Threat Inteliigence / OSINT / NETSEC / NATSEC

OSINTowe wilki z Wall Street – zbieranie informacji na temat spółki w otwartych źródłach

Współcześnie OSINT najczęściej kojarzy się z analizą zagrożeń, dziennikarskimi śledztwami i weryfikacją informacji choćby z miejsc objętych działaniami zbrojnymi. Jeżeli jednak oddalimy trochę obraz i spojrzymy szerzej na zjawisko zbierania publicznie dostępnych informacji i analizy ich w celu osiągnięcia określonych rezultatów to stanowi ono podstawę jednej z najważniejszych instytucji współczesnej ekonomii – giełdy papierów wartościowych. W modelowym ujęciu bowiem cena akcji danej spółki, czy szerzej jej kapitalizacja, na giełdzie powinna być wynikiem oceny przez inwestorów tego ile spółka faktycznie jest warta – i jeżeli cena jest atrakcyjna w porównaniu do realnego majątku przedsiębiorstwa pobyt na akcje prowadzi do podwyższenia ich ceny i vice versa – jeżeli cena wydaje się inwestorom zbyt wysoka, sprzedają akcje co prowadzi do spadku ceny. Jest to oczywiście bardzo duże uproszczenie, cena akcji jest przede wszystkim wyceniana w przyszłość czyli jeżeli cena akcji wynosi obecnie np.: $100 to inwestorzy jej nabywający w istocie liczą, że albo cena jest obecnie nieadekwatna to rzeczywistego majątku firmy albo, że jej perspektywa rozwoju sprawia, że wkrótce cena będzie znacznie wyższa. Co więcej wartość publicznie dostępnych informacji jest podkreślana i chroniona przez samą instytucję giełdy. Dokonywanie transakcji na podstawie informacji dostępnych tylko dla danej osoby, np.: ze względu na pozycję jaką zajmują, to tak zwany insider trading i stanowi przestępstwo.

Jeżeli chodzi jednak o OSINTową analizę, to analitycy giełdowi poruszają się raczej w sferze tego pierwszego przykładu – zwanego „value investing” czyli wyszukiwania spółek których cena na giełdzie jest zaniżona w stosunku do realnej wartości jej zasobów. W ten sposób można powiedzieć, że jednymi z pierwszych analityków OSINT byli Benjamin Graham i David Dodd, pierwszy opublikował „Intelligent Investor„, a razem są autorami „Security Analysis” które są jednymi z najważniejszych książek z zakresu value investing. Nawet jeżeli zdecydujemy się na dokładną analizę wartości przedsiębiorstwa i będziemy je zestawiać z wartością na giełdzie nie możemy naturalnie być pewni, że nabędziemy akcje po korzystnej dla nas cenie – gdyby zależało to od suchej analizy dostępnych informacji i matematycznej kalkulacji wartości rynek akcji właściwie nie istniałby w obecnej formie. Wszystkie akcje byłby wycenione w adekwatny sposób przez instytucjonalnych inwestorów, a kupowanie bądź sprzedawanie ich nie mogłoby przynieść wymiernych zysków. Tutaj gwoli ścisłości należy zaznaczyć, że do pewnego stopnia taka sytuacja może mieć miejsce. W latach 70tych Graham zaczął sugerować, że aktywne zarządzenie portfolio aktywów nie przyniesie większych zysków niż pasywna inwestycja w indeks giełdowy – czyli zbiór instrumentów taki jak SP500 – 500 największych spółek na giełdzie amerykańskiej. Podobnie zresztą twierdził Warren Buffet, który w 2008 założył się, że biorąc pod uwagę koszty zarządzania, żaden fundusz aktywnego zarządzania instrumentami nie osiągnie na przestrzeni 10 lat lepszych rezultatów niż inwestycja w nisko kosztowy fundusz, który tylko odwzorowuje rezultaty indeksu SP500. Buffet zakład wygrał.

Post ten jednak nie ma mówić o strategiach inwestycyjnych, a o zbieraniu i analizie informacji. Graham i Dodd z pewnością długo przecieraliby oczy ze zdumienia widząc ile narzędzi jest współcześnie dostępnych dla analityków papierów wartościowych. Ponieważ spółki są raczej jawnymi podmiotami pominiemy tutaj wprost dostępne, które można uzyskać po zwykłym wpisaniu nazwy w Google’a i skupimy się na mniej oczywistych źródłach. Niestety trudno o scentralizowane bazy danych informacji o spółkach, najczęściej w celu uzyskania dokładnych informacji, wymaganych przez podmioty regulacyjne, będziemy musieli zajrzeć do lokalnych baz danych. Zacznijmy jednak od narzędzi bardziej niezależnych geograficznie.

OpenCorporates.com to najbardziej obszerna baza danych podmiotów gospodarczych, katalogująca firmy z całego świata. Co bardzo istotne OpenCorporates rozwiązuje problem poszukiwań odpowiednich baz danych – samo poda nam link do właściwego rejestru krajowego. Nie jest to skuteczne w 100% ze względu na liczbę rejestrów i możliwe częste zmiany ich funkcjonowania jednak nawet jeżeli dany link nie będzie prowadził bezpośrednio do lokalnych danych spółki to wskaże nam drogę właściwych poszukiwań. Zobaczmy jak to wygląda w praktyce, wpisując w wyszukiwarkę „polsat” znajdziemy 34 firmy, w tym 14 w Polsce i resztę rozrzuconą po świecie:

Jeżeli teraz przejdziemy na „CYFROWY POLSAT SPÓŁKA AKCYJNA” to pokaże nam się krótka metryka podmiotu właśnie wraz z linkiem do rejestru:

Jest to akurat jeden z tych przykładów gdzie link nie będzie prowadził bezpośrednio do odpowiedniku wpisu – jak widzimy link jest z 2011, więc wiele mogło się zmienić w międzyczasie. Wciąż jednak zostaniemy prawidłowo skierowani do wyszukiwarki KRS co pozwoli odnaleźć właściwą dokumentację.

Dalej możemy spojrzeć na spółkę Polsat License Ltd zarejestrowaną w Szwajcarii:

Tutaj już link prowadzi wprost to właściwego wpisu w regionalnym rejestrze:

Niezależnie od długości geograficznej możemy też posłużyć się technikami, które pozwalają wydobyć trochę więcej z wyników wyszukiwania. Skorzystamy z tzw. Google Dorksów czyli operatorów wyszukiwania, które pomogą nam odfiltrować wyniki. Możemy zacząć od skupienia się na dokumentach zamiast na witrynach, aby przykłady były bardziej wyraziste na warsztat weźmiemy Amerykańską spółkę lotniczą Boeing i operator „filetype” który pozwoli nam wyszukać wybrane rodzaje plików, wyszukanie nastawione na dokumenty będzie więc wyglądało np. tak:

boeing filetype:pdf OR filetype:doc OR filetype:docx OR filetype:xls OR filetype:xlsx OR filetype:ppt OR filetype:pptx

Osobiście najbardziej lubię skupiać się na plikach PowerPointa i Worda – PDFy to bardzo często różnego rodzaju foldery reklamowe, natomiast znalezienie suchych plików Office’a może czasem prowadzić to materiałów, które niekoniecznie miały już zostać opublikowanie. Dodatkowo aby jeszcze bardziej uatrakcyjnić zapytanie możemy dodać słowa związane z niejawnymi dokumentami:

boeing (filetype:ppt OR filetype:pptx OR filetype:doc OR filetype:docx) AND (internal | sensitive | secret | top secret)

Niestety (lub dla zbierających informacje stety) wciąż częstą praktyką jest pozostawianie dokumentów na otwartych bucketach S3, możemyy w podobny sposób rozejrzeć się za interesującymi dokumentami:

boeing site:http://s3.amazonaws.com confidential | top secret | classified | undisclosed

Tutaj na przykład mogliśmy znaleźć list radcy prawnego POGO (Project On Government Oversight) w sprawie dotychczasowo stwierdzonych naruszeń przepisów przez Boeing i braku odpowiedzi spółki:

W analizach pomoże nam również niezastąpione Maltego, które oczywiście znajdziecie w Ronanie. Domyślnie Maltego posiada dwa zbiory transformacji (zwane maszynami), które pomogą nam w zbieraniu danych. w Przypadku obu z nich wystarczy, że dodamy jeden obiekt o typie domain i wskażemy tam domenę wybranej spółki. Maszyny znajdziemy w prawym dolnym rogu interfejsu:

Pierwsza o dźwięcznej nazwie „Company Stalker” zbiera z danej witryny adresy mailowe oraz dokumenty i próbuje wyciągnąć z nich metadane.

Fragment wyników „Company Stalker” dla domeny boeing.com

Druga maszyna, która dostarczy nam ściśle technicznych informacji o infrastrukturze spółki, to Footprint. Maszyna ta jest dostępna w trzech wersjach – L1, L2, L3, zależnie od tego jak dużo powiązań infrastrukturalnych chcemy odnaleźć. W wersji L2, która powinna być odpowiednia do wstępnego rekonesansu odnajduje ona na podstawie rejestrów serwerów NS (serwery nazwy) i MX (serwery mailowe) powiązane domeny, zbiera ich adresy IP i przypisuje je do konkretnych ASN i dostawców usług. Możemy więc odkryć inne domeny powiązane ze spółką i kto dostarcza jej usług sieciowych (lub że sama dla siebie hostuje usługi). Szczegółowy opis różnic pomiędzy maszynami znajdziemy w dokumentacji Maltego.

Powiązanie domen przez serwery DNS znalezione przez maszynę Footprint L2

Przyjrzyjmy się teraz bliżej analizie dokumentacji spółek Amerykańskich. Wybór tego kraju nie wynika to jednak z jego popularności w kulturze masowej czy osobistych preferencji, a zwykłej matematyki. Rynek akcji USA stanowi bowiem mniej więcej 56% światowego rynku akcji, co jasno widać jeżeli porównamy rezultaty funduszu VT (Vanguard Total) mającego śledzić światowy rynek akcji z indeksem SP500 – zobaczymy bardzo wyraźną korelację (VT na wykresie świecowym, SP500 to pomarańczowa linia):

Jak więc widzimy, od giełdy w Stanach zależy w dużej mierze kondycja globalnego rynku akcji. Zacznijmy więc od oficjalnego źródła informacji o kondycji spółek notowanych na Amerykańskich giełdach – Komisji Papierów Wartościowych i Giełd. Każda notowana spółka ma obowiązek składać regularne sprawozdania o sytuacji. Najbardziej rozbudowany z tych dokumentów nosi oznaczenie 10-K i jest rocznym raportem dotyczącym m.in kondycji finansowej, historii, struktury organizacyjnej, personelu zarządzającego, ryzyk biznesowych. Dodatkowo firmy po pierwszych trzech kwartałach roku muszą składać kwartalny raport 10-Q o podobnym zakresie informacji. Kolejnym wymaganym dokumentem jest 8-Q, który musi być publikowany w przypadku istotnych wydarzeń takich jak zmiany w personelu zarządzającym, przejęcia czy zaciągnięcie istotnych zobowiązań. W końcu mamy też raport roczny (Annual Report), który stanowi niejako uproszczoną wersję 10-K. W raporcie rocznym zamiast suchych danych znajdziemy często grafiki, podsumowanie w formie tabel i komentarze jak choćby list prezesa spółki do udziałowców. Podstawowym dokumentem dla wnikliwego analityka będzie więc na pierwszym miejscu raport 10-K. Jak sprawnie się po nim poruszać i gdzie go znaleźć?

Jeżeli chodzi o źródła dokumentów to możemy zdecydować się na EDGAR – oficjalną wyszukiwarkę dokumentów SEC, lub zajrzeć na stronę firmy w dziale dla inwestorów. Ze względów regulacyjnych w interesie przedsiębiorstwa leży aby były one łatwo dostępne, więc nie powinniśmy mieć z tym problemów. Znajdziemy je więc również na stronie spółki (dział „investor relationships” lub podobny), a często znajdziemy również opcję darmowego zamówienia papierowych kopii – przydatne jeżeli chcemy dokładnie przyjrzeć się finansom przedsiębiorstwa, a mamy już dość patrzenia w monitor.

Papierowe wersje raportu rocznego i kwartalnego Lockheed Martin
Dostęp do tych samych danych w EDGAR

Sam formularz 10-K składa się z czterech głównych części:

  1. W pierwszej znajdziemy zarys działalności przedsiębiorstwa zaczynając od opisu jego działalności, produktów i usług jakie oferuje i warunkach w jakich działa – np.: w odniesieniu do regulacji prawnych, które wpływają na jego działalność albo sytuacji konkurencji w danym sektorze. Dalej znajdziemy opis czynników ryzyka, które mogą wpłynąć na działalność lub sytuacje papierów wartościowych. Czynniki ryzyka są zazwyczaj uszeregowane od najbardziej do najmniej istotnych i mają raczej charakter opisowy tj.: nie jest wskazane jaki podmiot zamierza podejść do poszczególnych problemów. W tej części znajdziemy również informacje o fizycznych posiadłościach takich jak fabryki, kopalnie, większe nieruchomości i o postępowaniach sądowych toczących się obecnie lub mających się rozpocząć. Jeżeli jest taka konieczność, to w części pierwszej znajdziemy również zapytania SEC które nie zostały zaadresowane do tej pory i informacje dotyczące bezpieczeństwa w kopalniach.
  2. Cześć druga to przede wszystkim informacje finansowe. Znajdziemy tutaj dane dotyczące papierów wartościowych takie jak ilość akcjonariuszy, dywidendy, plan odkupienia akcji prze spółkę. W tym miejscu znajdziemy często również wykres zysków lub strat inwestorów na skutek zmiany cen instrumentu. Część druga to również tak zwane „MD&A” – Managements’s Discussion and Analysis of Financial Condition and Results of Operations. W tym miejscu zarząd podmiotu może przedstawić swoją perspektywę na rezultaty spółki w mijającym roku i zaadresować obawy udziałowców dotyczące wyzwań stojących przed biznesem. Tutaj również przedstawione będą oceny i założenia które stanowiły podstawę obliczeń przychodów, dochodów i majątku. Dalej znajdziemy dwa podpunkty dotyczące ściśle sytuacji finansowej. Pierwszy to wymienienie rynkowych czynników ryzyka takich jak zmiany kursu walut czy stóp procentowych. Drugi to sprawozdanie finansowe, które co istotne musi podlegać niezależnemu audytowi. W odniesieniu do audytu warto zwrócić uwagę na dwie kategorie ocen audytora „unqualified opinion” i „qualified opinion” które bynajmniej nie mają nic wspólnego z tym czy audytor był wykfalifikowany do oceny sprawozdania. „Unqualified opinion” oznacza, że zdaniem sprawdzającego zeznania finansowe w sposób adekwatny oddają stan finansów spółki zgodny z GAAP (Generally Accepted Accounting Principles). „Qualified opinion” z kolei oznacza, że udostępniony zakres danych był zbyt ograniczony lub znaleziono niedociągnięcia co do stosowania GAAP, jednak występują one tylko w odniesieniu do pojedynczych elementów audytu. Dodatkowo występują dwie kategorie o bardziej negatywnej konotacji. W przypadku braku danych wystarczających do ukończenia audytu, może zostać wystawione „disclaimer of opinion” czyli niejako wstrzymanie się od oceny sprawozdania, a w przypadku gdy sprawozdanie w sposób nierzetelny lub mylący przedstawia sytuację finansową firmy możemy mieć do czynienia z „adverse opinion”. To ostatnie to już poważny zarzut wobec praktyk księgowych spółki mogący mieć istotny wpływ na choćby cenę akcji. Dalej w części drugiej wskazane muszą zostać zmiany w kadrach księgowości i różnice w ocenie kondycji przedsiębiorstwa pomiędzy księgowymi. Ostatnie podpunkty części drugiej dotyczą procedur wewnętrznej kontroli nad finansami i uwzględnienia innych informacji które musiałyby zostać opublikowane w zeznaniu 8-K za czwarty kwartał (jak wspomniano wyżej zeznanie 10-K zastępuje poniekąd ten dokument).
  3. Część trzecia dotyczy przede wszystkim personelu zarządzającego. Znajdziemy tam informacje o doświadczeniu zawodowym i edukacji kadry dyrektorskiej i zasadach postępowania w firmie. Osobne podpunkty poświęcone są wynagrodzeniu uwzględniając politykę wynagradzania jak wypłaty w udziałach w spółce, jak i konkretne kwoty; oraz informacje o ilości udziałów posiadanych przez członków zarządu. W tej części ujawnione muszą zostać również transakcje, w których stroną były osoby z rodziny przedstawicieli przedsiębiorstwa. W końcu podane muszą zostać opłaty i wynagrodzenia wypłacone za usługi księgowości w trakcie roku.
  4. Ostatnia, czwarta część, zawiera dokumentacje na której opiera się zeznanie. Znajdziemy więc tutaj sprawozdania finansowe, kopie umów, listę podmiotów zależnych czy wewnętrzną dokumentacje.

Analiza przedsiębiorstw to niezwykle rozbudowane zagadnienie – w przeciwieństwie do szukania informacji o osobach czy wydarzeniach, poszukiwanie informacji o nawet średniej wielkości podmiocie szybko wygeneruje mnóstwo wątków które możemy pociągnąć. Wymienić można choćby informacje o pracownikach, wykorzystywanej technologii, zakresie usług, największych klientach i tak dalej. Mam jednak nadzieję, że ten post pomoże znaleźć punkty zaczepienia dla Waszych poszukiwań.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.

pl_PLPolish