Дело №
ПРИГОВОР
ИМЕНЕМ РОССИЙСКОЙ ФЕДЕРАЦИИ
23 марта 2017 г. г. Хабаровск
Кировский районный суд г. Хабаровска в составе
председательствующего судьи Бабия С.А.,
при секретаре ФИО6,
с участием государственного обвинителя помощника прокурора Кировского <адрес> г. Хабаровска ФИО7,
подсудимого Пресса ФИО30. и его защитника адвоката Карева ФИО31
рассмотрев в открытом судебном заседании уголовное дело в отношении
Пресса ФИО32 родившегося <адрес>
обвиняемого в совершении преступления, предусмотренного ч. 2 ст. 272 УК РФ,
ч.. 3 ст. 158, ч. 2 ст. 325 режима;авительных работ заменено на лишение свободы сроком на 2 месяца с отбыванием наказания в
УСТАНОВИЛ:
Пресс ФИО33 совершил неправомерный доступ к охраняемой законом компьютерной информации, повлекший уничтожение компьютерной информации и причинение крупного ущерба.
Преступление совершено при следующих обстоятельствах.
Так, у Пресса ФИО34., не позднее 26.08.2014 г., находившегося на территории г. Хабаровска, являвшегося <данные изъяты> который расположен по адресу: г. Хабаровск, <адрес> заведомо знавшего о его предстоящем увольнении за прогулы, возник преступный умысел, направленный на неправомерный доступ к охраняемой законом компьютерной информации с целью уничтожения охраняемой законом компьютерной информации, содержащейся на серверах <данные изъяты>» по адресу: г. Хабаровск, <адрес>, и приостановления работоспособности <данные изъяты> с использованием программного обеспечения удаленного доступа «Ammyy Admin», которое позволяет удаленно управлять сервером без присутствия человека за компьютером и посредством которого он в последующем сможет осуществить неправомерный доступ к охраняемой законом компьютерной информации, содержащейся на серверах <данные изъяты>», так как осознавал, что в связи с его предстоящим увольнением прямой доступ к сетевой инфраструктуре вышеуказанной организации ему будет запрещен.
Пресс ФИО35. 26.08.2014 г. в 21 час. 00 мин. (время Хабаровское), обладая достаточными познаниями в области компьютерной техники и навыками работы с компьютерными программами, предназначенными для удаленного доступа и подключения к сетевым ресурсам, находясь на территории г. Хабаровска, с целью реализации вышеуказанного преступного умысла, осознавая, что в связи с его предстоящим увольнением прямой доступ к сетевой инфраструктуре <данные изъяты> ему будет запрещен, используя свою действующую доменную учетную запись <данные изъяты>», совершил умышленные, целенаправленные действия на получение в дальнейшем неправомерного доступа к охраняемой законом компьютерной информации, размещенной на серверах ФИО36 путем установки программного обеспечения удаленного доступа «Ammyy Admin» на сервер 1С ФИО37 файл которого 26.08.2014 г. в 22 час. 29 мин. (время Хабаровское) сохранил в директории «С:\zbx\dev» и переименовал в файл «az», с целью сокрытия нахождения программы удаленного доступа «Ammyy Admin» на сервере 1С ФИО40 от работников данной организации.
После чего, Пресс ФИО38, продолжая свой преступный умысел, направленный на неправомерный доступ к охраняемой законом компьютерной информации конфиденциального характера, принадлежащей ФИО39 хранящейся на серверах данной организации, которая в соответствии с законом может быть использована только ее правообладателем, в нарушении требования Закона РФ «Об информации, информационных технологиях и о защите информации» от ДД.ММ.ГГГГ № 149-ФЗ, с целью ее уничтожения и приостановления работоспособности ФИО41 ДД.ММ.ГГГГ в 06 час. 57 мин. (время Хабаровское), находясь по адресу: <адрес>, путем удаленного доступа, используя программное обеспечение «Ammyy Admin», которое позволяет осуществлять удаленное управление серверами без присутствия человека за компьютером, которое он ранее, 26.08.2014 г. в 22 час. 29 мин. (время Хабаровское), переименовал в файл «az» и поместил в директорию «С:\zbx\dev» на сервере 1С ФИО42 через устройство с IP-адресом 176.193.104.29, подключенное по адресу: <адрес>, по которому в указанный период проживал Пресс ФИО189., зная особенности и пароли сетевой инфраструктуры ФИО188 в том числе системы хранения данных, источников бесперебойного питания, поскольку ранее являлся руководителем инженерного отдела данной организации, осуществил неправомерный доступ к охраняемой законом компьютерной информации, содержащейся на серверах ФИО43 который расположены по адресу: г. Хабаровск, <адрес>, в результате чего 28.12.2014 г. в период времени с 08 час. 26 мин. до 10 час. 41 мин. 14 сек. указанные умышленные действия повлекли уничтожение охраняемой законом компьютерной информации, находящейся на серверах ФИО44 расположенных по адресу: г. Хабаровск, <адрес>, а именно уничтожение программного обеспечения: Microsoft Server 2012, Microsoft SQL Server 2012, Microsoft Sharepoint 2013, Microsoft Lync 2013, 1С «Бухгалтерия», 1С «Торговля», 1С «Управляющий», 1С «Зарплата», 1С «Бухгалтерия строительной организации», Сервер IP-телефонии Cisco, Сервер Zabbix - мониторинг инфраструктуры компании, Сервер Redmine - серверное веб-приложение для управления проектами и задачами и безвозвратное уничтожение массива данных со следующей информацией:
1. вся информация о хозяйственно-финансовых отношениях с контрагентами ФИО45
2. информация о проведении деловых переговоров с контрагентами и информация о содержании данных переговоров, включая материалы, подготовленные к проведению переговоров, либо составленные в ходе переговоров или после окончания – по результатам переговоров,
3. вся информация об объеме и периодичности товарооборота с деловыми партнерами ФИО46»,
4. вся информация о контрагентах ФИО47
5. информация об адресах мест жительства (мест нахождения) сотрудников ФИО48 их паспортных данных, персональных данных;
6. финансовые показатели деятельности ФИО49», финансовая, бухгалтерская и налоговая отчетность ФИО50 сведения финансового, бухгалтерского и налогового учета ФИО190
7. информация, поступающая по электронной почте на электронный адрес общества и электронные адреса работников ФИО51 информация, отправляемая по электронной почте с электронного адреса ФИО53» и электронных адресов работников ФИО52
8. резервные копии баз данных 1С, почтового сервера, проектов компании, базы данных программистов, что повлекло причинение ФИО55 крупного ущерба на общую сумму 1 469 062 руб. 00 коп., выразившийся в несении затрат ФИО54 в размере 897 943 руб. на оплату работы сотрудников организации в выходные и праздничные дни; в размере 388 181 руб. на оплату вынужденного простоя сотрудников; в размере 182 938 руб. на направление в командировку сотрудников в Амурскую область для проведения ревизии на объекте строительства космодром «Восточный».
В судебном заседании подсудимый Пресс ФИО58 вину в совершении преступления не признал. Согласно его показаниям, он действительно 27.12.2014 г., находясь в г. Москве, с помощью программы удаленного доступа Ammyy Admin подключился к компьютерной сети ФИО56 Увидев, что на серверах используется нелицензионное программное обеспечение, зная о последствиях его использования, а также то, что при обнаружении данного факта «…первый на кого укажет ФИО57 в качестве человека, который все это установил» будет он, так как больше некому, поскольку за время его работы в указанной организации кроме него за эти вопросы никто не отвечал, он произвел удаление виртуальных машин с серверов. Также он произвел переконфигурацию системы хранения данных (СХД), на которой использовался установленный им нелицензионный расширенный комплект ПО. Возможность удалить с нее установленные пакеты расширения функционала была только одна – удалить все разделы, созданные с таким функционалом, и полностью сбросить ее настройки по умолчанию. Совершая это, он знал, что на них нет охраняемой законом информации, в том числе содержащей сведения, составляющие коммерческую тайну.
Согласно его показаниям, данным на предварительном следствии, он непосредственно устанавливал и тестировал программные продукты, которые обеспечивали работоспособность внутренней IT-инфраструктуры ЗАО ФИО59 почтовый сервис, доменная структура, 1С, служебные подсистемы, такие как система резервного копирования и т.п. Все системы устанавливались преимущественно в тестовом режиме, так как далеко не все лицензии на программные продукты, такие как Microsoft Windows Server 2008/2008R2/2012, Microsoft SQL Server, Microsoft Lync, Microsoft Data Protection Manager и прочее (за исключением продуктов 1С) предоставлялись организации с возможностью их использования в коммерческих целях. У ФИО60 был доступ к ключам продуктов, который позволял использовать ряд продуктов только для ознакомления с предложенным функционалом в тестовом режиме. Помимо программных продуктов, в организации использовался программно-аппаратный комплекс системы хранения данных EMC VNX5300, который был приобретен с базовым функционалом, а для тестирования расширенного функционала системы, им были установлены пакеты лицензий, расширяющие функционал до максимального, исключительно в тестовых целях – использование этих лицензий в коммерческих целях не разрешалось производителем. Весь программно-аппаратный комплекс (сервера, ПО, система хранения данных, сетевая подсистема и т.п.) использовался не только для внутренних нужд компании, но и в коммерческих целях. После увольнения из ФИО61 за прогул он уехал в г. Москву, где был принят на работу в компанию «Техносерв» на должность системного архитектора. На его рабочем компьютере оставались его личные данные, был открыт доступ к личной почте, личным документам и банковским счетам. В этой связи он решил воспользоваться ранее установленным им средством удаленного подключения к сети для того, чтобы забрать его личные данные и отключить доступ рабочего компьютера к его банковским счетам и личной почте. Понимая, что его рабочий компьютер мог быть физически выключен в любой момент времени и он не сможет получить доступ к его информации, и в связи с тем, что эти данные хранились не только на локальных дисках его рабочего компьютера, но и на серверах, он установил на один из серверов программу Ammyy Admin, которая позволила ему получить доступ к его информации позже. 28.12.2014 г. ему понадобилась его личная информация (архив почтовых сообщений, копии личных документов, разработанные им технические решения и т.п.), которая осталась в архиве на сервере ФИО62 Помимо этого он также вспомнил о том, что в организации используются установленное им программное обеспечение, имеющее ограничения по использованию. Он решил подключиться и проверить так ли это. Для этого он воспользовался ранее установленной программой Ammyy Admin, которая была им переименована. Подключившись к компьютерной сети ФИО63 он убедился, что в организации продолжается использование установленных им программных продуктов и сервисов в коммерческих целях. Понимая и опасаясь негативных последствий, которые могут наступить для него в случае обнаружения данного факта правообладателем, он решил удалить установленные им программы, так как эти программы не содержали и не могли содержать защищаемой законом компьютерной информации. Поскольку он знал, что при уничтожении установленных им же демонстрационных программ какая-либо информация не будет уничтожена, потому что в организации существуют резервные копии этой информации, которые хранятся на отдельных серверах, а также на рабочих станциях администраторов на локальных дисках. Его действия были направлены лишь на то, чтобы прекратить неправомерное использование ФИО64 установленных им программных продуктов в коммерческих целях. В декабре 2014 г. он проживал по адресу: <адрес>. Он не отрицает факт своего подключения к компьютерной сети ФИО65 с целью удаления программ установленных им, в рамках тестирования, которые ФИО67 использовало с нарушением условий правообладателя. Ущерб ФИО66 он не мог причинить, никакой выгоды от своих действий он не получил. Его целью было удаление программного обеспечения, а не информации. Удаление информации могло иметь место, в силу того, что удаленные программные обеспечения имеют доступ к обрабатываемой информации.
Несмотря на непризнание подсудимым Прессом ФИО68. своей вины, его виновность в совершении преступления подтверждается, помимо его собственных показаний, в той части, в которой они соответствуют фактическим обстоятельствам дела, совокупностью следующих доказательств.
- показаниями представителя потерпевшей организации ФИО69 ФИО9 на предварительном следствии и в суде, согласно которым основными видами деятельности организации являются: разработка и внедрение программного обеспечения, проектные и строительно-монтажные работы на объектах связи и телекоммуникаций, разработка и реализация инфраструктурных проектов (с поставкой оборудования, ПО, монтажом и настройкой), а также строительство инженерных сетей и инфраструктуры на объектах регионального и государственного значения (таких как объекты связи на газопроводе Сахалин-Хабаровск-Владивосток, строительство Киринского берегового газоконденсатного технологического комплекса и т.д.). Одним из основных объектов, на котором задействованы значительные финансовые, производственные и людские ресурсы, является космодром «Восточный» в Амурской области. Для успешного выполнения принятых договорных обязательств на предприятии сформирована мощная производственная база, включающая в себя складские объекты на территории трех субъектов Дальнего Востока, обособленные структурные подразделения в различных населенных пунктах, удаленные рабочие офисы и т.д. Вся указанная инфраструктура объединена сложной внутренней защищенной компьютерной сетью. Такая инфраструктура позволяет в режиме реального времени закупать, перемещать, складировать и выдавать в работу уникальное оборудование, инструменты, расходные материалы, вести учет и документооборот, начислять и выдавать заработную плату, рассчитывать и уплачивать налоги и взносы, использовать банковские услуги для расчета с подрядчиками и так далее. Учитывая особую значимость инфраструктурной сети в деятельности организации, руководством было принято решение о приобретении программно-аппаратного комплекса производства компании Searchinform. Данный комплекс позволяет фиксировать действия операторов ПК в своей системе хранения данных. Этот программно-аппаратный комплекс был внедрен в информационную среду ФИО70» (установлен на оборудование организации) инженерами компании-производителя удаленно посредством созданной Прессом ФИО71. временной учетной записью (логин и пароль с полными административными правами). Такая запись называлась TEST2. В дальнейшем Пресс ФИО72. сообщил, что срок действия временной учетной записи истек. Пресс ФИО73 знал логины и пароли всего оборудования, его конфигурации и настройки, занимался обслуживанием сети организации. В августе 2014 г. сотрудник службы безопасности ФИО12 выявил, что Пресс ФИО74 практически перестал выполнять трудовые обязанности, а в период с 21 по 24 августа 2014 г. и вовсе отсутствовал на работе. В ходе проведения внутреннего расследования было установлено, что Пресс ФИО75 в указанное рабочее время, без уважительной причины и предупреждения руководства, находился в г. Москве, куда прибыл на собеседование на работу в ЗАО «Техносерв». Руководством ФИО191 было принято решение об увольнении Пресса ФИО76. за прогул. Когда Прессу ФИО77 сообщили о его увольнении по соответствующему основанию, последний стал угрожать менеджеру по персоналу ФИО16 и сотруднику отдела безопасности ФИО12, в присутствии главного механика организации ФИО17, что навредит организации всеми доступными ему средствами, и высказывать свою решимость привести угрозы в исполнение, если не изменится решение об его увольнении за прогул. После увольнения Пресса ФИО78. за прогул, тот переехал в г. Москву, где начал трудиться в ЗАО «Техносерв». Спустя четыре месяца, 29 декабря 2014 г., приблизительно в 09 утра, инженеры их организации пришли на работу и обнаружили, что находящаяся в серверной стойка источника бесперебойного питания (ИБП) APC Galaxy выключена, в связи с чем все серверное оборудование не работало. После того, как ИБП был включен и, как следствие, серверное и сетевое оборудование заработало, большая часть рабочих сервисов в автоматическом режиме не запустилась. ФИО10 подключился к интерфейсу управления серверами IBM и обнаружил, что серверы «не видят» систему хранения данных (СХД) EMC VNX 5300, на которой хранились виртуальные машины и данные. ФИО11 попытался подключиться к СХД, но не подошел пароль, по которому раньше подключение происходило нормально. ФИО10 подключился к интерфейсу управления серверами SUN, которые хранили данные на локальных дисках, и обнаружил, что диски пустые. Подключившись к одному из серверов IBM, который, в отличие от других серверов, имел независимое питание, ФИО10 обнаружил, что все находившиеся на нем виртуальные машины удалены, кроме виртуальной машины 1С. Просмотрев на этом сервере логи (файлы с данными обо всех действиях любых пользователей на сервере), ФИО10 выявил, что подключение к интерфейсу управления сервером было произведено с ip-адреса виртуальной машины 1С в 8 час. 09 мин. 28.12.2014 г., с этого же адреса примерно в 8 часов 30 минут 28.12.2014 г. были посланы команды на удаление виртуальных машин. Подключившись к виртуальной машине 1С, инженерами была найдена программы Ammyy Admin, которая позволяет получить удаленный доступ к компьютеру или серверу через Интернет и управлять ими в режиме реального времени. Программа Ammyy Admin была установлена 26.08.2014 г. в 22:29 на сервер 1С, а в 22:29:02 переименована в az.exe, «спрятана» в папку агента Zabbix и запущена как сервис (запускается автоматически при запуске системы).
Неправомерными действиями неизвестного лица было уничтожено программное обеспечение Microsoft Server 2012, Microsoft SQL Server 2012, Microsoft Sharepoint 2013, Microsoft Lync 2013, 1С «Бухгалтерия», 1С «Торговля», 1С «Управляющий», 1С «Зарплата», 1С «Бухгалтерия строительной организации», Сервер IP-телефонии Cisco, Сервер Zabbix - мониторинг инфраструктуры компании, Сервер Redmine - серверное веб-приложение для управления проектами и задачами, и безвозвратное уничтожение массива данных со следующей информацией:
1. со всей информацией о хозяйственно-финансовых отношениях с контрагентами ФИО79
2. с информацией о проведении деловых переговоров с контрагентами и информацией о содержании данных переговоров, включая материалы, подготовленные к проведению переговоров, либо составленные в ходе переговоров или после окончания – по результатам переговоров,
3. со всей информацией об объеме и периодичности товарооборота с деловыми партнерами ФИО80
4. со всей информацией о контрагентах ФИО81
5. с информацией об адресах мест жительства (мест нахождения) сотрудников ФИО82 их паспортных данных, персональных данных;
6. с информацией о финансовых показателях деятельности ФИО83 финансовая, бухгалтерская и налоговая отчетность ФИО84 сведения финансового, бухгалтерского и налогового учета ФИО192
7. с информацией, поступившей по электронной почте на электронный адрес общества, и об электронных адресах работников ФИО85 с информацией, отправленная по электронной почте с электронного адреса ФИО193 и с электронных адресов работников ФИО86
8. резервные копии баз данных 1С, почтового сервера, проектов компании, базы данных программистов.
Действия по уничтожению компьютерной информации были совершены достаточно грамотным и опытным инженером. Характер его преступных действий, совершение им последовательных и логичных действий, свидетельствует, что он без сомнения знал конфигурацию, внутреннюю архитектуру и компоненты сети, что, со слов инженеров их организации, прямо указывало на то, что преступление совершено Прессом ФИО87 В дальнейшем с помощью программно-аппаратного комплекса производства компании Searchinform, ранее установленном в организации для фиксации действий администраторов сети, в том числе и Пресса ФИО88 и которая смогла скопировать и записать логи с его рабочего компьютера, было установлено, что Пресс ФИО89 после своего увольнения, удаленно зашел во внутреннюю сеть предприятия. Учитывая, что основная учетная доменная запись и пароль были уже изменены, он использовал старую временную учетную запись TEST2 и пароль к ней, которую он создавал еще весной 2014 г. для инсталляции программно-аппаратного комплекса, что свидетельствует о том, что эту временную учетную запись он сделал постоянной. Система разрешила доступ, и уже как администратор Пресс ФИО90 подключился к своему рабочему компьютеру. Зайдя на свой компьютер, он с него вышел в сеть Интернет, откуда загрузил программу Ammyy Admin и установил ее на свой рабочий компьютер, а затем - на сервер, предварительно изменив ее название и переместив в папку с сервисными программами для того, чтобы ее нельзя было обнаружить. Таким образом, в конце августа 2014 г. Пресс ФИО91., используя доменную учетную запись с правами администратора, смог обеспечить себе доступ к внутренней защищенной сети организации. В результате совершения преступления ФИО92 причинен крупный ущерб. Сотрудники их организации проводили сверхурочные работы, восстанавливая утраченные сведения. Размер ущерба составляет 1 469 062 руб. 00 коп., из них: 897 943 руб. – расходы на оплату работы сотрудников организации в выходные и праздничные дни; 388 181 руб. - расходы за оплату вынужденного простоя сотрудников; 182 938 руб. – расходы, связанные с командировкой сотрудников в Амурскую область для проведения ревизии на объекте строительства космодрома «Восточный». На космодроме имеется собственный сервер, который необходим для оперативной работы, в то время как фактически вся работа производилась на центральных серверах их организации, с которых, в результате преступных действий, были удалены виртуальные машины вместе с разделами с информацией о деятельности на космодроме;
- показаниями свидетеля ФИО12 на предварительном следствии и в суде, согласно которым он работает в ФИО93 в должности специалиста по экономической безопасности. В начале 2014 г. руководством организации было принято решение о приобретении программного обеспечения «Контур информационной безопасности Searchinform», которое позволяет осуществлять контроль над информационными потоками организации на всех уровнях, позволяет выявлять и предотвращать утечки конфиденциальной информации и персональных данных, фиксировать все действия пользователей. Для внедрения КИБ в инфраструктурную сеть их организации необходимо было предоставить к ней удаленный доступ инженеров компании-производителя. Для этого Пресс ФИО94 подготовил временную учетную запись (логин и пароль) с правами администратора домена, которая называлась TEST2, и была предоставлена инженерам Searchinform для дальнейшего внедрения КИБ. После установки КИБ инженерами Searchinform, ФИО1 сообщил, что учетная запись TEST2 с правами администратора домена удалена. В августе 2014 г. им было выявлено, что сотрудник их организации Пресс ФИО95 перестал выполнять необходимые работы на предприятии, а 21 и 22 августа и вовсе не появлялся на работе, в результате чего им, совместно с менеджером по кадрам ФИО16 и руководителем Департамента управления проектов ФИО20 были составлены акты об отсутствии Пресса ФИО96 на рабочем месте. В результате проведенного внутреннего расследования было установлено, что в указанные дни Пресс ФИО97 выезжал в г. Москву для прохождения собеседования при трудоустройстве в ЗАО «Техносерв» на должность руководителя инженерного отдела. В этой связи руководством ФИО100» было принято решение об увольнении Пресса ФИО98 за прогул. Когда Прессу ФИО99. сообщили, что он будет уволен за прогулы, то от него в его (ФИО12) адрес и в адрес менеджера по персоналу ФИО16 были высказаны угрозы. Угрожая, Пресс ФИО101 высказался о его возможности навредить организации всеми доступными ему способами, и что он приведет свои угрозы в действие, если не изменится решение об его увольнении за прогул. Несмотря на это, Пресс ФИО102 все же был уволен за прогул. После увольнения Пресс ФИО103 переехал в г. Москву, где начал трудиться в ЗАО «Техносерв». 29.12.2014 г. сотрудники технического отдела их организации обнаружили, что неизвестное лицо совершило противоправные действия, а именно, незаконно подключившись к защищенной, внутренней сети их организации через ранее установленную на одном из серверов их организации программу Ammyy Admin, безвозвратно удалило все базы данных. Это было сделано достаточно грамотным и опытным инженером. Характер его преступных действий, совершение им последовательных и логичных действий, свидетельствует, что он без сомнения знал конфигурацию, внутреннюю архитектуру и компоненты сети, что, со слов инженеров их организации, прямо указывало на то, что преступление совершено Прессом ФИО104 В дальнейшем с помощью программно-аппаратного комплекса Searchinform было выявлено, что указанная программа Ammyy Admin, позволяющая получить удаленный доступ к компьютеру или серверу через Интернет и управлять ими в режиме реального времени, была установлена неизвестным лицом с рабочего компьютера Пресса ФИО105. 26.08.2014 г. в 22 час. 29 мин., а в 22 час. 29 мин. 02 сек. переименована в az.exe, «спрятана» в папку агента мониторинга системы Zabbix и запущена как сервис (запускается автоматически при старте системы). Время установления указанной программы совпало с временем увольнения Пресса ФИО107 из ФИО106 При сопоставлении сведений, полученных от инженеров их организации, и сведений, зафиксированных программно-аппаратным комплексом Searchinform, был сделан вывод о том, что именно Пресс ФИО108. установил программу Ammyy Admin, «замаскировал» ее и позднее, удаленно подключившись с ее помощью к сети их организации, удалил массив данных, причинив организации ущерб, тем самым выполнив свои угрозы, высказанные им при его увольнении в августе 2014 г. На космодроме «Восточный» пользовались сведениями, которые хранились на их серверах, и эти сведения также были удалены;
- показаниями свидетеля ФИО14 на предварительном следствии и в суде, работающего в должности начальника технического отдела ФИО109 согласно которым 29.12.2014 г. приблизительно 09 часов 00 минут он пришел на работу, где его коллеги ФИО13, ФИО10, ФИО11 сообщили о том, что стойка ИБП APC Galaxy (источник бесперебойного питания) выключена, в связи с чем серверное оборудование не работало. Выяснилось, что ИБП выключался 28.12.2014 г. в 10 час. 53 мин. Первоначальной версией возможного обесточивания было то, что вероятно в выходные на подстанции был сбой, который и привел к обесточиванию серверного оборудования. После того, как ИБП был включен и серверное оборудование заработало, большая часть рабочих сервисов в автоматическом режиме не запустилась. ФИО10 подключился к интерфейсу управления серверами IBM и обнаружил, что серверы «не видят» систему хранения данных (СХД) EMC VNX 5300, на которой хранились виртуальные машины и данные. ФИО11 попытался подключиться к СХД, но не подошел пароль, по которому раньше подключение происходило нормально. ФИО10 подключился к интерфейсу управления серверами SUN, которые хранили данные на локальных дисках, и обнаружил, что диски пустые. Подключившись к серверу IBM, который имел независимое питание в отличие от других серверов, ФИО10 сообщил, что с него удалены все виртуальные машины, кроме виртуальной машины 1С. Просмотрев логи на данном сервере, ФИО10 сообщил, что подключение к интерфейсу управления сервера было произведено с ip-адреса виртуальной машины 1С в 08 час. 09 мин. 28.12.2014 г., с этого же адреса примерно в 08 часов 30 минут 28.12.2014 г. были посланы команды на удаление виртуальных машин. Подключившись к виртуальной машине 1С был найден запущенный сервис программы Ammyy Admin (программа, которая позволяет получить удаленный доступ к компьютеру или серверу через Интернет и управлять ими в режиме реального времени). Программа была установлена 26.08.2014 г. в 22:29, а в 22:29:02 - переименована в az.exe, «спрятана» в папку агента Zabbix и запущена как сервис (запускается автоматически при старте системы). Проведя анализ действий неустановленного лица, технический отдел пришел к выводу о том, что это мог сделать только человек, работающий либо работавший в техническом отделе их организации, хорошо знающий структуру инфраструктуры, а так же пароли от серверов, системы хранения данных и источников бесперебойного питания. В ЗАО «ЛАНИТ-ПАРТНЕР» используется только лицензионное программное обеспечение. После увольнения Пресса ФИО110 он (ФИО14) включал рабочий компьютер Пресса ФИО111 Он обратил внимание на то, что никакой информации, кроме операционной системы, на компьютере не было. За несколько дней до своего увольнения Пресс ФИО112 со своего рабочего компьютера удалил всю информацию, в том числе с почтового сервиса были удалены все письма, таким образом, никакой личной информации Пресса ФИО113 на серверах и локальных компьютерах их организации не осталось. Корпоративная сеть ФИО194 не является общедоступной, так как для доступа в нее необходимо знать логин и пароль, а также права на подключения к сети, более того нужно знать внешний IP-адрес, по которому возможно подключение к сети;
- показаниями свидетеля ФИО13 на предварительном следствии и в суде, согласно которым он работает в ФИО114 в должности ведущего инженера в департаменте инфраструктурных проектов. Внутренняя инженерная инфраструктура ФИО115 построена на высокотехнологичном оборудовании, имеет сложную и развитую структуру, в ней обеспечивается взаимодействие различных компонентов. Такая структура необходима, так как их организация имеет свыше 200 рабочих мест пользователей компьютеров. Имеются удаленные офисы, с которыми организованы каналы связи и т.д. 29.12.2014 г. он пришел на работу в 08 час 50 мин. и обнаружил, что в северной, расположенной в каб. № 406, выключен источник бесперебойного питания APC Galaxy, к которому было подключено серверное оборудование. Он предположил, что это произошло из-за перебоев на электростанции. После того, как ИБП был включен и серверное оборудование заработало, большая часть рабочих сервисов в автоматическом режиме не запустилась. Инженером ФИО10 было выявлено, что на сервере IBM отсутствуют все виртуальные машины, кроме машины, предназначенной для 1С сервера. Файловая система сервера IBM была пуста, и не содержала никаких данных. Это могло произойти только в результате постороннего воздействия, выполненного квалифицированным инженером. Подключившись к интерфейсу управления ИБП Galaxy, стало известно, что его выключение было произведено с виртуальной машины 1C. ФИО10 выяснил, что к интерфейсу управления сервером IBM также было подключение с IP-адреса виртуальной машины 1C и произведено удаление всех виртуальных машин. Также ФИО10 сообщил, что сервера IBM не имеют виртуальных машин, так как у них отсутствовало подключение к системе хранения данных (СХД) EMC VNX 5300. Они начали поиск информации, чтобы установить, кто и каким образом произвел эти действия по удаленному несанкционированному подключению к серверу 1С. В результате, ими было выявлено, что злоумышленник произвел подключение и управление сервером 1С, а также выполнил другие последующие противоправные действий с помощью программы Ammyy Admin (данная программа осуществляет удаленное управление рабочим столом операционной системы). Ими было установлено, что данная программа была установлена неизвестным лицом 26.08.2014 г. в 22 час. 29 мин., после чего была переименована и скрыта в папке другой программы. Получить доступ к интерфейсу управления СХД не представилось возможным, так как логин и пароль стали неверными. Это произошло в результате того, что злоумышленник, получивший с помощью ранее установленной программы доступ к управлению системы хранения данных, после действий по удалению информации изменил пароль. Также ими была выявлена безуспешная попытка неизвестного лица подключиться к ИБП, который находился в коммутационном помещении. Ему этого сделать не удалось, так как незадолго до указанных событий, инженером ФИО11 был изменен пароль, который кроме них, действующих работников технического отдела, никто не знал. В 19 часов 00 минут 29.12.2014 г. они начали проводить работы по восстановлению основных сервисов (1С, почта). Более половины сотрудников организации провели время на рабочих местах в период новогодних праздников вместе с ними, восстанавливая инфраструктуру. По его мнению, указанные противоправные действия совершил тот, кто знал логин и пароль к программе Ammyy Admin, которые создаются при ее установке как сервис (запустить установленную на сервере программу как сервис мог только человек, обладающий правами администратора). Со слов ФИО12 ему стало известно, что программа Ammyy Admin была установлена на один из серверов их организации 26.08.2014 г. с рабочего компьютера Пресса ФИО117 По его мнению, переименование программы Ammyy Admin было осуществлено с целью ее «маскировки», для того, чтобы они не обратили на нее внимание. Корпоративная сеть ФИО116 не является общедоступной. На периметре сети установлен межсетевой экран, который защищает и контролирует доступ в локальную сеть извне. Удаленный доступ в корпоративную сеть их организации осуществляется с помощью защищенных VPN каналов, доступ к которым сотрудники компании могут получить, имея разрешение на подключение, а также введя свой логин и пароль;
- показаниями свидетеля ФИО11 на предварительном следствии и в суде, согласно которым он работает в ФИО118 в должности ведущего инженера в департаменте инфраструктурных проектов. Внутренняя инженерная инфраструктура ФИО119 построена на высокотехнологичном оборудовании, имеет сложную и развитую структуру, в ней обеспечивается взаимодействие различных компонентов. Такая структура необходима, так как предприятие имеет свыше 200 рабочих мест пользователей компьютеров. Имеются удаленные офисы (космодром «Восточный», склад и другие офисы их организации на территории г. Хабаровска), с которыми организованы каналы связи. 29.12.2014 г. около 09 час. 05 мин. он пришел на работу, где его коллеги ФИО13 и ФИО10 сообщили о том, что в серверной выключен ИБП (источник бесперебойного питания) APC Galaxy, к которому было подключено серверное оборудование. Посмотрев информацию о состоянии стойки ИБП выяснилось, что ИБП был выключен 28.12.2014 г. в 10 час. 53 мин. Они пришли к единому мнению, что вероятно в выходные на подстанции был временный сбой, который и привел к обесточиванию, так как в воскресенье и субботу на работе никого из них не было, а в пятницу все было в норме. После того, как ИБП был включен и серверное оборудование заработало, большая часть рабочих сервисов в автоматическом режиме не запустилась. ФИО10 подключился к интерфейсу управления серверами IBM и обнаружил, что серверы «не видят» систему хранения данных (СХД) EMC VNX 5300, на которой хранились основные виртуальные машины и данные. Он попытался подключиться к СХД, но не подошел пароль, по которому раньше подключение происходило нормально. ФИО10 подключился к интерфейсу управления серверами SUN, которые хранили данные на локальных дисках, и обнаружил, что диски пустые. Подключившись к одному из серверов IBM, который, в отличие от других серверов, имел независимое питание, ФИО10 сообщил, что все находившиеся на нем виртуальные машины удалены, кроме виртуальной машины 1С. Просмотрев на этом сервере логи (файлы с данными обо всех действиях любых пользователей на сервере), ФИО10 сообщил, что подключение к интерфейсу управления сервером было произведено с ip-адреса виртуальной машины 1С в 8 час. 09 мин. ДД.ММ.ГГГГ, с этого же адреса примерно в 8 часов 30 минут 28.12.2014 г. были посланы команды на удаление виртуальных машин. Поняв, что проблемы с сервисами вызваны не сбоем в электропитании, а диверсией, они начали искать следы несанкционированного доступа. Он подключился к интерфейсу управления ИБП Galaxy и выяснил, что команда на его была послана с ip-адреса виртуальной машины 1С в 10 час. 53 мин. 28.12.2014 г. После, он подключился к ИБП APC 6000, расположенному в коммутационном узле, и обнаружил попытку подключения к нему с ip-адреса виртуальной машины 1С. Попытка была неудачной, так как примерно в начале осени 2014 г. на нем был изменен пароль доступа, который никто, кроме него, его не знал. Подключившись к оставшемуся серверу 1С, руководитель технического департамента Андрианов А.С. обнаружил, что злоумышленник подключился к серверу с помощью программы Ammyy Admin, которая была установлена 26.08.2014 г. и скрыта в папке другой программы. В 19 часов 00 минут 29.12.2014 г. они начали проводить работы по восстановлению основных сервисов (1С, почта). По его мнению, к указанному инциденту может быть причастен Пресс ФИО120 потому, что последний обладал полной информацией о серверной и сетевой инфраструктуре компании, знал физическое расположение, ip-адреса, логины и пароли системы хранения данных, источников бесперебойного питания, серверов и виртуальных машин. Именно он (Пресс ФИО121.) производил настройку серверов, ИБП, системы хранения данных, обладал всеми правами в домене их организации. Злоумышленник совершил противоправные действия, проникнув в локальную сеть организации с помощью программы удаленного доступа Ammyy Admin, которую установил на сервер 1С 26.08.2014 г. Со слов ФИО12 ему стало известно, что программа Ammyy Admin была установлена на сервер 1С 26.08.2014 г. с рабочего компьютера Пресса ФИО122
- показаниями свидетеля ФИО10 на предварительном следствии и в суде, согласно которым он работает в ФИО123 в должности инженера в инженерном департаменте. 29.12.2014 г. около 09 час. 00 мин. он пришел на работу, где от своего коллеги ФИО13 узнал о том, что в серверном помещении (кабинет № 406) выключен ИБП (источник бесперебойного питания) Galaxy, к которому было подключено серверное оборудование, предположительно из-за сбоя на подстанции. Было установлено, что ИБП был выключен 28.12.2014 г. в 10 час. 53 мин. После того, как ИБП был включен и серверное оборудование заработало, выяснилось, что большая часть рабочих сервисов, находящихся на серверах IBM и SUN, в автоматическом режиме не запустилась. Подключившись к интерфейсу управления серверами IBM, он обнаружил, что серверы не обнаружили систему хранения данных (СХД), на которой хранились виртуальные машины и данные. В это же время его коллега ФИО11 попытался подключиться к СХД, но не подошел пароль, по которому раньше подключение происходило нормально. Сделав вывод, что имеет место проблема с системой хранения данных, он решил подключиться к серверам SUN, которые хранили данные на локальных дисках. Подключившись, он обнаружил, что диски данных серверов пустые. Подключившись к одному из серверов IBM, который имел независимое питание в отличие от других серверов, он сообщил ФИО15, ФИО13, ФИО11, что на нем также отсутствуют все виртуальные машины, кроме виртуальной машины 1С, что не может быть вызвано проблемой с подключением к системе хранения данных. Просмотрев на этом сервере логи (файлы с данными обо всех действиях любых пользователей на сервере), он обнаружил, что подключение к интерфейсу управления сервера было произведено с ip-адреса виртуальной машины 1С в 8 часов 09 минут 28.12.2014 г., с этого же адреса примерно в 8 часов 30 минут 28.12.2014 г. были посланы команды на удаление всех виртуальных машин находящихся локально. Около 10 часов 00 минут, ФИО13 и ФИО11 подключились к интерфейсу управления ИПБ Galaxy и выявили, что выключение было выполнено 28.12.2014 г. в 10 час. 53 мин. с IP-адреса виртуальной машины 1C. Подключившись к оставшемуся серверу 1С, ФИО15 обнаружил, что злоумышленник подключился к серверу с помощью программы Ammyy Admin, которая была установлена 26.08.2014 г. и скрыта в папке другой программы. В 19 часов 00 минут они начали проводить работы по восстановлению основных сервисов (1С, почта). Более половины сотрудников их организации в период новогодних праздников провели время на своих рабочих местах вместе с ними, восстанавливая инфраструктуру. По его мнению, к произошедшему инциденту может быть причастен Пресс ФИО124, так как он изначально создавал всю инфраструктуру их организации, устанавливал и настраивал серверное оборудование, знал физическое расположение серверного и коммутационного оборудования, настраивал виртуальные машины, систему хранения данных и источники бесперебойного питания. Так же Пресс ФИО125. в период своей работы обладал полным доступом и правами в домене организации, знал логины, пароли и IP-адреса. Противоправные действия были совершены путем проникновения в сеть с помощью программы удаленного доступа Ammyy Admin, которая была установлена и запущена как служба (сервис) на сервере 1С. Для установки и запуска данной программы на сервере 1С необходимо обладать административными правами, которыми и обладал Пресс ФИО126 Для удаленного подключения к программе необходимо знать логин и пароль, которые были созданы при ее установке. Со слов ФИО12 ему стало известно, что программа Ammyy Admin была установлена на сервер 1С 26.08.2014 г. с рабочего компьютера Пресса ФИО127
- показаниями свидетеля ФИО16 на предварительном следствии, менеджера по персоналу ФИО128 согласно которым 21.08.2014 г. и 22.08.2014 г. сотрудник их организации Пресс ФИО129 отсутствовал на рабочем месте без уважительных причин, в связи с чем 01.09.2014 г. он был уволен за прогул. Непосредственно перед этим Пресс ФИО130 попросил, чтобы его не увольняли за прогул, так как это негативно повлияет на дальнейшее его трудоустройство и угрожал, что если его уволят за прогул, то он навредит их организации всеми доступными ему средствами. 29.12.2014 г. она пришла на работу и узнала от сотрудников их организации, что неизвестное лицо подключилось к внутренней сети организации и удалило все данные на всех их серверах. Тогда она вспомнила, что в августе 2014 г. Пресс ФИО131. высказывал угрозы, что он нанесет непоправимый ущерб их организации;
В судебном заседании свидетель ФИО16 дала по существу аналогичные показания, указав на то, что подсудимый ФИО1 высказал ей в присутствии ФИО12 и ФИО17 угрозу о том, что они еще пожалеют в связи с его увольнением за прогул. Всем работникам, которые имели отношения к уничтоженным базам данных и принимавшие участие в их восстановлении, была оплачена сверхурочная работа в выходные и праздничные дни. Кроме того, в связи с тем, что прекратился отпуск оборудования и комплектующих со склада на строительную площадку, расположенную на космодроме «Восточный», их работники (монтажники) вынуждены были уйти в простой по вине работодателя, продолжая получать при этом заработную плату. Для восстановления работы на космодроме была организована выездная комиссия, сотрудникам которой также выплачивались сверхурочные, командировочные. В ФИО132» введен режим коммерческой тайны;
- показаниями свидетеля ФИО17 на предварительном следствии и в суде, работника АО «ФИО133 согласно которым в конце августа 2014 г. он находился на работе и присутствовал при разговоре ФИО16 и Пресса ФИО134. об увольнении последнего. Пресс ФИО135 вел себя неадекватно, повышал голос на ФИО16, сказал ей что, если его уволят за прогул, то тогда все пожалеют об этом;
- показаниями свидетеля ФИО18 на предварительном следствии, согласно которым он работает в должности начальника отдела развития ФИО136», основным видом деятельности которого является разработка программного обеспечения. Одним из программных продуктов, который сопровождает их организация, является контур информационной безопасности Searchinform. Данная программа устанавливается в той или иной организации с целью предотвращения утечки информации во внешний мир и фиксации всех действий, которые производятся на компьютерах организации. В феврале 2014 г. компания ФИО137 приобрела неисключительные права на использование данного продукта (лицензию) у официального представителя компании «Поисковые технологии» г. Санкт-Петербург. Перед установкой данной программы, Пресс ФИО138 создал учетную запись с правами администратора домена, с помощью которой программное обеспечение Searchinform было удаленно установлено во внутренней компьютерной сети ФИО195 Была ли удалена указанная учетная запись или нет, ему не известно;
- показаниями свидетеля ФИО19 в судебном заседании, осуществляющего индивидуальную предпринимательскую деятельность по ремонту и обслуживанию вычислительной техники и компьютерных сетей, согласно которым ему известно, что программа Ammyy Admin позволяет получить удаленный доступ через Интернет к компьютеру или серверу и управлять ими в режиме реального времени;
- показаниями свидетеля ФИО20 на предварительном следствии, согласно которым в ФИО139 он занимает должность директора Департамента управления проектами. В данный департамент входит одно из структурных подразделений - инженерный отдел, где работал Пресс ФИО140 Их корпоративная сеть не является общедоступной, то есть в их сеть может войти только ограниченный круг лиц, сотрудники их организации, так как для входа в сеть необходимо ввести логин и пароль. ФИО141 - является ведущим системным интегратором в Дальневосточном федеральном округе. В их организации используется только лицензионное программное обеспечение, в том числе 1С, Microsoft Server, Microsoft SQL Server, Microsoft Lync, что подтверждается документами о приобретении, а также наличием «Серебренного» статуса партнера компании Microsoft. Более того, сотрудниками их инженерного отдела регулярно производится аудит всех компьютеров и серверов с целью выявления сторонних программ и их удаления. Возможно, ввиду того, что в обязанности Пресса ФИО142 не входила работа с финансовыми документами, по закупке оборудования и работа с партнерами-производителями ПО, он просто не знал о наличии у них всех прав на ПО, используемое в их организации, о легитимности их использования;
В судебном заседании свидетель ФИО20 дал по существу аналогичные показания, указав на то, что все программное обеспечение, используемое в ФИО143 является лицензионным. Ему известно, что в конце декабря 2014 г. сотрудники их организации пришли на работу и обнаружили, что не работает почта, Интернет, внутренние сервисы. Инженеры стали разбираться и выяснили, что на серверах уничтожены все данные, в том числе резервные копии. Была уничтожена вся электронная почта их сотрудников, 1С, контакты клиентов, информация, касающаяся деятельности их организации, все файлы с производственными проектами и касающиеся взаимодействия с заказчиками, переписка с дистрибьюторами, информация по госзаказам. Все новогодние праздники и в последующий месяц все сотрудники их организации работали по восстановлению уничтоженной информации в повышенном режиме.
- показаниями свидетеля ФИО21 в судебном заседании, согласно которым он работает в ФИО144 в должности руководителя проектов Департамента управления проектами. Одним из направлений его деятельности является работа с производителями программного обеспечения, в том числе с Microsoft. В период времени с 15.07.2014 г. по 15.07.2015 г. ФИО145 обладал «Серебряным» статусом партнера, в июле 2015 г. данный статус был продлен. В соответствии с партнерской программой Microsoft организация, выполнившая требования получения «Серебряного» партнерского статуса, каким является ФИО146», в числе прочих преимуществ получает от Microsoft неисключительные права (лицензии) на использование внутри организации полных, не ограниченных версий ряда программных продуктов, в том числе Microsoft Windows Server, Microsoft SQL Server, Microsoft Lync. Кроме этого, в числе преимуществ «Серебряного» статуса ФИО147 имеет права на использование программных продуктов Microsoft в целях демонстрации заказчикам, тестирования и отладки собственных программных продуктов или проектов. Таким образом, все программное обеспечение Microsoft, используемое организацией для собственных нужд либо для тестирования и демонстрации заказчикам, является лицензионным.
Помимо указанных свидетельских показаний, вина Пресса ФИО148 объективно подтверждается также следующими доказательствами.
Согласно письменному сообщению компании ТТК (ТрансТелеКом), за ФИО149 закреплена сеть – <данные изъяты>).
По письменному сообщению ИП ФИО22, являющегося правообладателем ПО для ЭВМ Ammyy Admin на территории РФ, подключения посредством программы Ammyy Admin осуществлялось пользователем с IP-адреса <данные изъяты> двумя сессиями: первая сессия, продолжительностью 28 секунд, начата 20:57:05 (часовой пояс GMT) 27.12.2014 г., а вторая сессия, продолжительностью 2:14:15, начата 21:27:16 (часовой пояс GMT) 27.12.2014 г. (т.д. 2, л.д. 22). Данное сообщение осмотрено следователем – протокол его осмотра (т.д. 2, л.д. 23-25).
Оснований считать это сообщение недопустимым доказательством и не доверять указанной информации, предоставленной на основании сведений, собранных в ходе осмотра места происшествия, и полученной по официальному запросу следствия, направленного на почтовый адрес компании Ammyy, у суда не имеется.
В соответствии с письменным сообщением ООО «ФИО2 ФИО2» (Интернет-провайдера), IP-адрес <данные изъяты> присваивался ФИО23 28.12.2014 г. с 07:40 до 09:44 (время хабаровское); адрес подключения – <адрес> (т.д. 2, л.д. 28). Данное сообщение осмотрено следователем – протокол его осмотра (т.д. 2, л.д. 29-31).
Согласно показаниям свидетелей ФИО24 и ФИО25 на предварительном следствии, в съемной квартире, указанной в сообщении Интернет-провайдера ООО «ФИО2 ФИО2», до сентября 2014 г. проживал ФИО26, который и провел в нее сеть Интернет, а после него в квартиру заселился Пресс ФИО150 который проживал в ней с сентября 2014 г. до февраля 2015 г.
Эти показания свидетелей подтверждаются показаниями свидетеля ФИО27 на предварительном следствии, из которых следует, что с осени 2014 г. по начало 2015 г. в соседствующей с его квартирой <адрес> в <адрес> проживал мужчина по имени Денис, 30-35 лет, плотного телосложения, ростом 180-185 см., носит очки для зрения (описание соответствует внешности подсудимого ФИО1).
Факт проживания подсудимого Пресса ФИО151. в <адрес> в <адрес>, откуда 28.12.2014 г. было произведено подключение к внутренней компьютерной сети ФИО152 подтверждается также имеющейся в материалах уголовного дела копией личной карточки работника ООО «Техносерв Менеджмент» Пресса ФИО153 заключившего с данной организацией 22.09.2014 г. трудовой договор, в которой фактическое место жительства подсудимого в г. Москве указано ул. <адрес> (т.д. 2, л.д. 41-46, 47-51), и показаниями свидетеля ФИО28 на предварительном следствии, начальника директора департамента ООО «Техносерв Менеджмент», о том, что ДД.ММ.ГГГГ Пресс ФИО155 был принят к ним на работу, указав местом своего проживания в <адрес> – <адрес>; ДД.ММ.ГГГГ Пресс ФИО154. был уволен.
Протоколом осмотра документов от 05.07.2015 г., личная карточка Пресса ФИО156, представленная ООО «Техносерв Менеджмент», следователем осмотрена (т.д. 2, л.д. 53-68).
Вышеприведенные доказательства виновности подсудимого Пресса ФИО157 подтверждаются заключением эксперта № 270э (т.д. 2, л.д. 99-123), согласно выводам которого программный продукт «Контур информационной безопасности Searchinform» фиксирует действия сотрудников, осуществляемые на компьютерах предприятия, в зависимости от подключенных модулей, такие как учет времени работы в программах и сайтах, перехват и анализ файлов, отправляемых по почте и программах мгновенных сообщений, перехват нажатия клавиш на клавиатуре, рабочий процесс пользователей посредством снимков с экрана мониторов компьютеров предприятия и другие действия. В отношении пользователя компьютера ФИО158 с именем <данные изъяты> использующего доменную учетную запись <данные изъяты> за период времени с 21:00 26.08.2014 г. по 04:00 27.08.2014 г. в базе данных программного продукта «Контур информационной безопасности Searchinform» имеется информация в виде снимков с экрана монитора компьютера. Согласно этим снимков экрана монитора, программный продукт «Контур информационной безопасности Searchinform» зафиксировал, что на ПК с именем «<данные изъяты> под учетными данными пользователя с доменной учетной записью <данные изъяты> на сервере «1C» был открыт браузер «Internet Explorer», посредством которого был загружен на сервер «1С» исполняемый файл «AA_v3.5.exe» (программа «Ammyy Admin»), который сохранен на сервере «1С» в директории в «C:\zbx\dev» и переименован в файл «az». Из исследовательской части заключения эксперта (пунктов 17 и 25) усматривается, что уничтожение компьютерной информации во внутренней сети ФИО159 произошло в период времени с 08 час. 26 мин. до 10 час. 41 мин. 14 сек., а также:
- протоколом осмотра места происшествия от 30.12.2014 г., согласно которому осмотром явились помещения, занимаемые ФИО160 по адресу: <адрес> В помещении № указанной организации расположена серверная, в которой имеется: источник бесперебойного питания АРС GALAXY, система хранения данных EMC VNX 5300, сервера IBM и SUN. В помещении № 401 ФИО196 расположен компьютер «ASUS», на котором установлена консоль управления. При ее открытии на мониторе компьютера видна виртуальную машину 1С. На сервере 1С, в папке «zbx» «dev» имеется программа «Ammyy Admin», название которой переименовано в «az». Дата создания данной программы - 26.08.2014, 22:29:00, дата изменения - 26.08.2014, 22:29:02. В журнале событий сервера 1С имеется данные об уничтожении виртуальных машин в период с 08 час. 26 мин. до 09 час. 10 мин. Из журнала событий (логов), представленного производителем системы хранения данных, видно, что был осуществлен вход в консоль управления системой хранения и произведено удаление массива данных, на которых содержалась информация, содержащая коммерческую тайну базы 1С Предприятия ФИО197 почтового сервера Microsoft Exchange и другие. Кроме того умышлено уничтожено стоящее на балансе организации лицензионное программное обеспечение: Microsoft Server 2012, Microsoft SQL Server 2012, Microsoft Sharepoint 2013, Microsoft Lync 2013, 1С «Бухгалтерия», 1С «Торговля», 1С «Управляющий», 1С «Зарплата», 1С «Бухгалтерия строительной организации», а также изменены пароли системы хранения данных. В ходе осмотра места происшествия делались скриншоты (снимки экрана), которые изъяты и приобщены к протоколу осмотра. В ходе осмотра места происшествия также изъят DVD-R диск с записью демонстрации информации, свидетельствующей о совершенных действиях (т.<адрес>, л.д. 7-25);
- протоколом осмотра DVD-R диск с записью, произведенной в ходе осмотра места происшествия (т.д. 2, л.д. 133-134).
- протоколом выемки от 12.05.2015 г. (т.д. 1, л.д. 86-90), согласно которому у представителя ФИО198 ФИО9 изъяты документы, среди которых кадровые документы бывшего работника ФИО199 ФИО1, в том числе его трудовой договор от 02.04.2008 г. (т.д. 1, л.д. 91-92) и должностная инструкция (т.д. 1, л.д. 98-100), приказ о прекращении трудового договора № 50 от 01.09.2014 г., согласно которому с 01.09.2014 г. Пресс Д.В. как руководитель инженерного отдела технического отдела Департамента управления проектами уволен за однократное грубое нарушение работником трудовых обязанностей – прогул, по подп. «а» п. 6 ч. 1 ст. 81 ТК РФ (т.д. 1, л.д. 144), а также протоколом осмотра изъятых документов (т.д. 1, л.д. 176-202);
- протоколом выемки от 21.08.2015 г. (т.д. 3, л.д. 15-20), согласно которому у представителя ФИО200 ФИО9 изъяты бухгалтерские документы ФИО202 обосновывающие ущерб на общую сумму 1 469 062 руб. 00 коп., выразившийся в несении затрат ФИО201 в размере 897 943 руб. на оплату работы сотрудников организации в выходные и праздничные дни; в размере 388 181 руб. на оплату вынужденного простоя сотрудников; в размере 182 938 руб. на направление в командировку сотрудников в Амурскую область для проведения ревизии на объекте строительства космодром «Восточный», а также изъят приказ № 12 от 15.01.2007 г. об утверждении Положения о коммерческой тайне, подписанный генеральным директором ФИО203» ФИО29 (т.д. 3, л.д. 21), и Положение о коммерческой тайне (т.д. 3, л.д. 22-24), и протоколом осмотра изъятых документов (т.д. 3, л.д. 177-237).
Приведенные доказательства, полученные в соответствии с требованиями уголовно-процессуального закона, полностью подтверждают вину в совершении преступления подсудимого Пресса ФИО204 который используя ранее установленную им на одном из серверов - сервер 1С - ФИО205 программу Ammyy Admin, позволяющую получить удаленный доступ к компьютеру или серверу через сеть-Интернет и управлять ими в режиме реального времени, удаленно, находясь в г. Москве по месту своего жительства в <адрес>, подключился к внутренней, защищенной компьютерной сети ФИО161 и произвел удаление баз данных и программного обеспечения.
Суд находит установленным осуществление Прессом ФИО162. неправомерного доступа к компьютерной информации путем незаконного проникновения во внутреннюю компьютерную сеть ФИО206 без разрешения его законного представителя, так как после того как с 01.09.2014 г. он был уволен из указанной организации, он перестал обладать правом нахождения в компьютерной системы ФИО207», в отношении которой были приняты специальные меры защиты, ограничивающие круг лиц, имеющих к ней доступ, путем установление логинов и паролей, в связи с чем, компьютерная сеть ФИО208 не была общедоступной.
Сам подсудимый Пресс ФИО163 как на предварительном следствии, так и в судебном заседании не отрицал, что это именно он установил на сервере 1С программу Ammyy Admin, переименовал ее, и с ее помощью 28.12.2014 г. (время хабаровское) зашел в компьютерную сеть ФИО164 произведя удаление программного обеспечения, как он полагает, нелицензионного.
Уничтожение компьютерной информации, находившейся в системе хранения данных, приобретенной на законных основаниях ФИО165 вместе с программным обеспечением, необходимым для его функционирования, опровергают доводы подсудимого о том, что его целью являлось лишь уничтожение нелицензионного ПО. Кроме того, использование, по утверждению подсудимого, ФИО166 нелицензионного программного обеспечения не давала ему право на проникновение в чужую защищенную компьютерную сеть и уничтожение компьютерной информации, созданной посредством использования, пусть даже и нелицензионного, программного обеспечения.
Суд также находит установленным уничтожение Прессом ФИО167 охраняемой законом компьютерной информации, для которой установлен специальный режим ее правовой защиты. Так, уничтоженная им информация в соответствии с ФЗ «О коммерческой тайне» от 29.07.2004 г. № 98-ФЗ и Положением о коммерческой тайне, утвержденным 15.01.2007 г. генеральным директором ФИО168 содержала сведения, составляющую коммерческую тайну, а также сведения, содержащие персональные данные, защита которых установлена ТК РФ и ФЗ «О персональных данных» от 27.07.2006 г. № 152-ФЗ. Доступ к указанной компьютерной информации для посторонних лиц, не состоящих в трудовых отношениях с ФИО170 исключен. Установлено, что в ФИО169 были приняты не только специальные технические меры, исключающие доступ третьих лиц к охраняемой законом информации (логины и пароли), но и организационные и юридические меры к охране конфиденциальности такой информации, что выражается в установлении в ФИО172 режима коммерческой тайны, предупреждении сотрудников организации о неразглашении сведений, составляющих коммерческую тайну. Так, трудовой договор подсудимого Пресса ФИО171 от 02.04.2008 г. содержит указанное предупреждение, а его должностная инструкция – перечень сведений, не подлежащих разглашению, среди которых и персональные данные сотрудников. 02.04.2008 г. им также дано обязательство о неразглашении сведений, составляющих коммерческую тайну (т.д. 7, л.д. 126).
Возможность восстановления компьютерной информации не имеет какого-либо правового значения для дела.
Наличие прямой причинно-следственной связи между неправомерным проникновением Пресса ФИО173 в чужую компьютерную систему (сеть) и наступившими последствиями в виду уничтожения компьютерной информации суд находит установленным.
Причиненный подсудимым ФИО174 ущерб, выразившийся в несении затрат (расходов) на восстановление уничтоженной компьютерной информации, в размере 1 469 062 руб., что согласно примечанию к ст. 272 УК РФ, образует крупный размер, полностью нашел свое подтверждение изъятыми у представителя потерпевшей организации ФИО9 протоколом выемки от 21.08.2015 г. бухгалтерскими и иными документами, исследованными судом.
Действия Пресса ФИО175 суд квалифицирует по ч. 2 ст. 272 УК РФ как неправомерный доступ к охраняемой законом компьютерной информации, повлекший уничтожение компьютерной информации и причинение крупного ущерба.
При назначении наказания суд руководствуется требованиями ст. ст. 6, 60 УК РФ и учитывает характер и степень общественной опасности содеянного, данные о личности подсудимого, наличие смягчающего и отсутствие отягчающих наказание обстоятельств, а также влияние назначенного наказания на его исправление.
Пресс ФИО176 совершил преступление средней тяжести, ранее судим, не женат, детей не имеет, работает, на учете у врача-нарколога и у врача-психиатра не состоит, полицией характеризуется удовлетворительно.
К обстоятельствам, смягчающим наказание Пресса ФИО177 суд относит частичное признание им своей вины.
Отягчающих наказание Пресса ФИО178 обстоятельств суд не усматривает.
При таких обстоятельствах суд полагает назначить Прессу ФИО179 наказание в виде лишения свободы.
Оснований для применения к подсудимому положений ч. 6 ст. 15 УК РФ суд не усматривает.
Учитывая фактические обстоятельства преступления и степень его общественной опасности, данные, характеризующие личность подсудимого Пресса ФИО209 суд считает возможным его исправление без реального отбывания наказания и применяет в отношении него условное осуждение в соответствии с требованием ст. 73 УК РФ.
Согласно п. 9 Постановления Государственной Думы Федерального Собрания РФ от 24.04.2015 г. № 6576-6 ГД «Об объявлении амнистии в связи с 70-летием Победы в Великой Отечественной войне 1941-1945 годов» по уголовным делам о преступлениях, которые совершены до дня вступления в силу Постановления, суд, если признает необходимым назначить наказание условно, назначить наказание, не связанное с лишением свободы, либо применить отсрочку отбывания наказания, освобождает указанных лиц от наказания. Пунктом 12 данного Постановления предусмотрено снятие судимости с лиц, освобожденных от наказания, в том числе на основании его пункта 9.
Поскольку Пресс ФИО180 совершил преступление до дня вступления в силу указанного Постановления и суд признал необходимым назначить ему наказание условно, то к нему подлежит применению акт об амнистии.
Обстоятельств, предусмотренных п. 13 указанного Постановления, препятствующих применению акта об амнистии в отношении Пресса ФИО181 не установлено.
Гражданский иск потерпевшей организации ФИО183 о взыскании в ее пользу с Пресса ФИО182 имущественного ущерба в размере 1469 062 руб. основан на законе, обоснован по сумме и на основании ст. 1064 ГК РФ подлежит удовлетворению, поскольку ущерб причинен его умышленными преступными действиями.
На основании изложенного и руководствуясь ст. ст. 307, 308 и 309 Уголовно-процессуального кодекса Российской Федерации, суд
ПРИГОВОРИЛ
признать Пресса ФИО184 виновным в совершении преступления, предусмотренного ч. 2 ст. 272 УК РФ, и назначить ему наказание в виде лишения свободы сроком на 2 года.
В соответствии со ст. 73 УК РФ назначенное ФИО1 наказание в виде лишения свободы считать условным и установить испытательный срок 3 года.
На основании п. 9 и п. 12 Постановления Государственной Думы Федерального Собрания РФ от 24.04.2015 г. № 6576-6 ГД «Об объявлении амнистии в связи с 70-летием Победы в Великой Отечественной войне 1941-1945 годов» освободить ФИО1 от наказания и снять судимость по настоящему приговору.
Гражданский иск ФИО185 удовлетворить. Взыскать с Пресса ФИО186. в счет возмещения причиненного преступлением ущерба в пользу ФИО210 1469 062 руб.
Меру пресечения Прессу ФИО187. в виде подписки о невыезде и надлежащем поведении до вступления приговора в законную силу оставить без изменения.
Приговор может быть обжалован в апелляционном порядке в Хабаровский краевой суд через Кировский районный суд г. Хабаровска в течение 10 суток со дня его провозглашения.
Осужденный вправе ходатайствовать о своем участии в рассмотрении уголовного дела судом апелляционной инстанции в тот же срок при подаче апелляционной жалобы либо путем подачи отдельного ходатайства, а также в возражениях на принесенные по делу апелляционные жалобы (представления) другими участниками процесса в течение десяти дней со дня вручения их копий.
Судья /подпись/ С.А. Бабий
Копия верна: судья С.А. Бабий
Секретарь: А.А. Блох
Подлинник приговора подшит в дело № 1-45/2017 и хранится в Кировском районном суде г. Хабаровска
Приговор суда по ч. 2 ст. 272 УК РФ
М.Е.А. обвиняется в совершении преступления в сфере компьютерной информации при следующих обстоятельствах.ООО "Я." является правообладателем Интернет-сервиса, расположенного в сети Интернет по адресу (марка обезличена). "Я." - российская поисковая...
Приговор суда по ч. 2 ст. 272 УК РФ
Салов Д.Ю. совершил использование компьютерных программ, заведомо предназначенных для несанкционированного блокирования, модификации компьютерной информации и нейтрализации средств защиты компьютерной информации, из корыстной заинтересованности, п...