Red Teams | 27 января 2026

OSINT на минном поле: Юридические границы разведки в Беларуси

OSINT на минном поле: Юридические границы разведки в Беларуси

В мире информационной безопасности OSINT (разведка по открытым источникам) — это стандарт де-факто для предварительного этапа пентеста. Но в реалиях Республики Беларусь этот инструмент требует хирургической точности. Белорусское законодательство в сфере цифровой безопасности — одно из самых строгих в регионе.

Если в США аналитик рискует гражданским иском, то в Беларуси один неверный клик, сохранение скриншота из «запрещенного» Telegram-канала или сбор данных о сотрудниках без их ведома может привести к реальному сроку по уголовным статьям (ст. 203-1, 352, 361-1 УК РБ).

Многие специалисты работают по привычке, ориентируясь на российские или европейские нормы, что является фатальной ошибкой. В этой статье мы разберем правовой фреймворк OSINT именно для Беларуси: как работать с Законом № 99-З, как не попасть под статью об экстремизме при сборе данных и как оформить SOW/ROE так, чтобы не стать фигурантом уголовного дела.

Часть 1. Светофор данных: Классификация рисков в РБ

Мы используем модель светофора, но с добавлением специфической для Беларуси «Радиоактивной зоны».

1.1. Зелёная зона: Публичные данные (ЛЕГАЛЬНО)

Информация, открыто размещенная владельцем или государством.

  • Что входит:
    • ЕГР (Единый государственный регистр юрлиц и ИП) — portal.egr.by.
    • Реестр сведений о банкротстве.
    • СМИ (официально зарегистрированные в Мининформе).
    • Официальные сайты компаний (раздел «О нас»).
    • Научные публикации.
  • Легальный статус: Законно.
  • Нюанс РБ: Даже если данные публичны, их использование для «незаконных целей» (например, деанонимизации силовиков или чиновников) влечет уголовную ответственность.

1.2. Жёлтая зона: ToS-Restricted (СЕРАЯ ЗОНА)

Данные доступны, но автоматический сбор запрещен правилами сайта (LinkedIn, Facebook).

  • Риск в РБ: В отличие от США, где это гражданский спор, в РБ массовый скрейпинг может быть теоретически квалифицирован по ст. 352 УК РБ («Неправомерное завладение компьютерной информацией»), если будет доказано, что вы преодолевали технические средства защиты или нарушали целостность работы системы.
  • Практика: Ручной сбор — ОК. Массовый скрейпинг — высокий риск.

1.3. Красная зона: Персональные данные (ВЫСОКИЙ РИСК)

Любая информация, идентифицирующая физлицо.

  • Регулятор: Закон РБ от 07.05.2021 № 99-З «О защите персональных данных».
  • Национальный центр защиты персональных данных (НЦЗПД): Регулятор, который активно штрафует за нарушения.
  • Правило: Сбор, обработка, хранение ПД возможны ТОЛЬКО с согласия субъекта или при наличии законных оснований (ст. 6 Закона № 99-З).
  • Уголовная ответственность: Ст. 203-1 УК РБ (Незаконные действия в отношении информации о частной жизни и персональных данных). Наказание — до 5 лет лишения свободы.
  • Ошибка: «Клиент попросил собрать досье на сотрудников конкурента».
    • Результат: Уголовное дело по ст. 203-1. Согласия сотрудников у вас нет, законного основания — тоже.

1.4. Чёрная зона: Коммерческая тайна и НСД (НЕЗАКОННО)

  • Статьи:
  • Сценарий: Использование утекших баз данных, вход под чужими (даже дефолтными) паролями. В РБ любая работа с «ликами» (leak) может трактоваться как соучастие в распространении или неправомерное завладение.

1.5. ☢️ Радиоактивная зона: Экстремизм (СМЕРТЕЛЬНО ОПАСНО)

Уникальная особенность белорусского ландшафта.

  • Суть: В РБ существует «Республиканский список экстремистских материалов». Сюда входят сотни Telegram-каналов, сайтов и даже страниц в Instagram.
  • Риск для OSINT:
    • Подписка на такой канал = Административка (штраф или арест).
    • Репост/пересылка материалов (даже коллеге или в отчет клиенту) = Распространение (Ст. 19.11 КоАП).
    • Сбор информации и передача её администраторам этих каналов = Ст. 361-1 или 361-4 УК РБ (Создание/участие в экстремистском формировании или содействие). До 6-7 лет лишения свободы.
  • Правило: Если в ходе OSINT вы наткнулись на экстремистский ресурс — не сохраняйте скриншоты, не пересылайте ссылки, не подписывайтесь. В отчете указывайте только факт наличия негативной информации без цитирования и логотипов.

Часть 2. Документальная защита: SOW и ROE

В Беларуси "джентльменское соглашение" не работает. Вам нужны документы, которые прикроют вас перед Следственным комитетом или ОАЦ (Оперативно-аналитическим центром).

2.1. SOW (Statement of Work)

В договоре должна быть фраза: "Исполнитель обязуется соблюдать Закон Республики Беларусь № 99-З «О защите персональных данных» и не осуществлять действий, нарушающих УК РБ".

2.2. ROE (Rules of Engagement) для РБ

Ваш ROE должен содержать специфические пункты:

  • Scope (Границы): "Сбор информации осуществляется исключительно из открытых общедоступных источников, не запрещенных законодательством РБ".
  • Запрет на ПД: "Заказчик подтверждает, что не требует от Исполнителя сбора персональных данных физических лиц без их письменного согласия, за исключением случаев, предусмотренных ст. 6 Закона № 99-З (например, данные из ЕГР)".
  • Экстремизм: "Исполнитель не осуществляет мониторинг, подписку и анализ ресурсов, включенных в Республиканский список экстремистских материалов, и не предоставляет отчеты, содержащие символику или контент таких ресурсов".
  • Соблюдение ст. 349/352 УК РБ: "Исполнитель не производит подбор паролей, обход технических средств защиты и использование уязвимостей для получения доступа к информации".

Часть 3. Как говорить с Заказчиком (Бизнес vs УК РБ)

Белорусские заказчики часто хотят «пробить человека по базам». Ваша задача — объяснить, почему вы не будете этого делать, ссылаясь не на этику, а на Уголовный Кодекс.

Сценарий 1: "Пробейте сотрудников конкурента"

  • Клиент: "Найдите нам мобильные телефоны и адреса менеджеров компании X."
  • Вы: "Это прямое нарушение ст. 203-1 УК РБ (Незаконный сбор персональных данных). В Беларуси за это предусмотрена уголовная ответственность, а не просто штраф. Кроме того, это нарушение Закона № 99-З. Мы можем собрать только официальные контакты, указанные на сайте компании или в бизнес-справочниках."

Сценарий 2: "Посмотрите, что про нас пишут в 'черных списках' телеграма"

  • Клиент: "Сделайте отчет по всем оппозиционным чатам."
  • Вы: "Работа с материалами, признанными экстремистскими, несет риски по ст. 19.11 КоАП (хранение и распространение). Мы не можем сохранять этот контент и пересылать его вам в отчете. Мы можем использовать специализированные сервисы мониторинга брендов, которые обезличивают данные, но ручной сбор и подписка на эти каналы для нас невозможны."

Часть 4. Пропущенные риски: Что еще важно в РБ

4.1. VPN и средства анонимизации

В Беларуси использование VPN само по себе не запрещено для физлиц, но использование средств анонимизации для доступа к запрещенным ресурсам отслеживается.

  • В контексте корпоративного пентеста/OSINT использование Tor или VPN должно быть прописано в ROE и, желательно, осуществляться с IP-адресов, не ассоциированных напрямую с офисом, чтобы избежать блокировки подсетей провайдером по указу регулятора.

4.2. Деанонимизация должностных лиц

В РБ действует жесткое законодательство касательно сбора данных о судьях, силовиках, чиновниках и их семьях.

  • Риск: Если ваша цель в пентесте случайно окажется родственником должностного лица, сбор данных о нем может быть трактован как подготовка к преступлению против порядка управления.
  • Совет: При малейшем подозрении, что объект OSINT связан с госаппаратом или силовыми структурами — STOP. Исключайте эти фигуры из скоупа немедленно.

4.3. ОАЦ и лицензирование

Некоторые виды деятельности по технической защите информации в РБ лицензируются ОАЦ (Оперативно-аналитическим центром).
Хотя чистый OSINT (поиск в Google) не требует лицензии, если вы продаете это как «Аудит информационной безопасности» или «Поиск уязвимостей», убедитесь, что ваша деятельность не подпадает под лицензируемые виды (Указ № 456, сейчас основным документом является Закон Республики Беларусь от 14.10.2022 № 213-З «О лицензировании»).

Часть 5. Лицензионная ловушка: ОАЦ и незаконное предпринимательство

В Беларуси существует уникальный риск, с которым редко сталкиваются коллеги из ЕС или США. Вы можете собрать данные абсолютно легально (из открытых источников), не нарушить Закон о персональных данных, но все равно получить огромный штраф и конфискацию всего дохода.

Причина — отсутствие лицензии на деятельность по технической защите информации (ТЗИ).

5.1. Регулятор и Закон № 213-З

Согласно Закону Республики Беларусь от 14.10.2022 № 213-З «О лицензировании», деятельность по технической и (или) криптографической защите информации подлежит обязательному лицензированию. Регулятором выступает Оперативно-аналитический центр при Президенте Республики Беларусь (ОАЦ).

Лицензия обязательна, если вы выполняете:

  • Работы по проектированию и созданию систем защиты информации.
  • Аттестацию систем защиты информации.
  • Работы с криптографией (шифрование, ЭЦП).

5.2. Где ломается логика: OSINT vs ТЗИ

Казалось бы, при чем тут OSINT? Вы ведь просто ищете информацию в Google, а не настраиваете Firewalls или антивирусы. Вы не защищаете информацию, вы её ищете.

Ловушка кроется в формулировках договора.

Если вы продаете свои услуги как «Аудит информационной безопасности», «Поиск уязвимостей» или «Оценка защищенности», контролирующие органы (ДФР КГК, Налоговая инспекция, ОАЦ) могут трактовать это как деятельность по оценке эффективности мер защиты информации. А это — лицензируемый вид деятельности (часть процесса аттестации).

Сценарий провала:

  • Вы (ИП или ООО без лицензии ОАЦ) заключаете договор с клиентом на «Аудит информационной безопасности методом OSINT».
  • Вы сдаете отчет, получаете оплату.
  • При проверке выясняется, что у вас нет лицензии на ТЗИ.
  • Деятельность признается незаконной предпринимательской.
  • Итог: Конфискация 100% дохода по сделке + штраф до 500 базовых величин.

5.3. Словарь выживания: Как называть услуги

Чтобы оставаться в правовом поле без лицензии, вы должны четко разграничивать в документах «Разведку» и «Защиту».

ОПАСНЫЕ ФОРМУЛИРОВКИ (Требуют лицензии)БЕЗОПАСНЫЕ ФОРМУЛИРОВКИ (Чистый OSINT/Консалтинг)
Аудит информационной безопасностиИнформационно-аналитические услуги
Поиск уязвимостей информационной системыМониторинг упоминаний бренда в сети Интернет
Оценка соответствия требованиям ОАЦКонсультационные услуги в сфере IT
Аттестация / Проектирование СЗИСбор и систематизация общедоступных данных
Тестирование на проникновение (Pentest)Анализ присутствия компании в публичном поле

5.4. Красные линии: Чего нельзя делать без лицензии

Даже если вы назвали договор правильно, суть работ не должна пересекаться с лицензируемой деятельностью:

  • Не выдавайте «Аттестат» или «Заключение о соответствии». Ваш отчет — это «Справка» или «Аналитическая записка». Она носит информационный характер и не имеет юридической силы для ввода системы в эксплуатацию (например, для гос. информсистем).
  • Не касайтесь криптографии. Даже консультация по выбору VPN или настройке SSL/TLS может быть трактована как деятельность по криптозащите. Избегайте рекомендаций по настройке шифрования в официальных отчетах.
  • Избегайте Госзаказчиков. Государственные организации в РБ обязаны аттестовывать свои системы по приказам ОАЦ. Если они заказывают у вас работу, они почти всегда подразумевают лицензируемую деятельность. Работать с частным бизнесом безопаснее — им нужен результат, а не бумажка с печатью лицензиата.

Резюме:

Чистый OSINT (поиск информации) не требует лицензии. Но продажа OSINT под видом «Аудита безопасности» — это прямой путь к конфискации дохода. Внимательно вычитывайте предмет договора и Акты выполненных работ.

Часть 6. Decision Tree (Беларусский вариант)

  • Ресурс в списке экстремистских материалов?
    • Да -> СТОП НЕМЕДЛЕННО. Закрыть вкладку, очистить кэш. Никаких скринов.
    • Нет -> Иди к п.2.
  • Это персональные данные (ФИО + контакт)?
    • Да -> Есть согласие субъекта по Закону № 99-З?
      • Нет -> СТОП. (Риск ст. 203-1 УК РБ).
      • Да -> Иди к п.3.
  • Данные получены путем обхода защиты (пароля)?
    • Да -> СТОП. (Риск ст. 352/349 УК РБ).
    • Нет -> Иди к п.4.
  • Объект — должностное лицо или силовик?
    • Да -> СТОП. Высокий риск.
    • Нет -> ОК, работаем аккуратно.

Заключение

OSINT в Беларуси — это ходьба по канату. С одной стороны — потребность бизнеса в безопасности, с другой — Уголовный кодекс с реальными сроками. Ваша главная защита — это знание «красных флажков» (экстремизм, персональные данные, ст. 352 УК) и железобетонный договор, перекладывающий ответственность за легальность цели на Заказчика.

Не играйте в шпионов. В РБ это не игра.

OSINT

Как вам статья?

По теме
Система документирования Red Team операций: Как сэкономить сотни часов и не потерять контроль над атакой
Анатомия атаки на ИИ: Полное руководство по Red Teaming для больших языковых моделей (LLM)
Enterprise OSINT и EASM: Полная анатомия цифрового периметра компании
Чемоданчик ИБ-специалиста: Физические инструменты, без которых аудит и пентест — это фикция
Про ИБ в Беларуси

ТГ-канал "RedSec.Belarus"

Перейти
Следующий пост

Чемоданчик кибербезопасника: Полный гид по инструментам, без которых ИБ — это профанация

Полный обзор инструментов информационной безопасности для Blue и Red Team. От EDR и SIEM до OSINT и пентест-фреймворков. Выбор профессионалов для защиты и аудита

27 января 2026