Майже на 1000% зросла кількість атак на перевізників, порти, 3PL та інших логістичних провайдерів. Лише у 2025 році число кіберінцидентів у логістичному секторі збільшилося на 61% (дані Everstream Analytics).
Тренд “цікавий”: замість атак на окремі компанії, хакери цілеспрямовано заходять у спільні транспортні мережі, де один удар здатен паралізувати ланцюги бізнесів одночасно.
Тож питання з площини «Чи вдарять по вам?» переходить у площину «Коли», і чи будете ви до цього готові.

Про те, як вести бізнес у новій реальності, розповів Дмитро К., Chief Information Officer Dark Face Intelligence

Чи можуть логістичні компанії самостійно проводити аналіз кіберзагроз?

Можуть. Питання — наскільки глибоко і чи вистачить їм цього. Базовий рівень — перевірка в YouControl, OpenDataBot, судових реєстрах — доступний кожному. Але це як перевіряти людину за її резюме: все красиво написано, а реальність інша. Ми бачили випадки, коли компанія-партнер проходила всі стандартні перевірки, а потім виявлялось, що її бенефіціар — колишній менеджер російської оборонки, який “вийшов” з бізнесу якраз перед санкціями. Це не в реєстрах. Це в закритих джерелах, старих кеш-копіях, профілях у соцмережах за 2014 рік.

Коротко: базовий аналіз — самостійно. Але якщо мова про контракт на мільйони або партнерство з невідомою структурою — краще залучити тих, хто знає, де копати.

Якими знаннями та компетенціями мають володіти команди?

Залежить від того, що ви хочете знайти. Базовий рівень — реєстри, судові справи, відкриті джерела. Це може будь-хто з доступом до інтернету і парою годин часу. Але це поверхня.

Для серйозної роботи потрібні навички з інших сфер: Darknet Intelligence — щоб побачити, чи не продаються дані вашого партнера на закритих форумах ще до того, як він сам про це дізнається. HUMINT — бо іноді розмова з правильною людиною дає більше, ніж всі бази разом. Cyber Recon — щоб зрозуміти, хто реально стоїть за красивим сайтом. PSY OPS — щоб читати між рядків і бачити мотивацію, а не тільки факти.

Ми запустили Dark Face Academy саме тому, що таких спеціалістів на ринку просто немає. Університети цьому не вчать.

Залучення сторонніх спеціалістів, це + чи -? Адже є ризики втрати даних.

Логічне питання. Ви даєте комусь доступ до чутливої інформації про свій бізнес і своїх партнерів — звісно, є ризик.

Але є нюанс: професійна команда працює з такими даними щодня. Для нас конфіденційність — не опція, а умова виживання на ринку. Один витік — і репутація мертва. Ми підписуємо NDA, працюємо на захищених каналах, не зберігаємо дані клієнтів після завершення проєкту. І є інший бік: коли компанія намагається робити таку роботу силами внутрішнього IT чи юристів — вони часто не знають, що шукати. І пропускають речі, які видно одразу, якщо знаєш, де дивитись.

Коротко: ризик є завжди. Питання в тому, чи ви довіряєте людям, яких наймаєте. Ми працювали з правоохоронцями і держструктурами — там ціна помилки набагато вища, ніж у бізнесі.

Це OSINT чи щось інше?

OSINT — це лише мала частина. Клікати по сайтах, збирати дані, будувати гіпотези — так, це OSINT. Але це поверхнева гра. Те, чим ми займаємось — це приватна розвідка. Private Intelligence. Це окрема дисципліна, яка включає OSINT як один з інструментів, але йде значно глибше. Приватна розвідка — це коли ви не просто шукаєте інформацію, а будуєте операцію. Визначаєте ціль, плануєте підхід, залучаєте джерела, верифікуєте дані з різних каналів, аналізуєте мотивації людей, прогнозуєте їхні дії. Інколи це означає місяці роботи над однією ціллю.

OSINT — це тактика. Приватна розвідка — це стратегія. Різниця як між тим, хто вміє стріляти, і тим, хто планує всю операцію.

Чи є у вас кейс, щоб показати як це працює?

О, таких історій багато. Ось одна, яку можу розказати без імен. Приходить компанія: фінансовий директор зник. Не просто звільнився, а реально зник. І разом з ним — доступи до крипто-гаманців. Півмільйона в стейблах. Заяву в поліцію написали, але там черги, експертизи, все повільно. А гроші виводяться просто зараз, поки ми розмовляємо.

Починаємо копати. Соцмережі — пусто, все видалено. Реєстри — нічого цікавого. Людина знала, що робила. Ну добре. Ідемо в бази витоків. Знаходимо його email у старому leak’у. Там же — номер телефону. Пробиваємо телефон через злитий білінг оператора — бачимо геолокації за рік. Київ, Одеса, і потім — тиша. Зник з радарів. Тоді ми залазимо в stealer logs — це коли інфостілери збирають дані з заражених комп’ютерів і продають в даркнеті. Паролі, cookies, історія браузера — все. І що ви думаєте?

Його email там є. Бачимо логін на криптобіржу, через яку він виводив гроші. І там же — букінг готелю в Чорногорії. Він навіть не знав, що його комп був заражений. Паралельно HUMINT. Через старі фото знаходимо його колишню. Вона не в курсі ситуації, охоче спілкується. І тут вона викладає сторіс — з геотегом. Він там. Чорногорія. Передаємо все правоохоронцям. Через місяць його затримують. Частину грошей вдалося повернути.

Ще один кейс — але вже інший тип роботи. Прийшла до нас компанія — середній бізнес, логістика, міжнародні контракти. Ніякого інциденту не було. Просто CEO прочитав щось про витоки даних і запитав: “А що про нас можна знайти в інтернеті?”

Ми провели повний аудит їхнього цифрового сліду. І ось що знайшли:
По-перше, на GitHub в публічному репозиторії їхнього розробника лежав конфіг- файл з паролями до внутрішніх систем. Там же — IP-адреси серверів. Це лежало відкрито два роки.
По-друге, в базі витоків знайшли email’и п’яти співробітників з паролями. Три з них досі використовували ці паролі для робочих сервісів.
По-третє, в даркнеті на одному з форумів продавався “доступ до української логістичної компанії” — за описом це були вони. Хтось мав доступ до їхньої CRM і продавав його за 500 доларів. Вони про це не знали.

Ми підготували детальний звіт, допомогли закрити дірки, змінити паролі, прибрати чутливу інформацію з публічного доступу. Інцидент не стався — бо ми знайшли проблему до того, як її знайшов хтось інший.

Як самостійно провести first look аналіз компанії, чи є гайд?

Гайд можна написати. Але чесно? Це як дати людині рецепт і чекати, що вона приготує як шеф-кухар.

Реєстри, судові справи, відкриті бази — це все є. YouControl, OpenDataBot для України. OpenCorporates, Companies House для Європи. Можна гуглити, можна клікати. Але це тільки верхівка.

Справжні знахідки — вони не в реєстрах. Вони в старому пості на форумі за 2012 рік. В метаданих PDF-ки, яку хтось виклав на сайт. В патерні, коли директор компанії онлайн в Telegram о 4 ранку за київським часом — хоча “живе в Києві”. Цьому не вчать в університетах. Це методи, які народжуються в полі. Творчі, нетривіальні, іноді на межі.

Ми роками збирали такі підходи, збираємо і зараз, і використовуємо на практиці в кожному кейсі. Що стосується географії — Україна простіша, бо реєстри відкриті. Міжнародні перевірки — там кожна країна свій всесвіт. Але витоки, соцмережі, blockchain — працюють однаково що тут, що в Дубаї.

P. S. Від редакції

Цим інтерв’ю ми відкриваємо цикл “OSINT і ризики в логістиці”.
Підписуйтесь.
Попереду багато важливого: як провести базовий OSINT-аналіз самостійно, кейси з міжнародних ринків, інтерв’ю з експертами, і поради щодо захисту інформації.

І звісно, якщо ви виходите на міжнародні ринки, працюєте зі складними ланцюгами постачань або просто маєте сумніви щодо кібербезпеки компанії, ви завжди можете звернутись до Dark Face Intelligence. Компанія знається на комплексних аудитах цифрових ризиків: від вразливостей у мережах до ризиків з боку підрядників і спільних транспортних платформ. А кодове слово “Логістика в Україні” допоможе команді швидше розуміти запит і підібрати релевантне рішення для вашого бізнесу.