Логістична компанія підписала з підрядником контракт на $200 000. Всі документи контрагента справжні і на перший погляд не викликають сумнівів: реєстрація в Єдиному реєстрі є, КВЕДи відповідають профілю. Але через рік з'ясувалося: директор підрядника є директором ще у шести компаніях, три з яких закриті через борги, а одна потрапила під розслідування НАБУ. Усі ці факти весь час були у відкритому доступі — але ніхто їх не перевіряв.
Саме таку роботу і виконує корпоративний OSINT — шукає інформацію на основі відкритих джерел. Під час OSINT-розслідування ви не зламуєте закриті бази й не отримуєте доступ до приватної інформації — ви просто збираєте те, що і так є у публічному просторі, порівнюєте дані з різних джерел і аналізуєте ризики до того, як ваша компанія підпише угоду.
У цьому матеріалі розберемо:
— чим корпоративний OSINT відрізняється від звичайної перевірки по реєстрах
— які три типи ризиків він усуває (або зводить до мінімуму)
— чому злиті дані через підрядника можуть коштувати компаніям мільйони доларів
— і як український бізнес вже застосовує корпоративний OSINT на практиці
Чому OSINT — це не просто «погуглити»
OSINT (Open Source Intelligence, відкрита розвідка) — це систематичний збір і аналіз інформації з публічно доступних джерел. Слово «систематичний» тут ключове, і саме воно відрізняє OSINT від простого пошуку в Google.
«Погуглити» партнера і провести OSINT-перевірку — це різні речі. Перше дає верхній шар результатів: сайт компанії, кілька новин і, можливо, відгуки на маркетплейсах. Друге — це порівняльна перевірка за десятками джерел:
Стандартна юридична перевірка контрагента в Україні спирається на YouControl, Clarity Project і виписку з ЄДР. Вони покривають базову інформацію про компанію: реєстрація, засновники, статутний капітал. Але вони не покажуть, що директор компанії є засновником ще десятка фірм у Молдові, що корпоративна пошта партнера фігурує у витоку паролів 2024 року, або що сайт зареєстрований на ту саму особу, що й кілька шахрайських сайтів.
Корпоративний OSINT збирає цей другий шар — і саме там зазвичай лежать реальні ризики.
Чому перевірка підрядника має починатися до його доступу в систему
За даними IBM, злами через підрядників і постачальників — другий за поширеністю тип атаки після фішингу. За даними Verizon, третина всіх зломів у 2025 році стались через стороннього контрагента — на 60% більше, ніж роком раніше.
Корпоративний OSINT закриває три типи ризиків, де стандартна юридична перевірка дає збій:
- Фіктивні або токсичні контрагенти. Компанія може бути зареєстрована бездоганно, мати статутний капітал і КВЕД, що підходить — і водночас бути пов'язаною з особами під санкціями, судовими провадженнями або мережею фіктивних фірм. OSINT простежує ці зв'язки через відкриті корпоративні реєстри, санкційні бази OFAC і ЄС, журналістські розслідування та судові бази.
- Репутаційний ризик перед угодою. Партнер може мати бездоганний пакет документів, але при цьому бути фігурантом публічного скандалу, екологічного конфлікту або негативних матеріалів у ЗМІ, що легко знайти в архівах регіональних видань. Для компаній із міжнародними клієнтами репутаційна асоціація з проблемним підрядником — пряма загроза контрактам.
- Технічні ризики цифрового сліду. Домен компанії-партнера зареєстровано вчора? Email контактної особи стоїть на злитих даних? Це сигнали, які видно лише при технічному OSINT — і які жодна юридична перевірка не вловить.
Як виглядає OSINT-перевірка партнера на практиці
OSINT-перевірка партнера — це не один інструмент, а послідовна перевірка за кількома напрямами одночасно.
- Корпоративні реєстри і зв'язки. Для України це ЄДР, YouControl, Opendatabot. Для перевірки закордонних контрагентів — OpenCorporates (охоплює реєстри у 130 країнах), Companies House у Великій Британії. Мета: зрозуміти реальну структуру власності, знайти підставних директорів і відстежити зв'язки між юридичними особами.
- Санкційні і судові бази. OFAC (США), санкційний список ЄС, список Ради Безпеки ООН, НАБУ і НАЗК для України. Якщо будь-хто з власників або керівників компанії фігурує в цих базах, це автоматично створює ризик для компанії, що підписує угоду.
- Витоки даних. Сервіси на кшталт Have I Been Pwned (безкоштовний інструмент перевірки витоків) дозволяють перевірити, чи фігурує електронна пошта або домен партнера серед відомих витоків даних. Викрадені паролі та дані для входу — один із найпоширеніших способів, яким зловмисники проникають у системи компаній.
- Відкрита медіаісторія. Пошук по архівах ЗМІ, спеціалізованих виданнях, форумах і соцмережах дає картину про репутацію компанії або її керівників. Іноді найважливіше — те, чого немає: компанія без жодного сліду в медіа, без відгуків, без конференцій може бути таким же тривожним сигналом, як і компанія з поганими згадками.
- Технічна перевірка. Коли і ким зареєстровано домен компанії, на якому сервері розміщений сайт, чи має він захищене з'єднання — ці деталі показують, наскільки «реальна» присутність компанії в інтернеті відповідає тому, що вона заявляє про себе.
- Приклад: домен компанії-партнера зареєстровано три тижні тому, хостинг на анонімному серверному кластері у Панамі, а контактна особа вказала Gmail замість корпоративного email. Кожен із цих сигналів окремо не є доказом шахрайства. Разом вони підсвічують ризик, на який треба реагувати.
- Соцмережі й цифровий слід фізичних осіб. Корпоративний OSINT перевіряє не лише компанію, а й ключових людей за нею: директорів, власників, підписантів договорів. LinkedIn, Facebook, публічні пости, старі форуми, архіви інтернету — все це дозволяє скласти портрет людини і виявити суперечності між заявленим і реальним.
OSINT — це про довіру до українського бізнесу
В Україні корпоративний OSINT розвивається за двома напрямами.
Перший напрям — державний: у 2025 року Офіс OLAF (Антифродове управління ЄС) навчало українських митників та силовиків шукати шахрайство, контрабанду та корупцію за допомогою OSINT. Це сигнал про те, що відкрита розвідка стає частиною офіційних стандартів в Україні.
Другий напрям розвивається у приватному секторі. Такі українські компанії, як Molfar Intelligence, роблять гучні OSINT-перевірки — і публічно показують свою роботу у відкритих розслідуваннях. Разом з виданням AIN.UA вони провели розслідування про зв'язки великого українського онлайн-казино з російськими активами — матеріал, де OSINT-методи виявили те, чого не показує жоден офіційний реєстр.
Український бізнес заходить у глобальний ринок, тому перевірка партнерів стала базовим стандартом безпеки. Іноземні інвестори, міжнародні організації і донори ретельно перевіряють українські компанії, з якими планують співпрацювати. А самим українським компаніям потрібно вміти пояснити іноземним партнерам, що їхній підрядник або постачальник не несе прихованих ризиків.
OSINT у цьому контексті — це не лише захист. Для компаній, що виходять на міжнародний ринок або шукають донорське фінансування, спроможність показати прозора і підтверджена мережа партнерів стає конкурентною перевагою.
4 ситуації, коли компанії потрібна OSINT-перевірка
OSINT-перевірка доречна не лише перед підписанням великого контракту. Ось конкретні ситуації, де відкрита розвідка також корисна:
Чого корпоративний OSINT не робить
Корпоративний OSINT спирається виключно на публічно доступну інформацію. Він не зламує закриті бази, не перехоплює приватне листування і не порушує законодавство про захист персональних даних. У цьому і є його сила: висновки OSINT-аналізу юридично чисті і їх можна використовувати в переговорах або суді.
Але є речі, яких OSINT не бачить. Він не покаже усного договору між двома людьми і не відновить видалену переписку. Він не відстежить готівкові транзакції, якщо вони не залишили публічного сліду. Якщо компанія ретельно зачищає свій цифровий слід, частина ризиків залишиться прихованою навіть після глибокої перевірки.
Ще один практичний момент: OSINT — це процес, а не одноразова дія перед підписанням. Компанія, яку ви перевірили рік тому, могла змінити власників, потрапити під розслідування або з'явитися у санкційних списках. Тут потрібен регулярний моніторинг.
OSINT не замінює юридичну перевірку і не скасовує потребу у фаховій пораді юриста при великих угодах. Він доповнює ці процеси шаром інформації, якого в стандартній юридичній перевірці немає.
Рекомендація чи негативний висновок OSINT-аналітика — це не юридичний документ, але це конкретний задокументований факт, з яким можна йти на переговори, вимагати пояснень або взагалі виходити з угоди до підписання.
Курс «OSINT у бізнесі» від Laba навчає саме цього: як перевіряти партнерів, підрядників і конкурентів через відкриті джерела, які інструменти використовувати і як збирати доказову базу, придатну для прийняття управлінських рішень.
Бажаєте отримувати дайджест статей?
