme bez znalosti specifické cesty, klíče nebo použití softwarového nástroje.

Zároveň je potřeba zdůraznit, že OSINT není to, že shromáždím nějaká data, která si odněkud stáhnu, nebo to za sebe nechám udělat algoritmus. Slovo „intelligence“, zde ve smyslu zpravodajství, je budování znalostí, to znamená ověřování, kritické vyhodnocení a interpretace informací, které z otevřených zdrojů získám. Vlastně je to nekončící proces, cyklus.

Jak ses k OSINTu dostal ty?

Ondřej Šlechta: Pokud jde o mě, tak už od raných vysokoškolských studií mě vedla nějaká přímá linka zájmu o bezpečnostní otázky k tomu, že jsem se začal zabývat i právě tou zpravodajskou doménou. Působil jsem také na Ministerstvu obrany ČR a několik posledních let se tomu věnuji v soukromém sektoru. Abych nezapomněl, ten zájem o OSINT vygradoval do té míry, že jsem se částečně vrhnul i do výzkumu: jsem doktorandem na Fakultě informatiky a statistiky VŠE.

Jaká je tvoje typická zakázka a zákazník? A co obvykle obsahuje výstup z tvojí práce?

Ondřej Šlechta: Na tom je zajímavé, že vlastně skoro žádný projekt ani poptávka se nejmenuje „OSINT.“ Typické zákazníky a klienty bych rozdělil do dvou skupin:

V rámci firmy, která klientům pomáhá s řízením bezpečnostních rizik, s několika kolegy pokrýváme spektrum, které laik nejspíš zná jako „detektivní služby“. Osobně ten název nemám moc rád, protože tradičně evokuje něco jiného, než co děláme a co nám jde. Není to partnerská nevěra nebo prevence ztrát v retailu, ale zabýváme se primárně bezpečností ve firemním, korporátním prostředí.

Jinými slovy, zajišťujeme klientům například služby v oblasti tzv. due diligence, kdy klienta primárně zajímá maximum možných a legálně dostupných informací z hlediska kredibility, spolehlivosti a možných rizik spojených s potenciálními obchodními partnery, zaměstnanci na klíčových pozicích a investičními záměry. Také poskytujeme investigativní služby, především v rámci litigační podpory pro advokátní kanceláře, ale i pro další subjekty. OSINT, tedy získávání veřejně dostupných informací, je vedle dalších činností nezbytnou a neodmyslitelnou součástí takové práce.

Ta druhá skupina jsou klienti, kteří čelí problémům s úniky informací nebo je zajímá monitoring skupin, které jsou za tyto úniky odpovědné a ukradená data vystavují na tzv. Darkwebu. Na takovém výzkumu se podílím a opět je to oblast, kterou je možné zkoumat a vyšetřovat uvedenými OSINT metodami.

Jaké jsou typické zdroje informací, se kterými pracuješ, ať už v České republice nebo celosvětově? A dá se nějak kvantifikovat, jaký zdroj je pro tebe obvykle nejlepší, kde najdeš nejvíce informací? Jsou to média, veřejné registry a rejstříky, sociální sítě?

Ondřej Šlechta: Jednoduše se na to odpovědět nedá a nelze to přesně kvantifikovat. Každý projekt je jiný a každý může vyžadovat trochu jiný přístup, trochu jiné zdroje. Navíc se bavíme o zpravodajské činnosti, ta se řídí tzv. zpravodajským cyklem a vyžaduje velkou míru kritického myšlení. Není tedy možné tvrdit, že existuje nějaký zdroj, který je studnicí informací. Tak to nefunguje. Vždy je nutné všechny informace vyhodnocovat a tu skládačku ideálně sestavit z různých zdrojů.

Ale uznávám, že každý zdroj může hrát svoji specifickou a nenahraditelnou úlohu (byť relativně bezcennou bez jiných zdrojů). Tak například internetový archiv dávno přemazané stránky může přinést zcela nečekanou informaci o nějaké události, v jistých veřejných rejstřících se zákonně shromažďuje relevantní dokumentace ke klientům některých institucí a někdy tam lze nalézt i velmi zajímavé až znepokojivé informace. Sociální sítě jsou kapitola sama pro sebe a významně zjednodušily získávání prakticky jakýchkoli informací o osobách…

Používáš nějaké nástroje pro automatické získávání a zpracování a vyhodnocování dat?

Ondřej Šlechta: Ano, ale protože problematiku OSINT a bezpečnosti informací také někdy školím, tvrdím jednu věc. Většina automatizovaných nástrojů, ať už jde o různé nástroje nebo aplikace pro analýzu doménových jmen, IP adres, profilů na sociálních sítích nebo unikátních ID jejich uživatelů a tak dále, umí různé nástroje jen lépe a rychleji (byť obojí výrazně) vyhledat to, co OSINT analytik zvládne ručně. A nikdy nevíte, kdy stránka, aplikace nebo nějaké rozšíření přestane z různých důvodů fungovat, takže se vyplatí ty věci znát a umět si poradit i bez automatických řešení.

Jinak jsou automatizovaná řešení samozřejmě vítaným pomocníkem. Byl bych nicméně opatrný u nástrojů generativní umělé inteligence. Ty mohou paradoxně výrazně pomoci po obsahové stránce například tím, že vám umí generovat rychle sady vhodných vyhledávacích dotazů. Ale problém může nastat ve chvíli, kdy chatbotovi dáte vstupní data s úkolem vytvořit finální zprávu a zároveň ho tak „nakrmíte“ citlivými, klientskými daty.

Ne všechny veřejně přístupné informace lze využít k čemukoliv. Jaké vnímáš etické hranice? Narazil jsi už na nějakou informaci, která sice byla veřejně dostupná, ale rozhodl ses jí nepoužít?

Ondřej Šlechta: Využít některé veřejně přístupné informace může být považováno nejen za neetické, ale za určitých podmínek i kriminální. Bohužel je dnes možné na internetu identifikovat i sexuálně explicitní materiál zobrazující zneužívání dětí nebo balíky ukradených kreditních karet či přístupových údajů k e-mailovým a jiným účtům. Pochopitelně zneužití takových informací například formou pokusu o získání neoprávněného přístupu k účtu by bylo trestným činem.

V obecné rovině si myslím, že je na místě řídit se zásadou nezbytné znalosti (need-to-know), tedy neshromažďovat informace, které nejsou relevantní pro daný účel. Ta čistě právní rovina ale pochopitelně bude vždy jasnější než rovina etická.

Kde tedy při svojí práci vnímáš právní hranice? Z pohledu našeho zaměření zejména ve vztahu k informacím o fyzických osobách, tedy jejich osobním údajům?

Ondřej Šlechta: Ty právní hranice jsou podle mě dobře dané. Ať už jde o zákoník práce ve smyslu, jaké informace mohu po uchazeči o zaměstnání požadovat a přenášet tak například na třetí stranu ověření uchazečovy profesní historie a dalších informací při tzv. pre-employment screeningu. Dále jsem přesvědčený, že se určitě vyplatí držet se rámce, který nastavilo GDPR, to znamená plnit všechny požadavky, které jsou na mě kladeny buď jako na správce nebo jako na zpracovatele osobních údajů. A pochopitelně mít všechna zpracování podložena řádným právním titulem.

Stává se, že ti někdo kvůli tvé práci vyhrožuje GDPR (podáním stížnosti či žaloby), nebo chtěl například s využitím GDPR práv získat informace o zdroji tvých zpráv atd.?

Ondřej Šlechta: Nestalo, ale trochu to rozvedu. Teď nechci prozrazovat více, než je nezbytně nutné, ale tvrdím, že kdo se chce zabývat problematikou OSINT, měl by věnovat mimořádnou pozornost i zásadám operační bezpečnosti, tedy chovat se a pohybovat v informačním prostoru takovým způsobem, který minimalizuje digitální stopu daného vyšetřovatele a snižuje tak riziko úniku osobních údajů a dalších citlivých informací.

Často jsou našimi klienty zahraniční konzultační a zpravodajské společnosti, které nemají kapacity na území ČR nebo Slovenska a my fungujeme jako jejich regionální dodavatel. Mezi námi je pak samozřejmě smluvní vztah, NDA a podobně, ale finálního odběratele často ani neznám, stejně jako případnou protistranu, byť si to z obsahu zadání mohu odvodit. Ale s nějakým vyhrožováním nebo stížnostmi jsem se zatím nesetkal, a to ani v situaci, kdy naopak jsme finálním a jediným dodavatelem.

Zažil jsem předvolání k podání svědecké výpovědi ve sporu, ve kterém jsme právě klientovi poskytovali služby litigační podpory. To k té práci asi patří. Mohu k tomu říct jen to, že součástí naší výsledné zprávy byla samozřejmě i zjištění získaná prostřednictvím OSINT technik.

Myslíš, že GDPR, nebo unijní regulace zpracování dat obecně, komplikuje efektivní provádění zpravodajství z otevřených zdrojů? Nebo je to prostě nedílná součást tvojí práce, se kterou počítáš a kterou nevnímáš jako překážku?

Ondřej Šlechta: Já vítám GDPR jako jednu z mála smysluplných unijních regulací. Myslím si, že člověk, který ovládá techniky získávání informací z otevřených zdrojů, dostává do rukou svým způsobem určitou zbraň.

Rozhodně je dobré, že informační prostor, který je v případě OSINT do velké míry o získávání dat a informací o osobách, má nějaký regulační rámec. Zatím jsem se nesetkal s tím, že by mě v práci GDPR omezilo.

Jaká je podle tebe budoucnost OSINTu, řekněme v horizontu 10 let? Pokročilé vyhledavače typu Google s prvky umělé inteligence, nebo stále člověk, který umí s moderními nástroji pracovat?

Ondřej Šlechta: To je otázka za milion. Já si chvílemi myslím, že je před námi možná docela dystopická budoucnost. AI bude hrát určitě rozhodující úlohu, ale jak to bude vypadat, je velká neznámá. Vzpomeňte si na ty nedávné přesuny ve vedení společnosti OpenAI, která vyvíjí asi nejznámější nástroj generativní umělé inteligence ChatGPT. Tam se objevila jedna spekulace, která tvrdila, že se část představenstva společnosti se měla vyděsit na základě zjištění, jakých pokroků dosáhla nejnovější verze ChatGPT, která ještě ani není na trhu. Očekávám, že s takovými nástroji význam OSINT ještě poroste a povede se nová technologická studená válka o to, kdo v této oblasti (nejen AI) získá převahu.

Ale nemyslím si, že by to byl konec lidské práce v oblasti OSINT nebo zpravodajské činnosti obecně. Už minimálně z toho důvodu, že stále bude potřeba lidská síla, která ten vývoj bude sledovat a v oboru aplikovat na míru vlastním potřebám.

Ondřej Šlechta působí jako manažer služeb korporátní bezpečnosti ve společnosti TOP security, kde má na starosti problematiku související s OSINT a poskytování služeb v oblasti vyšetřování a bezpečnosti informací. V minulosti působil na Ministerstvu obrany ČR, spolupracoval se zahraničními bezpečnostními společnostmi jako je Pinkerton nebo NaviRisk, která je zahraničním partnerem společnosti TOP security. Dále se věnuje problematice darkwebu a pomáhá rozvíjet jeho monitoring, včetně vývoje softwarového nástroje ve spolupráci s českým start-upem CZECHMATE CZ. Zároveň působí jako doktorand na Fakultě informatiky a statistiky VŠE.