Az OSINT fogalma, használata és korlátai
Az OSINT (open source intelligence) nyilvános forrásokból elérhető adatok megszerzése, információvá történő feldolgozása és szolgáltatása a megrendelő számára tudás formájában. Számos más definíciója is létezik, a hagyományos és az újabb megközelítés abban különbözik, hogy az adatok elérése jogszerű-e, engedélyezett-e, avagy nem feltétlenül az. A modern angolszász felfogás inkább arra hajlik, hogy ami mindenki számára elérhető, az bizonyos határok között fel is dolgozható.
A klasszikus OSINT források különböző megjelent könyvek, tudományos publikációk, konferenciák előadásanyagai és hasonló nagyon vegyes források, míg napjainkban ezeket nem mellőzve OSINT alatt leginkább az internetről letöltött szöveg, kép, videó és hang formátumú anyagok feldolgozását értjük. Az OSINT műkedvelői leggyakrabban a közösségi médiát használják, de professzionális kutatók ezeken messze túlnyúlnak. Az OSINT határos az összadatforrású hírszerzés más területeivel, mint például a jelhírszerzés (SIGINT), humán hírszerzés (HUMINT), képi hírszerzés (IMINT), pénzügyi hírszerzés (FININT) stb., de semmiképpen sem tartozik az OSINT alá olyan proaktív tevékenység, mint a hekkelés. Az OSINT tárgya természetesen lehet bármi, de tipikusan cégek, tudományos eredmények, személyek, események, médiában közölt hírek.
Az OSINT eszköztárát első megközelítésben bárki használja, aki nyílt forrásból adatot gyűjt bármiről vagy bárkiről, de egyes szakterületek ezt a munkát professzionálisan űzik. Ilyenek lehetnek a rendvédelemi szervek, nemzetbiztonsági szolgálatok, jogi irodák kiszolgálói, tőzsdei elemzők, járványügyi szakértők, adatújságírók stb. Az OSINT eszköztára az egyszerű online kereséstől kezdve a mesterséges intelligencia teljes arzenáljának bevetéséig a teljes spektrumot lefedi. Az OSINT szakszerű használatára számos képzés folyik, ezek mélysége a jövendő felhasználók jogköreinek mélységétől függ, a civilektől egészen a felesküdött tisztekig. Ilyen képzések Magyarországon vagy Magyarországról is elérhetők online formában érdeklődő civileknek, detektíveknek, kutatóknak és profi szakembereknek.
Az OSINT alkalmazásának alapvetően két korlátját ismerjük, az etikait és a jogit. Jogi korlátról beszélhetünk, ha az OSINT valamely eszközének használata az adott ország törvényeivel ütközik. Az etikai korlátot definiálhatjuk úgy is, hogy az, ami nem ütközik törvénybe, de az elkövető nem szeretné, ha az újságok írnának róla.
A személyiségi jogokkal összefüggésben az USA több mindent megenged, mint az EU. Az Amerikai Egyesült Államok gyakorlata egyszerűsítve az, hogy ha valaki kitesz magáról szöveget, képet, videót a netre, az vegye tudomásul, hogy mások ezeket fel is használhatják. Az EU-s gyakorlatot a GDPR szabályozza jóval szigorúbb keretek között, azaz az OSINT szempontjából kiemelt fontosságú a személyiségi jogok figyelembevétele. Az EU-n belül emberekre való keresés lényegesen érzékenyebb téma, mint cégekre vagy katonai műveletekre.
Mit ír elő a GDPR az OSINT vonatkozásában?
A leglényegesebb a számonkérhetőség a jogszerűség a személyiségi jogok tiszteletben tartása vonatkozásában. Fontos, hogy nem elég számonkérhetőnek lenni, annak is kell látszani egy esetleges ellenőrzés során. Ennek technikája a munka dokumentálása, ami fáradtságos adminisztrációval jár. A GDPR alapján az OSINT munkának is meg kell találnia az egyensúlyt a személyiségi és közösségi érdek között. Egy pedofil nem hivatkozhat a személyiségi jogaira, ha a működését vizsgálták a közösségi médiában. Elvben a célszemélynek beleegyezését kell adnia a kereséshez. Kérdés, hogy egy állását féltő munkavállaló beleegyezése mennyire önkéntes.
A szükségszerűség biztosítja a jogi hátteret. Ilyen például egy kartellgyanú kivizsgálása. A vizsgálódásnak jogos érdekből kell fakadnia. Ilyen például a sikkasztással szemben eljárás. Az alkalmazott módszereknek törvényesnek és arányosnak kell lenniük a GDPR szerint. Lopás, social engineering nyilván nem megengedett, az OSINT-tól amúgy is idegen hekkelésről nem is beszélve. A GDPR elvárja, hogy csak szükséges mennyiségű adatot kezeljen a kutató, és semmisítse meg azokat, amint azok tárolása szükségtelenné válik. A feldolgozott információ legyen a lehetőség szerint a leghitelesebb, és a kezelése bizalmas. Mindezeken túl a GDPR előírja, hogy a célszemélyt értesítsék az adatgyűjtés tényéről és annak bizonyos részleteiről. Itt fontos megemlíteni, hogy a GDPR csak a rendvédelmi szervekre vonatkozik, a nemzetbiztonsági szolgálatokra nem. Kényes kérdés az is, hogy az OSINT kutató adatgazda vagy pedig adatkezelő-e. Kellő műveleti szabadság esetén nem lehet azzal érvelni, hogy csak adatkezelő az ügyfél megbízásából.
A fentiek alapján az olvasó fantáziájára van bízva, hogy mennyire hisz a GDPR előírásai betartásában a reália közegében. Feltételezhetjük, hogy a nagyobb vállalatok HR-osztályai odafigyelnek a GDPR-ra, de aligha hihető, hogy minden amatőr vagy nem is amatőr OSINT kutató, aki például terhelő anyagot keres egy polgári per al- vagy felperese ellen, a GDPR-ral fekszik és kel.
