Дело № 1-11/2023 (1-168/2022;)

Акты

ПРИГОВОР

ИМЕНЕМ РОССИЙСКОЙ ФЕДЕРАЦИИ

город Самара 28 февраля 2023 года

Кировский районный суд г. Самары в составе

председательствующего судьи Ерух О.А.,

при секретарях судебного заседания Пастухове Д.А., Дадашовой Э.А., Корнеевой В.Н., помощников судьи Золотухиной Т.В., Сергеевой Г.Г.,

с участием государственных обвинителей Макагона И.Н., Абдулаевой С.В., Староверовой А.А., Салькина Р.Х., Казаковой В.А., Шебаршова М.В., Кривец Д.В.,

представителей потерпевшего по доверенности Свидетель №3

подсудимого Есина А.Е., защитника Рогова А.А., предъявившего удостоверение и ордер,

рассмотрев открытом судебном заседании в общем порядке принятия судебного решения материалы уголовного дела № 1-11/2023 в отношении

Есина А.Е., ДД.ММ.ГГГГ года рождения, уроженца <адрес>, гражданина РФ, с высшим образованием, состоящего в зарегистрированном браке, имеющего на иждивении малолетнего ребенка – Свидетель №3 ДД.ММ.ГГГГ года рождения, работающего <адрес>, зарегистрированного по адресу: <адрес>, проживающего по адресу: <адрес>, не судимого,

обвиняемого в совершении преступления, предусмотренного ч. 4 ст. 274.1 УК РФ,

УСТАНОВИЛ:

Есин А.Е. совершил нарушение правил эксплуатации информационно-телекоммуникационных сетей, относящихся к критической информационной инфраструктуре Российской Федерации, а также нарушение правил доступа к информационно-телекоммуникационным сетям, что повлекло причинение вреда критической информационной инфраструктуре Российской Федерации, при следующих обстоятельствах.

В соответствии с п. 6 ст. 2 Федерального закона от ДД.ММ.ГГГГ №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» критическая информационная инфраструктура (далее КИИ) - объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов. Согласно п. 7 объекты КИИ - информационные системы, информационно-телекоммуникационные сети (далее – ИТКС), автоматизированные системы управления субъектов КИИ. Под субъектами КИИ согласно п. 8 указанной статьи понимаются государственные органы, государственные учреждения, Свидетель №3 юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, Свидетель №3 юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

АО «<адрес>» (далее – <адрес>) является одним из ведущих ракетно-космических предприятий оборонно-промышленного комплекса <адрес>, входит в <адрес> «<адрес>» и участвует в исполнении государственного оборонного заказа в части производства ракет-носителей и изготовления космических аппаратов различного назначения, в том числе в интересах Минобороны России. При этом, значительная часть финансово-хозяйственных процессов завода, обеспечивающих производство, автоматизирована и интегрирована в информационную инфраструктуру предприятия, включающую ИТКС (представляет собой комплекс отдельных автоматизированных рабочих мест (далее – АРМ), в том числе виртуальных, сетевого и серверного оборудования) и центр обработки данных предприятия в виде компьютерной информации, представленной в форме электрических сигналов.

Согласно п. 1 примечания к ст. 272 УК РФ под компьютерной информацией понимаются сведения (сообщения, данные), представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи.

Во исполнение требований Федерального закона от ДД.ММ.ГГГГ №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» письмом Федеральной службой по техническому и экспортному контролю (далее – ФСТЭК) России объекты <адрес> (сегмент локальной вычислительной сети <адрес>, обеспечивающий функционирование корпоративной информационной системы, сеть передачи данных <адрес> (СПД), ЦОД (сегмент №), обеспечивающий функционирование корпоративных информационных систем (серверное оборудование, системы хранения данных, прикладное программное обеспечение информационных систем) <адрес>, ЦОД (сегмент №) обеспечивающий функционирование корпоративных информационных систем (серверное оборудование, системы хранения данных, прикладное программное обеспечение информационных систем) РКЦ) включены в реестр значимых объектов КИИ РФ под номерами № (категория значимости – 3).

В соответствии с дополнительным соглашением от ДД.ММ.ГГГГ к трудовому договору № от ДД.ММ.ГГГГ между <адрес> и Есиным А.Е., на основании приказа о переводе работника на другую работу №/ок от ДД.ММ.ГГГГ, последний назначен на должность инженера - электроника отдела №.

В соответствии с п.п. 1.6, 2.1-2.12 должностной инструкции № от ДД.ММ.ГГГГ инженер - электроник должен знать: нормативно-правовые акты вышестоящих органов, методические и другие руководящие материалы по направлению своей деятельности; технико-эксплуатационные характеристики, конструктивные особенности, назначение, режим работы оборудования, правила технической эксплуатации; порядок установки и настройки активного сетевого оборудования; основы передачи дискретных данных; базовые технологии построения локальных сетей; основные принципы и правила построения структурированной кабельной системы; требования и правила системы защиты информации; а также обязан: знать используемое активное оборудование для построения сети и уметь настроить его для функционирования ИВС предприятия; составлять спецификации оборудования и комплектующих на новые или модернизируемые сегменты сети; уметь настраивать активное сетевое оборудование для бесперебойной работы ИВС и пользователей; обеспечивать сохранность информации в ИВС предприятия; соблюдать требования и правила защиты информации, установленные в отделе.

Есин А.Е., в июле 2020 года, будучи осведомленным о действующих на <адрес> правилах работы в информационно-вычислительной сети (далее – ИВС), установленных положением «О порядке работы в ИВС» от ДД.ММ.ГГГГ № (далее – Положение), решил в нарушение правил доступа и эксплуатации <адрес> организовать подключение автоматизированного рабочего места (далее – АРМ) (виртуальной рабочей станции с ip-адресом ДД.ММ.ГГГГ.10 из закрытого внутреннего диапазона ИВС предприятия) к информационно-телекоммуникационной сети «Интернет» в нарушение указанного Положения, с целью последующего осуществления загрузки и установки на АРМ программного обеспечения <адрес>, предназначенного для аутентификации устройств пользователей в сети.

В целях реализации своего преступного умысла, Есин А.Е., в августе 2020 года, находясь на рабочем месте, расположенном по адресу: <адрес>, являясь администратором ИВС, действуя умышленно, в обход установленных на предприятии указанных выше правил, забрав находящееся в помещении корпуса 6Б предприятия устройство – маршрутизатор «<данные изъяты>», модель «<данные изъяты>», серийный номер № (далее – маршрутизатор), который в нарушение Положения подключил к ИВС предприятия путем физического соединения в шкафу коммутации, расположенном в кабинете № по вышеуказанному адресу, после чего осуществил настройку маршрутизатора при помощи специального программного обеспечения «WinBox», которое при неустановленных обстоятельствах установил на свое АРМ, назначив маршрутизатору статический ip-адрес № из перечня арендуемых <адрес> у оператора связи <адрес> и ip-адрес № ИВС предприятия, тем самым нарушив правила эксплуатации информационно-телекоммуникационных сетей и правила доступа к информационно-телекоммуникационным сетям.

В результате вышеуказанных действий Есина А.Е. с ДД.ММ.ГГГГ возникли попытки перехвата управления маршрутизатора «<данные изъяты>», подключенного к ИВС предприятия, выражающиеся в попытках подключения иностранных IP-адресов, принадлежащих неизвестным лицам за границей Российской Федерации.

В дальнейшем, не позднее ДД.ММ.ГГГГ, специалистом соответствующего отдела РКЦ, по просьбе Есина А.Е., на кластере серверов, физически расположенных в ЦОД предприятия, состоящих из однотипных серверов (хостов) №, осуществлены создание и настройка виртуального автоматизированного рабочего места «CentOS8-CA-RADIUS» (ip-адрес №

Действуя во исполнение своего преступного умысла, Есин А.Е., ДД.ММ.ГГГГ, находясь на территории РКЦ по адресу: <адрес>, корпус 6Б, используя ранее настроенное им устройство «Mikrotik» и виртуальное автоматизированное рабочее место «CentOS8-CA-RADIUS» (ip-адрес №), расположенное в ЦОД и использующее аппаратные возможности оборудования №, действуя умышленно, осознавая общественную опасность своих действий и их последствия в виде нарушения установленных правил эксплуатации информационно-телекоммуникационных сетей, относящихся к критической информационной инфраструктуре Российской Федерации, а также нарушение правил доступа к информационно-телекоммуникационным сетям, модифицировал компьютерную информацию, а именно сетевые настройки указанного виртуального рабочего места путем изменения сетевых настроек интернет-браузера «Mozilla Firefox», в которые внес proxy-сервер с ip-адресом №, одновременно внеся разрешающее правило для данного адреса на устройство «Mikrotik», в целях организации доступа в ИТКС «Интернет» в нарушение Положения. После этого, Есин А.Е., используя настроенный им, в нарушение правил доступа к информационно-телекоммуникационной сети, канал доступа в ИТКС «Интернет», осуществил загрузку с неустановленного Интернет-ресурса и установку на виртуальное автоматизированное рабочее место «CentOS8-CA-RADIUS» файлов несертифицированного программного обеспечения «free-RADIUS», предназначенного для аутентификации устройств пользователей в сети, тем самым осуществил модификацию компьютерной информации, находящейся и циркулирующей в ЦОД <адрес>, который является объектом КИИ РФ.

Таким образом, указанными действиями Есин А.Е. нарушил правила эксплуатации информационно-вычислительной сети <адрес> и правила доступа к информационно-телекоммуникационной сети, в том числе сети «Интернет», регламентированные Положением «О порядке работы в ИВС» от ДД.ММ.ГГГГ №, устанавливающие запрет на подключение к АРМ модемов, мобильных телефонов, средств беспроводной связи, иных средств связи и передачи данных; запрет на подключение АРМ с помощью вышеуказанных средств к сетям общего пользования (Интернет), а также запрет на самовольную установку, переустановку операционной системы и программного обеспечения и самовольное изменение технического состава (добавление или удаление компонентов автоматизированного рабочего места).

Согласно ведомости ознакомления с письмом ФСТЭК России №дсп от ДД.ММ.ГГГГ, Есин А.Е. осведомлен о включении ЦОД <адрес> реестр КИИ РФ, при этом осуществил вышеуказанные противоправные действия, используя аппаратные возможности оборудования, фактически находящегося в составе ЦОД, который является объектом КИИ РФ.

В результате противоправных действий Есина А.Е. объекту КИИ РФ (ЦОД РКЦ) нанесен организационный (технологически-эксплуатационный) вред, выразившийся в нарушении безопасности доступа и эксплуатации обрабатываемой и хранящейся компьютерной информации оборонного предприятия, находящейся в КИИ РФ третьей категории значимости, в результате чего создана возможность проникновения внешних злоумышленников в периметр объектов КИИ РФ и нанесения им критического ущерба вплоть до выведения из строя, потери данных и отказа критических для функционирования предприятия процессов, тем самым создана угроза наступления тяжких последствий для ИВС и технологических процессов завода, в том числе срыва сроков исполнения государственного оборонного заказа. При этом, Есин А.Е. осознавал общественную опасность своих действий и их последствия в виде нарушения безопасности доступа и эксплуатации обрабатываемой и хранящейся компьютерной информации в ЦОД <адрес> отнесенного к КИИ РФ, создании возможности проникновения внешних злоумышленников в периметр объектов КИИ РФ и нанесения им критического ущерба вплоть до выведения из строя, потери данных и отказа критических для функционирования предприятия процессов, то есть создании угрозы наступления тяжких последствий, не желал, но сознательно допускал такие последствия.

Подсудимый Есин А.Е. виновным себя в предъявленном обвинении признал частично и показал, что в <адрес>» работал около 10 лет, а конкретно в отделе № - с 2018 года в качестве инженера – электроника, в его обязанности входила работа по проектированию новых и модернизации существующих сегментов информационной сети предприятия, составление спецификации оборудования, комплектования, монтажа оборудования, прокладывания кабеля, настройка и мониторинг активного оборудования. Примерно с 2018 года перед отделом стояла задача внедрения сервиса аутентификации устройств предприятия, непосредственно перед ним данную задачу примерно в июле 2020 года поставил его непосредственный начальник Свидетель №3. Подбор программного обеспечения осуществлялся, как он предполагает, на каком-то совещании руководителей, а непосредственно ему Свидетель №3 была поручена работа с «free-RADIUS», необходимо было сделать и сдать в эксплуатацию. Конкретных указаний как именно выполнять эту работу, какие шаги для этого предпринять, ему не разъяснялось, поэтому он выполнил поставленную задачу по собственному усмотрению, таким образом, каким посчитал возможным. Программа «free-RADIUS» - это программное обеспечение, которое работает на операционных системах «Linux». Для установки «free-RADIUS» им был выбран дистрибутив «CentOS8», как наиболее надежный. Он скачал на свой персональный рабочий компьютер № данный дистрибутив. Сделал он это следующим, наиболее простым, образом: примерно в августе 2020 года он установил в коммутационном шкафу «Mikrotik», подключил его к оптическому кабелю с возможностью прямого выхода в сеть Интернет, кабель уже был заведен в данный шкаф, после чего скоммутировал посредством патч-панели соединение со своим рабочим компьютером. При этом, свой компьютер он физически отключил от ИВС предприятия. Откуда взялся данный оптический кабель для выхода в сеть Интернет в коммутационном шкафу, ему не известно, слышал, что он использовался в служебных целях сотрудниками соседнего бюро еще до того, как он устроился на работу, к нему был свободный доступ, учитывая, что у шкафа отсутствовали боковые и задние стенки, дверцы не запирались. На свой компьютер он установил торрент-клиент, при помощи которого скачал дистрибутив «CentOS8» на свой компьютер. Торрент-клиент при запуске скачивания демонстрирует то, что непосредственно будет скачено, а также он проверяет скачиваемые объекты на целостность и защищает от ошибок. При скачивании никаких ошибок и вирусов установлено не было, в связи с чем он счел возможным использовать дистрибутив «CentOS8». Данное программное обеспечение «free-RADIUS» планировалось использовать в промышленной эксплуатации сети предприятия, цель использования - система опознавания «свой-чужой». То есть, посредством данной программы должно было производиться опознавание устройств, подключающихся к ИВС предприятия и либо даваться разрешение на подключение к ИВС предприятия либо нет. Работать данное обеспечение должно было на мощностях предприятия. Для этого, по его просьбе, сотрудник соседнего бюро Свидетель №3 создал виртуальную машину, создав для нее определенные ресурсы (определенный объем диска и т.д.). Виртуальная машина была установлена в новом ЦОДе уже после того, как он подключил «Mikrotik». В этот момент «Mikrotik» был подключен к сети Интернет, а других проводов на нем не было в тот момент. Таким образом, «Mikrotik» находился в режиме ожидания около недели, и за это время было несколько нелегальных попыток подключения извне. При этом, возможности логирования «Mikrotik» позволяют увидеть конкретных пользователей и конкретные IP-адреса, с которых предпринимались попытки подключения и захвата управления устройством. Он данные события убирал и создал черный список, после чего «Mikrotik» их больше не обрабатывал. Он менял заводские настройки «Mikrotik», так как иначе ничего нельзя было бы сделать. При этом он применил схему подключения, которую нашел на заводском портале. Согласно схеме на внешний интерфейс, который «смотрел» в Интернет, он назначил IP-адрес №, на внутренний интерфейс он назначил IP-адрес №, настроил файрвол, в котом присутствует технология NAT. На внешнем интерфейсе «Mikrotik» IP-адрес относится к белым адресам, а IP-адрес № – это частный адрес и технология NAT, встроенная в маршрутизатор (Mikrotik) в файрволе, блокирует подключения. Кроме того, для того, чтобы к Mikrotik не смог никто подключиться никто кроме него, он, зная параметры своей рабочей машины № № и зная параметры, с которых он будет следить за ним из дома, он отключил все служебные сервисы у Mikrotik, после чего маршрутизатор не принимает никаких соединений. Кроме того, у Mikrotik есть сервис административного обслуживания Winbox, через который он также путем соответствующих настроек ограничил доступ к Mikrotik. Таким образом, программное обеспечение «CentOS8» было им скачано и установлено на рабочем компьютере, виртуальная машина была создана на его рабочем компьютере по его просьбе Свидетель №3, а Mikrotik остался в режиме ожидания, то есть был подключен только одним проводом к сети Интернет. После этого установка «CentOS8» на виртуальную машину происходила в режиме оффлайн, то есть использование Интернет для этого не требуется, установка производится через консоль управления виртуальной машины. Доступ к виртуальной машине ему дал Свидетель №3. Он установил «CentOS8» на виртуальную машину, созданную Свидетель №3 на его компьютере, был определен пользователь, логин и пароль. Таким образом, виртуальная машина была подготовлена им для дальнейшего использования. После это перед ним возник вопрос установки «free-RADIUS», однако поскольку в «Linux» установочные пакеты программы выложены на репозиториях конкретных производителей операционных систем, производители проверяют данные установочные пакеты на отсутствие вредоносных вирусов. Установочные пакеты содержат большой набор пакетов, поэтому переносить их вручную нецелесообразно в виду того, что в дальнейшем большая вероятность того, что в дальнейшем при настройке программы не будет найден какой-то необходимый компонент. Соответственно, самая надежная установка в «Linux» осуществляется через сеть Интернет путем обращения к официальному репозиторию производителю - компании «RedHat», являющейся официальным разработчиком операционной системы «CentOS», который производит установку со всеми привязками и необходимыми компонентами и при необходимости через Интернет автоматически «подтягивает» необходимый компонент. В связи с этим он принял решение применить самый надежный и самый быстрый способ установки на виртуальную машину «free-RADIUS» путем дачи возможности виртуальной машине на время выйти в сеть Интернет, чтобы она скачала установочные «файлики». Для реализации данной цели он настроил proxy-сервер на маршрутизаторе Mikrotik, чтобы быстро «выпустить» виртуальную машину в Интернет и скачать необходимые файлы без ошибок. Прелесть proxy-сервера состоит в том, что он работает с приложениями, в связи с чем не требуется изменять все настройки, а можно «выпустить» в Интернет только отдельное приложение. Пользуясь данной возможностью proxy-сервера, он настроил его таким образом, чтобы в Интернет «выходил» только браузер MozillaFirefox, который «вшит» в систему «CentOS». Что касается маршрутизатора Mikrotik, то в файрволе имеется возможность установления правила, запрещающего подключение к Mikrotik любых устройств, кроме виртуальной машины и его рабочего компьютера. Он проверил работу этого правила на своем рабочем компьютере в тот момент, когда компьютер был отключен от ИВС. То есть в случае установления такого правила (оно называется «блокировать всех, кроме…»), Mikrotik работает только с теми устройствами, которые разрешены данным правилом. Поскольку программное обеспечение «Linux» достаточно сложное, взаимодействие внутри которого основано на совместимости пакетов, то при скачивании последней версии программного обеспечения «free-RADIUS» потребовалось обновление операционной системы «CentOS». Соответственно, была обновлена система «CentOS» до актуальной версии и только после этого на виртуальную машину было установлено программное обеспечение «free-RADIUS». Обновление «CentOS» производилось исключительно из источников производителя. После этого пошла настройка «free-RADIUS», проводилось его тестирование на рабочих компьютерах сотрудников отдела 2887, то есть «испытывали на себе». Маршрутизатор Mikrotik постоянно не работал, то есть не был подключен, поскольку, во-первых, в этом не было необходимости, а во-вторых, исходя из необходимости обеспечения безопасности, несмотря на жесткие ограничения взаимодействия маршрутизатора с другими устройствами. Маршрутизатор Mikrotik отключался через меню интерфейса, то есть отключался proxy-сервер, а потом выдергивался провод из электрической розетки. Таким образом, маршрутизатор Mikrotik был подключен только в период обновления системы «CentOS», скачивания и установки «free-RADIUS». Тестирование по времени проводилось примерно до конца ноября 2020 года - середины декабря 2020 года, то есть в течении двух месяцев. После этого виртуальная машина была введена в промышленную эксплуатация, а кроме того она была «клонирована». Кем была «клонирована» виртуальная машина он не знает, он этим уже не занимался. Виртуальная машина была «клонирована» для того, что если с одной виртуальной машиной что-то случится, то вторая машина ее заменяет и берет нагрузку на себя, то есть была применена система резервирования. Он не признает того, что его действиями <адрес>» был причинен ущерб, так как им не были совершены действия, приведшие к нарушению принципов информационной безопасности, то есть триады - конфиденциальность – доступность – целостность, о чем свидетельствует отсутствие утечки данных, а также не было зафиксировано поломок оборудования и простоев, проблем с доступом к ресурсам ИВС настоящих пользователей ИВС предприятия, что, в том числе, подтверждается и показаниями допрошенных свидетелей. Соответственно, воздействия на ЦОД не было. Он полагает, что принципы информационной безопасности не были нарушены, так как не была нарушена конфиденциальность, о чем можно было бы говорить, если бы любой случайный пользователь сети Интернет смог иметь доступ к ИВС предприятия, чего установлено не было. Нарушение целостности было бы, в случае, если бы любая информация, находящаяся в ИВС предприятия была бы искажена либо удалена, чего также установлено не было, так как в случае наступления таких последствий это бы однозначно стало известно и не могло остаться без внимания. Нарушение доступности имело бы место быть, если бы ресурсы ИВС перестали бы быть доступными пользователями ИВС, либо доступ осуществлялся бы с задержками, чего также установлено не было. Все эти определения изложены в книге «Компьютерные сети. Принципы, технологии, протоколы. 5-е издание» учебник для ВУЗов, под авторством В. Олифер, Н. Олифер, издательство «Питер», 2018 год. Все вышеописанные им действия по скачиванию и установке «free-RADIUS» он осуществлял в рамках исполнения указания руководства об обеспечения внутренней безопасности ИВС предприятия, то есть с целью исключения подключений к ИВС предприятия посторонних устройств, так как такие случаи были зафиксированы. Кроме того, к задачам, решаемым «free-RADIUS» относится решение вопроса так называемой сегментации, то есть распределение устройств отделов по нужным сетям. Ранее с целью решения данного вопроса на предприятии использовалась программное обеспечение «CiscoACS» с достаточно широким функционалам, которое приобреталось <адрес> вместе с оборудованием «CiscoACS». В данном программном обеспечении также имеется возможность настройки сервиса по допуску - не допуску «свой-чужой». Однако была проблема с доступом к данному программному обеспечению, так как поддержка данного программного обеспечения платная и его стоимость высока. Конкретную стоимость он не знает, но по слухам в отделе и тому, что сотрудники «глаза закатывали», сделал вывод, что стоимость не маленькая. Со слов Свидетель №3 в 2018 году, то есть когда он пришел на работу в отдел, ему стало известно, что на предприятии для учета сторонних подключений к ИВС используется программное обеспечение «CiscoACS», но нет возможности продлить поддержку данного программного обеспечения. Какова стоимость продления поддержки он не знает, предполагает, что высокая. Маршрутизатор Mikrotik, используемый им для изложенных выше целей, он нашел на складе отдела №, откуда он там взялся ему не известно. Поскольку он является сертифицированным специалистом по работе с Mikrotik, то решил использовать маршрутизатор, никаких учетных журналов в отделе не имелось, за получение маршрутизатора он нигде не расписывался, подключал и отключал маршрутизатор он сам по мере необходимости. Положение о порядке работы в ИВС ему известно, его с ним знакомили, как и всех других сотрудников. Он точно не помнит, разрешено ли данным Положением подключение виртуальных станций к сети Интернет, но полагает, что, скорее всего, не разрешено. Хочет отметить, что данное Положение предназначено для пользователей ИВС, что указано в разделе 6 пункт «права и обязанности пользователей», в то время как он по своему должностному положению являлся администратором ИВС, что следует, в том числе и из существа предъявленного обвинения, в связи с чем полагает, что требования Положения распространяются только на пользователей ИВС, к которым он не относится, поскольку в отделе № работают администраторы. Администраторам по роду деятельности периодически необходимо что-то подключать. О том, что ЦОД получил статус объекта, отнесенного к объектам критической инфраструктуры, он узнал примерно в феврале-марте 2020 года по слухам. Вероятность того, что программа «Linux» пропустит какой-то вредоносный файл, существует, ему известный такие случаи, но у других компаний-производителей, о наличии таких случаев в «Linux» ему не известно. Кроме того, внедрить вирус в «Linux» - это надо «очень постараться». С предъявленным обвинением в части нарушение правил эксплуатации и доступа к информационно-телекоммуникационным сетям не согласен, поскольку сотрудники отдела № являются администраторами, а не пользователями, а Положение №, регламентирующее порядок работы администраторы было издано только ДД.ММ.ГГГГ, то есть в период инкриминируемых ему деяний, деятельность администраторов ничем не регламентировалась. Причинение вреда КИА РФ он также не признает, так как вред, по его мнению, может быть оценен только с точки зрения принципов информационной безопасности – триады «конфиденциальность – доступность-целостность», о чем он пояснял выше. Данные принципы информационной безопасности им нарушены не были, о чем свидетельствуют показания свидетелей, а также отсутствие зафиксированных фактов утечки информации, поломок и замен оборудования, простоев и проблем с доступом у пользователей к ИВС предприятия. В части обвинения относительно несоблюдения им должностной инструкции, а именно пунктов 2.1-2.12, то нарушений им допущено не было, так как утечки информации ИВС предприятия не произошло, доступ пользователей к ИВС не был нарушен. Относительно инкриминируемого ему использования должностного положения, то считает, что он только лишь выполнял задачу, поставленную руководством о развертывании «free-RADIUS», пути решения данной задачи ему не сообщались, в связи с чем он самостоятельно выбирал вариант решения поставленной перед ним задачи. Не считает, что он является лицом, использующим свое должностное положение в том смысле, который заложен применительно к ч. 4 ст. 274.1 УК РФ. Обращает внимание, что оборудование Huawei RH5885 v5, указанное в обвинении, причислено к КИИ только в июле 2021 года. В обвинении не указано, что данное оборудование входило в новый ЦОД, а не в старый ЦОД. Относительно инкриминируемых ему нарушений положения «О порядке работы в ИВС» от ДД.ММ.ГГГГ №, то оно относится к пользователям, в то время как он являлся администратором. В обвинении приведена формулировка - нанесение организационного (технологически-эксплуатационного) вреда, выразившегося в нарушении безопасности доступа и эксплуатации обрабатываемой и хранящейся компьютерной информации оборонного предприятия. Однако, исходя из источников специальной литературы, данный вред выражается в нарушении триады «конфиденциальность – доступность-целостность», о которой он излагал выше. Нарушение конфиденциальности – это если бы информационные ресурсы ИВС стали бы доступны любому случайному пользователю, нарушение целостности – это в случае, когда любая информация ИВС была бы удалена или искажена, нарушение доступности – это если бы ресурсы ИВС перестали бы быть доступны пользователям или доступ к ним был бы затруднен. Таких фактов зафиксировано не было. Уязвимость, угроза и атака – это факторы, влияющие на безопасность. Уязвимость – это слабое звено информационной системы, которое став известным злоумышленнику, может позволить ему нарушить ее безопасность; угроза – это набор обстоятельств и действий, которые потенциально могут привести к нарушению информационной безопасности, то есть к нарушению конфиденциальности, доступности, целостности; атака – это реализованная угроза. Ущерб – это негативное влияние на информационную систему в результате атаки, то есть факт атаки должен быть зафиксирован для установления ущерба. Перечисленные определения он взял из указанного выше учебника для ВУЗов. Из показания свидетелей утечки информации, нарушения доступа, целостности не было. Соответственно, он полагает, что его действиями с точки зрения информационной безопасности какой-либо вред КИИ РФ не причинен. Действия по подключению Mikrotik к ИВС <адрес> осуществлял исключительно в интересах данного предприятия. Если бы он реализовал свою «рационализаторскую задумку» в части объединения центральной площадки предприятия с филиалами путем организации шифрованных каналов, что сэкономило бы <адрес> стоимость услуг связи, которые по договору с <адрес> составили сумму свыше 5 000 000 рублей, а в случае реализации его рационализаторского предложения, это снизило бы данные расходы примерно на 40%. Еще раз хочет отметить, что стоимость программного обеспечения «CiscoACS» высока – около 1 200 000 рублей за одну лицензию, как следует из приобщенного к делу договору. Купить и продлить поддержку данного обеспечения после 2014 года было нельзя, в связи с чем вопрос о замене данного программного обеспечения был насущным. К тому же, как следует из показаний свидетеля Свидетель №3, машина «CentOS8» «free-RADIUS» с IP-адресом ДД.ММ.ГГГГ была клонирована и в настоящее время в новом ЦОДе уже работают две таких машины. Таким образом, он сэкономил предприятию 2 400 000 рублей, заменив «CiscoACS» (1 200 000 руб. *2) на две машины «CentOS8» «free-RADIUS». Вину признает частично, в той части, что действительно подключил Mikrotik, но при этом принял меры безопасности изложенные выше. Относительно причинения ущерба и использования должностного положения вину не признает. Фактические обстоятельства, изложенные в предъявленном обвинении, касаемые непосредственно его действий, связанные с подключением Mikrotik, внесения изменения сетевых настроек с целью осуществления доступа в сеть Интернет, установления программного обеспечения «CentOS8» «free-RADIUS», не оспаривает, в данной части все изложено верно. Считает, что он не использовал служебное положение, так как администратор системы с точки зрения инкриминируемого преступления – это сотрудник не того ранга, так как никаким административным ресурсом по отношению к другим сотрудникам не обладал, он являлся рядовым сотрудником, в его подчинении никто не находился. Фактическое различие между администратором и пользователем предприятия заключаются в том, что пользователи могут пользоваться ресурсами ИВС предприятия только в том объеме, которые ему даны администратором. У пользователя нет прав что-то изменить, удалить, повысить свои права. Маршрутизатор Mikrotik был подключен около 1-2 недель, находился в режиме ожидания, «отлавливая» всех желающих подключиться к системе предприятия, после чего он добавил их в черный список, а потом подключался только по мере необходимости. За 10 лет работы в <адрес> он к сети Интернет подключился впервые при изложенных выше показаниях в целях скачивания и установления программного обеспечения «CentOS8» «free-RADIUS», ранее к сети Интернет не подключался, так как в этом не было необходимости. В <адрес> установлен специальный порядок пользования сетью Интернет, который использовался работниками предприятия, об этом ему было известно. По вопросам предоставления доступа к сети Интернет сотрудники обращались к Свидетель №3, а он к Интернет - сегменту отношения не имел. Он знал, что <адрес> – это предприятие, в рамках которого обычный доступ к сети Интернет запрещен. По поводу письма ФСТЭК от февраля 2020 года о включении объектов ЦОД в реестр КИИ, пояснил, что документов на ознакомление приходило большое количество, на данное письмо в общей массе он, возможно, не обратил внимания, ничего по данному поводу утверждать не может. Документы приносят на ознакомление целой пачкой и кладут на стол для подписания. Лист ознакомления с данным письмом он подписывал задним числом перед своим увольнением ДД.ММ.ГГГГ в службе безопасности. Относительно переписки с женой со своего персонального компьютера, то он осуществлял данную переписку для тестирования.

Несмотря на частичное признание вины Есиным А.Е., его вина подтверждается следующими доказательствами, исследованными судом.

Показаниями представителя потерпевшего Свидетель №3, согласно которым в его должностные обязанности входит осуществление юридического сопровождения в судах общей юрисдикции, арбитражных судах, представление интересов предприятия, подготовка исковых заявлений, претензий и так далее, по настоящему уголовному делу в качестве представителя потерпевшего действует на основании доверенности. Есиным был организован выход в сеть Интернет посредством виртуальной машины, которая не имела каких-либо ограничений при обращения к иностранному Интернет ресурсу, так как была подключена в нарушение действующих систем безопасности. Есиным использовался публичный IP-адрес, был открыт доступ извне, с высоким уровнем опасности. На <адрес> приказом генерального директора была создана комиссия, которая проводила мероприятия в части выявления наличия несанкционированного подключения. В соответствии с данным приказом были назначены лица из числа сотрудников <адрес>, которые проводили соответствующую проверку, они проводили эту проверку не непрерывно в течении определенного времени, а приблизительно по одному часу в день в рабочее время, соответственно, данные лица отрывались от выполнения своих непосредственных обязанностей, то есть они были вынуждены проверять и проводить те или иные мероприятия для подтверждения указанных фактов. То есть была дополнительная нагрузка в рабочее время в ущерб освоим обязанностям, по факту сотрудники выполняли работу дополнительную. Соответственно, сумма, выплаченная в качестве заработной платы работникам, проводившим такую проверку, из расчета приблизительно одного часа в рабочий день, составила 61 072 рубля. Сотрудники, выполняя проверку, получали зарплату ту, которую они получали и до этого и дополнительного вознаграждения не было. Он предоставлял справки в части вычленения стоимости одного часа каждого работника <адрес>, который принимал участие в данной проверке. Более того, в процессе проведения данной проверки комиссией было установлено, что сотрудники <адрес> не в состоянии самостоятельно выявить полный перечень вреда, который мог быть причинен <адрес>, в связи с чем <адрес> ДД.ММ.ГГГГ вынуждено было заключить договор с компанией АйЭсТи на оказание услуг по анализу защищенности сегментов информационных структуры <адрес>, по установлению схемы несанкционированного удаленного доступа и проникновения извне в ИВС <адрес>. Общая сумма данного договора составила 980 000 рублей. При этом, к данному договору прилагались техническое задание по этапам работ и ведомость исполнения, которые разграничивали проведение работ в несколько этапов, и, соответственно, один и этапов работ общей стоимостью 370 000 рублей и был направлен на анализ схемы несанкционированного удаленного доступа и проникновения извне в ИВС <адрес>, организованного Есиным. Соответственно, <адрес> считает, что действиями Есина А.Е. нанесен как имущественный вред в сумме 531 072 рубля, которая складывается из стоимости определенного этапа работ по заключенному договору - 370 000 рублей, так и из стоимости затраченных трудовых ресурсов сотрудников <адрес>, которые были отвлечены от своей непосредственной работы. Ущерб также причинен в виде того, что та информация, которая находилась в ЦОДе, могла быть доступна иным лицам, которые могли извне получить доступ к ИВС предприятия. <адрес> является режимным объектом и вся информация, которая находилась в ЦОД, могла относиться, в том числе, к материалам Министерства обороны РФ, что, в свою очередь, могло принести вред РФ в целом. С результатами проверки его не знакомили, из обвинительного заключения, с которым он знакомился, ему известно, что Есин подключил определенное программное устройство к серверам <адрес> и через которое происходила взаимосвязь по сети Интернет по открытым источникам. Подробности действий Есина, содержание его должностных обязанностей, местонахождение рабочего компьютера, ему не известны. Ему также не известно, был ли заключен указанный договор с компанией АйЭсТи именно в связи с действами Есина А.Е. или по другим причинам, основания заключения того или иного договора до сведения сотрудников юридического отдела не доводят.

Показаниями свидетеля Свидетель №3, согласно которым он является директором по развитию компании АйЭсТи, с подсудимым не знаком. У АйЭсТи имелся договор с <адрес>, заключенный в конце 2020 года с целью выявления канала утечки информации. Срок исполнения составлял 2 месяца. Сумма договора составляла около 980 000 рублей, спецификация была разделена на три суммы по трем пунктам. Исполнителями контракта были два физических лица, которых их организация привлекла для данной работы, он сам являлся руководителем данной проварки и принимал в ней непосредственное участие. Работы в рамках контракта проводились ими непосредственно на территории завода <адрес>», им были предоставлены персональные компьютеры. Данные специалисты проводили анализ представленных сотрудниками информационной безопасности <адрес> Свидетель №3 и Свидетель №3 трех жестких дисков и маршрутизатора Mikrotik, а также конфигурационных данных сетевого оборудования, в которых, в том числе, установлены правила и порядок пользования закрытой сетью <адрес> для пользователей. Перед проверкой им было разъяснено, что пользователь дисков имеет право посещать только зарегистрированные в <адрес> сайты, они ознакомились с документацией <адрес>, регламентирующей работу сотрудников в защищенной закрытой сети <адрес>. Они создали образы на предоставленных им компьютерах, посредством применения специального программного обеспечения, путем клонирования информации с жестких дисков, то есть была в полном объеме сохранена информационная система, содержащаяся на жестких дисках. При клонировании образа был изменен только МАС-адрес операционной системы, в виду того, что при запуске программного обеспечения на новом персональном компьютере это происходит автоматически. Поскольку МАС-адрес пользователь может менять самостоятельно в любой момент, в том числе и не меняя оборудование, то изменение данного адреса при запуске образа жесткого диска на другом компьютере не повлияло на результаты проводимой проверки. По итогам проверки были выявлены три инцидента, в том числе по первому жесткому диску было выявлено наличие информации о посещении пользователем диска незарегистрированных в домине <адрес> сайтов, то есть пользователь с помощью своего компьютера с интернет-браузера посещал неустановленные сайты в сети Интернет. То есть было зафиксировано подключение к сети Интернет с автоматизированного рабочего места, об этом свидетельствовало наличие браузера с историей посещений сайтов. Сайты были и технического характера и развлекательного. На втором жестком диске была информация о создании proxy-сервера, по поводу третьего диска затрудняется что-либо пояснить. Всего по двум жестким дискам были обнаружены история посещения порядка 700 сайтов сети Интернет, которые были новостными, развлекательными, а также касающиеся информационных технологий, на которые в виду их особой специфики обычный пользователь заходить не будет. Данная информация содержалась в истории посещения браузера «Mozilla Firefox», который имелся на исследованных жестких дисках. Браузер «Mozilla Firefox» - это программное обеспечение, которое может быть установлено и на компьютерах, подключенных к закрытому контуру <адрес>, так как с помощью данного браузера отдельные сотрудники могут получать доступ к сетевому оборудованию путем внесения соответствующего IP-адреса, получения доступа к необходимой оболочке и настройке оборудования. Однако данный доступ (логин и пароль на доступ к сетевому устройству закрытой сети, то есть ко всем его настройкам), позволяющий изменять конфигурацию, разрешен только отдельным сотрудникам предприятия, насколько он помнит, такой доступ имелся у IT-специалистов трех подразделений <адрес>. Таким образом, сотрудники, имеющие такой доступ, могут через браузер, путем введения соответствующего адреса, получать доступ ко всем сетевым устройствам, объединенным в закрытую сеть предприятия, а также изменять настройки. То есть IT-сотрудник при возникновении неполадок у какого-либо пользователя может со своего компьютера их устранить, получив доступ к компьютеру конкретного пользователя. Аналогичным образом, IT-сотрудник может получить через браузер доступ к сетевому устройству, в том числе маршрутизатору, путем введения в браузере соответствующего адреса, и изменить настройки устройства, например, изменить технические настройки маршрутизатора, коммутатора, любых сетевых устройств, входящих в сеть. Выход в сеть Интернет из закрытой сети возможен только лишь путем изменения настроек сетевых устройств, изменения маршрутов перемещения трафика локально – вычислительной сети, изменения правил настроек межсетевого экрана, блокирующего доступ в сеть Интернет. Поскольку выход в сеть Интернет с исследуемых ими дисков осуществлялся некоторое время назад, то есть до проверки, то они фиксировали не сам канал, то есть само нарушение, а только последствия данного нарушения. Они проверили конфигурационные файлы, предоставленные им <адрес> и установили, что данный пользователь не имел права выходить в сеть Интернет. По результатам работы был составлен отчет, в которым изложены итоги работы и описаны последствия, которые могли бы наступить в результате этих действий. Увязать Mikrotik с жесткими дисками было невозможно, поскольку они работали только лишь с образами жестких дисков и с настройками, которые были установлены на Mikrotik. На Mikrotik был указан только один пользователь с привязкой к одному адресу. Ими был сделан вывод о том, что был создан канал связи, который нарушает периметр <адрес> – защищенный сегмент (выделенная локально-вычислительная сеть, отделенная от сети Интернет), что является потенциальной угрозой для информации предприятия. В данной выделенной локально-вычислительная сети выход в сеть Интернет запрещен, данная сеть является закрытой, они в ходе проверки в данную сеть не заходили, исследовали исключительно оборудование, которое соприкасалось с данным закрытым контуром. Все жесткие диски, образы которых они исследовали, имели IP-адреса закрытого контура <адрес>. Относительно создания proxy-сервера на втором, изученном ими диске, с прописанными маршрутами, к которому имели доступ несколько людей, ip-адреса были указаны в отчете, был сделан вывод, что создание proxy-сервера и наличие истории посещений сайтов, не зарегистрированных в <адрес>, могло привести к негативным последствиям ИВС предприятия в виде проникновения в периметр сети извне, утечки информации, вирусного заражения. Третий случай был связан с использованием криптографии на территории <адрес>, на диске был обнаружен ключ шифрования, что не имело отношения к выходу в сеть Интернет. Он курировал проведение указанных работ по контракту. Таким образом, в результате выполнения работ по контракту они выявили потенциальную угрозу безопасности ИВС <адрес>, реальный факт причинения вреда информационной системе предприятия установлен не был. Непосредственно факт утечки информации ими установлен не был, поскольку для этого необходимо было бы исследовать все файлы <адрес>, в частности всего ЦОД и всех 10 000 устройств предприятия, то есть индексировать все файлы, изучать их историю, наличие изменений, что потребовало бы ознакомление с содержанием информации закрытого контура в течении длительного времени, что было невозможно. Относительно проникновения извне в периметр закрытой сети предприятия, то такие факты также ими были не зафиксированы. Таким образом, факты утечки информации, доступа к закрытой сети извне, заражения вирусами, в ходе проверки зафиксированы ими не были, выход в сеть Интернет, установленный ими на жестких дисках, создавал лишь угрозу возникновения указанных последствий. Маршрутизатор Mikrotik, представленный им, используемый для нарушения – выхода в сеть Интернет, не имел идентификатора, представлял собой пластиковую коробку с установленной в нем платой с набором микросхем, в том числе конфигурационных файлов. Маршрутизатор взаимодействует с персональным компьютером путем соединения посредством кабеля. Маршрутизатор Mikrotik достаточно сложное оборудование, для использования которого необходимо уметь читать соответствующую информацию. Использовался ли данный маршрутизатор Mikrotik для выхода в сеть Интернет он утверждать не может, так как конфигурационный файл таких данных не содержал. Само по себе подключение маршрутизатора Mikrotik к персональному компьютеру, не влияет на работу закрытого контура предприятия. Влиять на закрытую сеть Mikrotik может только в случае подключения к другим сетевым устройствам, которые являются легитимными по отношению к защищенному контуру <адрес> и внести изменения в них для того, чтобы данное устройство было зарегистрировано, таким образом, в данной сети. Маршрутизатор Mikrotik мог использоваться для выхода организации канала в сеть Интернет и для других целей, утверждать для чего именно был использован данный маршрутизатор, он не может, так как данное устройство такой информации не содержало. Учитывая, что данный маршрутизатор Mikrotik не был зарегистрирован в <адрес>, то его использование само по себе, было нарушением. На Mikrotik было установлено правило, что подключиться к нему можно было только с одного МАС-адреса, что в том числе, свидетельствовало о его использовании кем-то в не легитимных целях. Какому персональному компьютеру соответствовал МАС-адрес, он не знает, так как они исследовали только образы жестких дисков, а не сам персональный компьютер. Жесткие диски могли быть установлены на любом персональном компьютере, в том числе можно было их установить и на домашнем компьютере, однако, вынос жестких дисков предприятия за его территорию также является нарушением. Маршрутизатор Mikrotik можно купить в любом специализированном магазине. В <адрес> имеется выход в сеть Интернет с определенных устройств, что установлено в документах предприятия, сотрудники должны получать доступ к сети. Сеть, с которой осуществляется доступ сотрудников предприятия к Интернет, является выделенной, физически не связана с ИВС <адрес>. Он имеет высшее специальное образование – закончил <данные изъяты>, имеет квалификацию <данные изъяты>», опыт работы по специальности около 8-9 лет. Соответственно, работу в рамках договора он проводил в соответствии со своей специальностью.

Из оглашенных в порядке ч. 3 ст. 281 УПК РФ по ходатайству государственного обвинителя, при отсутствии возражений сторон, показаний свидетеля Свидетель №3, данных на досудебной стадии производства по делу, следует, что в адрес организации <адрес>» поступил запрос коммерческого предложения от <адрес>» на проведение аудита информационной безопасности, к которому приложено техническое задание, содержащее в себе цели и задачи заказываемых услуг, сроки выполнения работ и т.д. После получения данного запроса их организация произвела расчет стоимости оказания услуг, требуемых для оказания заказчику. Стоимость определяется расчетом средних трудозатрат сотрудников компании. Для проведения указанного аудита привлечено 3 человека – он, а также два специалиста, с которыми их компания <адрес>» заключила договоры гражданско-правового характера на оказание услуг (субподряд). В рамках оказания услуг по аудиту информационной безопасности заказчику <адрес>», компанией осуществлен внешний Pen-тест и исследование предоставленных жесткого диска и оборудования. Внешний Pen-тест представляет собой попытку проникновения сотрудниками <адрес>» из сети Интернет в защищенный контур сети <адрес>», а именно подсетей №. Исследование жесткого диска проводилось путем эмулирования (развертывание виртуальной машины с исследуемым жестким диском) рабочей станции и оборудования. Сами исследования проводились в структурном подразделении отдела информационной безопасности <адрес>» на рабочих станциях, предоставленных сотрудниками указанного отдела. Срок проведения работ занял порядка 3 недель. Задачами их организации являлось: определение каналов утечки информации, поиске несанкционированных каналов удаленного доступа, обнаружении подключения сегментов ИВС и АРМ заказчика к сети «Интернет» (задача выполнялась в рамках Pen-теста); проведение анализа существующей структуры ИВС на предмет возможных каналов утечки информации, каналов удаленного доступа, недостатков в обеспечении информационной безопасности заказчика; разработка рекомендаций и перечня мероприятий по устранению выявленных недостатков для повышения уровня защищенности заказчика; оценка вреда, нанесенного КИИ Заказчика. В ходе проведения работ и исследования жестких дисков № и № (согласно отчету) было выявлено программное обеспечение WinBox, используемое для настройки сетевого оборудования «Mikrotik». В окне авторизации данного программного обеспечения присутствует IP-адрес, порт логин для подключения к устройству «Mikrotik1», доступ к которому возможен только с конкретного IP-адреса через заранее определенный порт по адресу МАС-устройства. На указанном устройстве «Mikrotik1» отсутствует инвентарный номер, что не позволяет определить его происхождение. Также на изучаемых жестких дисках были выявлены программы интернет-браузеры «Opera» и «Mozilla Firefox» с историей - посещения различных web-ресурсов, отличных от доменных адресов <адрес>», что свидетельствует о подключении и использовании ИТКС «Интернет». Наличие вышеуказанного подключения является потенциальной для эксплуатации уязвимостью сети <адрес>», что потенциально может привести к негативным последствиям для объектов КИИ (ЦОД1 и ЦОД2). Это является организационным вредом для КИИ, выразившимся в нарушении безопасности доступа к обрабатываемой информации (том 2, л.д.145-148).

Оглашенные показания свидетель Свидетель №3, в целом, подтвердил, уточнив, что показания, данные на предварительном следствии более детальны, в том числе он подтверждает, что было выявлено программное обеспечение WinBox на жестких дисках №№,2. О том, что оно было использовано для настройки сетевого оборудования «Mikrotik» - это было предположение, маршрутизатор можно было использовать и без данной программы, WinBox можно использовать и для других целей. Он подтверждает показания, данные на предварительном следствии, что в окне авторизации данного программного обеспечения присутствовал IP-адрес, порт логин для подключения к устройству «Mikrotik», доступ к которому возможен только с конкретного IP-адреса через заранее определенный порт по адресу МАС - устройства. То есть в данном случае IP-адрес программного обеспечения совпадал с IP-адресом Mikrotik. У Mikrotik не имелось серийного инвентарного номера <адрес>, жесткие диски инвентарных номеров не содержат, так как вероятнее всего они указываются на самих системных блоках.

Показаниями свидетеля Свидетель №3, согласно которым, он состоит в должности инженера УФСБ по <адрес>, имеет высшее техническое образование по специальности «многоканальные телекоммуникационные системы», присвоена квалификация «инженер», подсудимый ему не знаком, впервые его увидел в судебном заседании. В его обязанности входит участие в оперативно - розыскных мероприятиях в качестве технического специалиста. По данному делу он осуществлял копирование информации и осуществлял доступ к виртуальной машине. А именно в конце января 2021 года он сделал копии с носителей информации – системных блоков, их было порядка 4-5. Он в присутствии понятых, с участием оперативного сотрудника УФСБ Свидетель №3, вскрывал системные блоки, снимал копию с носителей информации и все записывал на отдельный носитель. Впоследствии, летом 2021 года он, по предложению Свидетель №3, «разворачивал» виртуальную станцию, то есть осуществлял доступ к виртуальному рабочему месту. Посредством специального программного обеспечения и двух персональных компьютеров он осуществлял запуск предоставленных ему файлов. При этом, один компьютер выступал в качестве рабочего места, второй – в качестве сервера. По результатам исследования запущенной системы, файлов, им были сделаны скриншоты (фотография экрана), снатшоты (снимок файловой системы), на которых зафиксированы следы работы в браузере, была зафиксирована настройка сетевого адаптера (устройство, которое позволяет работать в локальной сети, может быть как в виде программного обеспечения либо в виде отдельного устройства), а в самом браузере был настроен proxy-сервер подключения к сети Интернет, о чем свидетельствует перенаправление на конкретный proxy-сервер, то есть данный параметр был настроен вручную в виду отсутствия доступа в сеть Интернет из общей сети. Само устройство, на котором был proxy-сервер он не исследовал. На сетевой карте был присвоен конкретный IP-адрес – ДД.ММ.ГГГГ, точнее не помнит. В настройках браузера также был указан конкретный IP-адрес в настройках. В IP-адресе первые три группы цифр, например ДД.ММ.ГГГГ, обозначают конкретную подсеть. То есть данному персональному компьютеру был присвоен конкретный IP-адрес, с которого он выходил в сеть, первые три группы цифр IP-адреса proxy-сервера, указанные в браузере полностью соответствовали IP-адресу компьютера. Данное обстоятельство свидетельствовало, что с данного компьютера осуществлялись выходы в сеть Интернет и в локальную сеть. Сети локальная и сеть Интернет работают автономно, однако посредством proxy-сервера пользователь локальной сети может выйти в сеть Интернет. Если в настройках proxy-сервера прописан только один IP-адрес – одно рабочее место, с которым может функционировать proxy-сервер, то тогда на любом компьютере можно установить такой же адрес и можно будет выходить с него в сеть Интернет, если же привязка была к МАС- адресу, то тогда только конкретный компьютер с данным адресом будет взаимодействовать с proxy-сервером. МАС - адрес – это уникальный номер устройства сети. В исследуемом им жестком диске привязка была к IP-адресу, ссылок на МАС-адрес не было. Если каждый пользователь локальной сети будет знать IP-адрес proxy-сервера, то он сможет выходить в сеть Интернет. В случае отсутствия на устройстве, на котором стоит proxy-сервер, дополнительной защиты (межсетевых экранов, других устройств програмноаппаратного обеспечения) можно «взломать» и получить доступ извне в локальную сеть. В случае отключения питания и отключения кабеля Интернет доступ к локальной сети невозможен. Имел ли компьютер, с которого осуществлялся выход в сеть Интернет, данные защитные устройства, он не знает. Наличие защитных устройств, программных обеспечений не исключает возможность проникновения в локальную сеть извне при подключенном Интернете. Согласно истории браузера было установлено, что выходы в сеть Интернет осуществляли в сентябре - октябре 2020 года, какие сайты посещались, он не помнит, помнит, что какие-то сайты и форумы, касаемые вопросов программных обеспечений, технических вопросов, длительность соединений в браузере не указывается. Как он понял, данная виртуальная машина была создана для разработки и тестирования какого-то программного обеспечения, какого именно не знает. Proxy-сервер – отдельный сервер для распределения Интернета внутри локальной сети, правила использования данного сервера устанавливаются на самом устройстве. Еще был Mikrotik, но он его не исследовал. Информацию с жестких дисков он скопировал в январе 2021 года в течении двух дней (информации было многого), на отдельные носители, которые были упакованы и опечатаны, также были упакованы жесткие диски. Осмотр виртуальной станции производил в июне 2021 года в течении одного дня. В случае отсутствия на устройстве, на котором стоит proxy-сервер, дополнительной защиты (межсетевых экранов, других устройств програмноаппаратного обеспечения) можно «взломать» и получить доступ извне в локальную сеть при подключенном Интернете. В случае отключения питания и отключения кабеля Интернет доступ к локальной сети невозможен. Имел ли компьютер, с которого осуществлялся выход в сеть Интернет, данные защитные устройства, он не знает. Наличие защитных устройств, программных обеспечений не исключает возможность проникновения в локальную сеть извне при подключенном Интернете. Ему не известно о наличии защитных устройств на 100% исключающих проникновения извне и возможность заражения локальной сети при подключении к сети Интернет. Заражение приводит к полному контролю над рабочим местом и далее «идти» по локальной сети, в таком случае возможно осуществлять копирование, удаление информации локальной сети. Для того, чтобы возникло заражение необходимо информацию скачать и запустить. При исследовании жестких дисков было установлено скачивание на персональный компьютер только файла «Сертификаты для Freeradius.odt». Скачивание программного обеспечения из официального репозитория производителя операционной системы безопасно. Ему не известно, было ли осуществлено скачивание из официального репозитория. Были ли иные скачивания он не знает, данная информация не отобразилась.

Из оглашенных в порядке ч. 3 ст. 281 УПК РФ по ходатайству государственного обвинителя, при отсутствии возражений сторон, показаний свидетеля Свидетель №3, данных на досудебной стадии производства по делу, следует, что ДД.ММ.ГГГГ он участвовал в качестве специалиста в оперативно-розыскном мероприятии «исследование предметов и документов» в отношении содержимого изъятой техники при ранее проводимых мероприятиях сотрудниками УФСБ. В ходе указанного мероприятия исследовались: системный блок НР и коммутатор Mikrotik. Из системного блока им был извлечен жесткий диск, после чего с использованием специальных программных средств осуществлено снятие образа с указанного носителя информации, то есть полное копирование данных, содержащихся в памяти жесткого диска. Образ записан на внешний жесткий диск, предварительно заархивирован с помощью программы-архиватора WinRar. После этого жесткий диск помещен обратно в системный блок, а внешний жесткий диск, на который записан образ упакован в бумажный конверт и упакован. ДД.ММ.ГГГГ он участвовал в качестве специалиста в проводимом оперуполномоченным Свидетель №3 в оперативно-розыскном мероприятии «исследование предметов и документов» в отношении содержимого магнитного носителя информации ранее изъятого при проводимом мероприятии сотрудниками УФСБ. В ходе указанного оперативно-розыскного мероприятия исследовались: внешний жесткий диск, жесткий диск марки «Seagate» модели «Backup Plus Slim» объемом 2 тб. По просьбе оперуполномоченного он подключил указанный внешний жесткий диск к ноутбуку HP. На нем обнаружена папка «CentOS8-CA-RADIUS_files», в которой находятся электронные файлы общим объемом 99,0 гб. Он пояснил участникам мероприятия, что указанные файлы являются файлами виртуальной машины «CentOS8-CA-RADIUS» и что для их полноценного исследования необходимо использовать программное обеспечение виртуализации VMWare ESXI. Далее, он с использованием специального программного обеспечения настроил сервер VMWare ESXI версии 6.0, в который скопированы файлы виртуальной машины «CentOS8-CA-RADIUS», содержащиеся в папке «CentOS8-CA-RADIUS_files». После запуска виртуальной машины он, в целях исследования содержимого виртуальной машины, осуществил сброс пароля стандартными средствами операционной системы. После запуска виртуальной машины он увидел, что на ней установлена операционная система «CentOS8». Далее, по просьбе ФИО68 он в консоли управления сервера VMWare ESXI осуществил поиск сохраненных состояний виртуальной машины за сентябрь 2020 года. В результате поиска установлено, что открытое состояние виртуальной машины соответствует ее функционированию с ДД.ММ.ГГГГ. Кроме того, имеются сохраненные состояния виртуальной машины за ДД.ММ.ГГГГ, ДД.ММ.ГГГГ и ДД.ММ.ГГГГ. Далее, он по просьбе оперуполномоченного осуществил исследование содержимого виртуальной машины в целях получения информации о возможном внесении модификаций в сетевые настройки для организации доступа виртуальной машины в сеть «Интернет». В этой связи им установлено, что виртуальной машине назначен ip-адрес № и маршрут по умолчанию на ip-адрес № В этих же целях он осуществил исследование содержимого интернет-браузера Mozilla Firefox, установленного в операционной системе виртуальной машины. Так, история обращений данной виртуальной машины через браузер Mozilla Firefox в сеть «Интернет» содержит сведения в отношении истории посещения веб-сайтов в сети «Интернет», которые свидетельствуют о фактах выхода виртуальной машины в сеть «Интернет» в период ДД.ММ.ГГГГ – ДД.ММ.ГГГГ. Кроме того, в директории «Загрузки» интернет-браузера Mozilla Firefox им обнаружен файл «Сертификаты для Freeradius.odt» размером 20,5 кБ, полученный виртуальной машиной из сети «Интернет». Для установления способа организации доступа в сеть «Интернет» им исследованы параметры интернет-браузера Mozilla Firefox. В разделе «Сеть» обнаружено, что браузер использует прокси-сервер c ip-адресом № настроенный вручную. Путем внесения данного изменения в интернет-браузер виртуальной машины модифицированы сетевые настройки виртуальной рабочей машины и обеспечен доступ интернет-браузера Mozilla Firefox к сети «Интернет». Указанные действия сделаны в целях сокрытия доступа к сети интернет браузером Mozilla Firefox, размещенным на виртуальной машине с адресом № Далее по просьбе оперуполномоченного осуществил открытие файла виртуальной машины, соответствующего состоянию на ДД.ММ.ГГГГ. В ходе исследования сетевых настроек установлено, что в указанное время виртуальная машина имела подключение к сети «Интернет». По результатам исследования им сделан вывод, что виртуальная машина с ip-адресом № в период ДД.ММ.ГГГГ – ДД.ММ.ГГГГ имела доступ в сеть «Интернет». В указанных целях произведена модификация сетевых настроек интернет-браузера, расположенного на виртуальной машине, что обеспечило ей доступ к сети интернет через прокси-сервер № По завершении исследования внешний жесткий диск марки «Seagate» модели «Backup Plus Slim» объемом 2 тб упакован в конверт и опечатан. Таким образом, исходя из исследованных объектов установлено, что было осуществлены действия для обеспечения выхода виртуальной машины «CentOS8-CA-RADIUS» в сеть Интернет. В настройках сетевой карты виртуальной машины Есин А.Е. указал ip-адрес локальной сети предприятия, а в настройках программы Интернет-обозревателя - браузера Mozilla Firefox указал proxy-адрес маршрутизатора mikrotik, который имел подключение к сети Интернет (том 2, л.д.149-153).

Оглашенные показания свидетель Свидетель №3, в целом, подтвердил, уточнив, что показания, данные на предварительном следствии более детальны и точны, в том числе пояснил, что о том, что Есин А.Е. в настройках программы Интернет-обозревателя - браузера Mozilla Firefox указал proxy-адрес маршрутизатора mikrotik, который имел подключение к сети Интернет, он знает только со слов оперативного сотрудника ФИО66, сам лично он маршрутизатор mikrotik он не использовал. О том, что это было сделано именно Есиным А.Е., он также знает только со слов ФИО67. Он исследовал два системника и два ноутбука, откуда скопировал информацию на отдельные внешние носители, которые были упакованы и опечатаны, все отражено в соответствующем протоколе. Таким образом, исходя из исследованной им информации, им был сделан вывод об организации нелегального канала выходе в сеть Интернет, поскольку в случае легального выхода в интернет все записи в случае выхода логируются, а в данном случае были сделаны настройки не к общему серверу, а только к своему устройству. Каким образом организован порядок выхода в сеть Интернет на предприятии, ему не известно, он предполагает, что это предусмотрено какими-то специальными правилами, но он по данному поводу ничего утверждать не может.

Показаниями свидетеля Свидетель №3, согласно которым, он состоит в должности начальника бюро <адрес>, Есин А.Е. – это его бывший подчиненный, отношения исключительно рабочие. Есин А.Е. перевелся к ним в один из отделов бюро в октябре 2018 года. Бюро эксплуатации сетевой инфраструктуры занимается обеспечением работоспособности сетевой инфраструктуры, настройкой сетевых устройств, вообще, обязанностей очень много. Он, несмотря на занимаемую должность, по сути, выполняет ту же работу, что и подчиненные сотрудники. В обязанности Есина А.Е. входила установка и настройка сетевого оборудования, поддержка пользователей, подключение рабочих мест к автоматизированной системе предприятия, работа с серверами – мониторинга, доступа и других, их конфигурирование. К ним в бюро поступило письмо из Роскосмоса с требованием усиления безопасности, в связи с чем он получил задание от руководства решить вопрос с контролем доступа к сети предприятия. У них на предприятии существует сервер доступа – программное обеспечение «Сisco ACS», который может выполнять такие функции контроля. Однако данный сервис платный и его продление после 2014 года было проблемным. Кроме того, у данного сервиса был бак (дефект), который мешал в работе, что могло привести к тому, что все компьютеры пользователей не смогут подключаться к сети. В связи с этим они, зная о наличии доступного открытого программного обеспечения «Freeradius», способного осуществлять аналогичные функции контроля, то решили заменить «Сisco ACS» на «Freeradius». В связи с этим он дал Есину А.Е. задание установить программное обеспечение «Freeradius» и попробовать его в работе, что также входило в обязанности Есина. Есин А.Е. с задачей справился, установил данную программу, виртуальная машина, созданная Есиным А.Е. в настоящее время клонирована и функционирует на предприятии более года без каких-либо изменений. Один из вариантов установки любого программного обеспечения – это установка с компакт-диска (какого-либо устройства) либо виртуального носителя (образа). Однако, в этом случае, установка не быстрая (зависит от дистрибутива, настроек), достаточно сложная, требующая определенных знаний. Вторым способом является скачивание программного обеспечения путем подключения напрямую к сети Интернет. Есть еще способы установки, но они более сложные и длительные. Его интересовал не способ выполнения Есиным задачи, а результат, который был Есиным получен. Каким образом Есин А.В. установил «Freeradius» он не знает, Есин ему не сообщал. ЦОД – это центр обработки данных, представляет собой набор аппаратно - программных средств - это оборудование и программное обеспечение, сеть электросвязи и вся «инженерка» (пожаротушение и т.д.). На <адрес> два ЦОДа – «новый» и «старый». Виртуальная машина, созданная Есиным А.Е., находилась в новом ЦОДе. ЦОДы «растянуты» на два здания, то есть каждый ЦОД находятся в двух зданиях, таким образом, каждый ЦОД состоит из двух частей, а всего 4 части. Ему известно, что старый ЦОД включен в КИИ РФ, а включен ли новый ЦОД в КИИ РФ, ему достоверно не известно, но если и включен, то недавно. Программное обеспечение «Freeradius» осуществляет контроль подключений, что обеспечивает при попытках подключения к сети идентифицировать пользователя и, в зависимости от ответа сервера, допустить пользователя к сети либо ограничить доступ. Программное обеспечение «Freeradius» и «Сisco ACS», в целом, выполняют одни функции, но каждое из них имеет свои преимущества. Проблема программного обеспечения «Сisco ACS» в том, что все обновления и поддержка платные, причем по стоимости изначальной закупки самого программного обеспечения, стоимость на момент приобретения (примерно в 2012-2014 гг.) «Сisco ACS» составляла порядка 7 000 долларов. Покупка обновления и поддержки «Сisco ACS» после 2014 года стала проблемной из-за санкций. Установка «Freeradius» непосредственно из сети Интернет из официального репозитория, путем введения команды безопасно, поскольку производятся с применением публичного ключа шифрования, что позволяет убедиться, что скачанная программа из официального репозитория и аутенцифитировать репозиторий. По сути, ключ шифрования – это электронная подпись, которая позволяет провести аутентификацию официального ресурса. На вопрос о том, может ли не вся сеть ЦОД, а только «кусок», входить в КИИ РФ, пояснил, что в КИИ входят конкретные объекты и программно-аппаратные средства, входящие в каждый объект (оборудование - «железо», программное обеспечение, серверы, сетевые устройства, коммутаторы, маршрутизаторы). В старый ЦОД входит два сегмента, что относится к новому ЦОДу не знает. На момент произошедших событий новый ЦОД не был до конца введен и, соответственно, не был включен в состав КИИ РФ. Виртуальная машина Есина А.Е. была установлена в новом ЦОДе, в котором работает и сейчас. На момент запуска виртуальной машины Есиным, оборудование ЦОДа не было включено в состав КИИ. Mikrotik, которым пользовался Есин А.Е., был получен их сотрудником бесплатно на курсах по обучению работы с такими маршрутизаторами. Сотрудник <адрес>, который привез с таких курсов по обучению работы с Mikrotik, которым пользовался Есин А.Е., уже не работает, его данные не помнит. Первоначальная «базовая» настройка Mikrotik не представляет сложности, ее может осуществить обычный пользователь через Интернет, то есть осуществить выход в сеть Интернет с помощью Mikrotik достаточно просто. Mikrotik представляет собой коробку с телекоммуникационным оборудованием с портами. Mikrotik необходимо сначала посредством кабеля подключить к компьютеру, потом необходимо запустить любой браузер на компьютере и в окне ввести адрес, потом необходимо зайти в настройки Mikrotik, выбрать протокол и вписать туда учетные данные, указанные в договоре. После инцидента в части установки Есиным «Freeradius» в сентябре 2020 года, сетевые настройки оборудования перенастраивались, так как все они легко возвращаются в исходное состояние. После произошедшего, конфигурации оборудования остались в прежнем виде, за исключением того, что появилась виртуальная машина, которую клонировали. После установки«Freeradius» Есиным никаких инцидентов, связанных с информационной безопасностью сетевой инфраструктуры, то есть нарушением доступности, целостности и конфиденциальности, не произошло, в противном случае он об этом бы знал. Документы, касаемые требований и правил информационной безопасности, появились на предприятии в конце 2019 года, так как именно тогда был создан отдел информационный безопасности, который и издает такие документы. Причем в отделе работают сотрудники, которых «понабрали» из отделов, сфера деятельности которых не имеет отношения к информационной безопасности и они стали отделом информационной безопасности. Есть два документа по информационной безопасности – инструкция начальника бюро, начальника отдела, инженера электроника (в зависимости от занимаемой должности) и Положение о порядке работы в ИВС предприятия от 2016 года, касающийся работы обычных пользователей. В начале 2021 года было издано Положение о порядке работы в ИВС предприятия администраторов, то есть до этого – до 2021 года, документов, регламентирующих порядок работы в ИВС администраторов, к числу которых относился Есин, не имелось. Данное положение в 2021 году было издано в связи с инцидентом, произошедшем с Есиным. Есину по должностным обязанностям положено постоянно повышать квалификацию, в том числе создавать тестовые сферы. Есин, исходя из функциональных должностных обязанностей, являлся сетевым системным администратором. В Положении о порядке работы в ИВС предприятия от 2016 года все было смешано «в одну кучу», то есть что касалось и работы пользователей и работы администраторов. Однако в Положении о порядке работы в ИВС предприятия от 2016 года четко указано, что изменять и вносить изменения в конфигурацию может только уполномоченный сотрудник отдела информационных технологий, кем, по сути, и являлся Есин А.Е. В ИВС предприятия, согласно Положению, нет информации ограниченного распространения (коммерческие и государственные тайны и т.д.). Коммутационный шкаф, в котором Есин А.Е. подключал Mikrotik, не запирается, боковых стенок шкаф не имеет, находится в помещении (каб. №), используемом сотрудниками в качестве столовой. Оборудование, которое находится в данном шкафу в состав объектов КИИ не входит. Пропускного режима в их отделе не имеется. В кабинете № мог находиться кто угодно из сотрудников их отдела, посторонние там не находились, иначе это не могло бы пройти незамеченным. Виртуальная машина, созданная Есиным работала на операционной системе «CentOS», на которой и был установлен Есиным «Freeradius». Дистрибутив «CentOS» работает на базе ядра «Linux». Поскольку операционная система «Windows» более доступна для пользователей, поэтому для данной системы создается больше вирусов, так как это более выгодно, поскольку это можно «монетизировать». На системе «Linux» вирус запустить сложнее, так как, во–первых, нужно программе дать разрешение на выполнение, чего не требуется в «Windows». Во-вторых, необходима специальная «библиотека». На <адрес> используются услуги, предоставляемые провайдером Ростелеком в виде безопасной виртуальной сети (WPN-сеть) для связи между филиалами предприятия, данная связь имеет определенную защиту, но не достаточную, в связи с чем они использовали дополнительный инструмент для повышения уровня безопасности. Отказ от услуг по предоставлению выделенной сети приведет к снижению стоимости услуг провайдера в целом. Proxy-сервер, по сути, это один из видов межсетевого экрана и его основная функция – это безопасность. Это некий сервис, но настоящее время он непопулярен, так как «пишется» под конкретное приложение и сложен в реализации, сейчас много других более современных сервисов. На территории <адрес> не все компьютеры подключены к сети Интернет. На предприятии есть положение о внешних носителях (это специальные внешние носители предприятия, а не любая флешка, они отдельно учитываются), на которые можно скачать программное обеспечение из сети Интернет при помощи компьютера, который подключен к сети Интернет и потом с данного носителя переместить программное обеспечение на персональный компьютер, подключенный к ИВС предприятия. Однако недостаточно просто «воткнуть» флешку в компьютер, поскольку система контроля, установленная на компьютерах, с которых возможен выход в сеть Интернет, этого не допустит. Для этого необходимо получить соответствующее разрешение путем оформления служебной записки, на основании которой компьютер пользователя вносится в специальный список и только тогда будет возможно скачать программное обеспечение на такую флешку и перенести на свой компьютер. Есин А.Е. за разрешением такого рода не обращался, он не может следить за каждым сотрудником, кто что делает. Есть понятие - архитектура сети, в том числе ядро, оборудование ядра относится к ЦОДу (новому и старому), а от него идут оптические линии к устройствам доступа, то есть подключено к периферийному оборудованию. Оборудование ядра относится к объектам КИИ, данное оборудование соединяется с периферийным оборудованием, коммутаторами. Переферийное оборудование - это часть телекоммуникационной сети последовательно соединяющее оборудование сети, периферийное оборудование к объектам КИИ не относится. В апреле 2020 года была миграция виртуальных машин со старого ЦОДа в новый ЦОД, из чего он делает вывод, что оборудование нового ЦОДа не было на тот момент включено в состав КИИ РФ.

Из оглашенных в порядке ч. 3 ст. 281 УПК РФ по ходатайству государственного обвинителя, показаний свидетеля Свидетель №3, данных на досудебной стадии производства по делу, следует, что в должности начальника бюро эксплуатации сетевой инфраструктуры отдела № <адрес>» состоит примерно с 2008-2009 года, в общей сложности на предприятии трудится с 2001 года. В его должностные обязанности входит настройка сетевого оборудования информационно-вычислительной сети (далее – ИВС) предприятия - коммутаторов, модемов, модемных коммутаторов, некоторые из которых, в том числе, входят в состав объектов критической информационной инфраструктуры (далее – КИИ); устранение проблем подключения; организация работы бюро. Примерно с осени 2019 года по июнь 2021 года в его бюро работал инженер-электроник Есин Свидетель №3. В обязанности Есина А.Е. входило проектирование новых или модернизация существующих сегментов ИВС предприятия, составление спецификации оборудования и комплектующих, осуществление монтажа сетевого оборудования и прокладка информационных кабелей, настройка и мониторинг активного сетевого оборудования. Примерно с 2018 года перед отделом 2887 стоит задача внедрения сервиса аутентификации устройств в сети предприятия. С целью выполнения указанной задачи было принято решение произвести тестирование программного обеспечения «free-RADIUS». Данное программное обеспечение является свободно распространяемым и не требует лицензии на инсталляцию («open sourse»). Для контроля доступа пользователей к сети предприятия Есину А.Е. было поручено установить и протестировать «free-RADIUS» серверы, как серверы доступа к ИВС предприятия на замену сервера-доступа «Сisco ACS», который приобретен по лицензии. Однако, в работе «Сisco ACS» имелись неполадки в работе т.н. «баги», которые указанной программой предлагалось устранить путём покупки нового лицензионного продукта по более дорогой цене. Для выполнения указанной задачи, Есин А.Е. должен был установить сервер «free-RADIUS» и подключать к нему устройства, входящие в ИВС предприятия, после чего аутентифицировать пользователей или устройства. Для установки программного обеспечения «free-RADIUS» на операционную систему «CentOS» есть несколько вариантов: первый способ - подключить образ программного обеспечения, как репозиторий (хранилище пакетов), после чего необходимо осуществить несколько манипуляций – данный способ является более сложным в исполнении и на его реализацию затрачивается достаточно немалое количество времени. Второй способ установки «free-RADIUS» - это использовать подключение к сети «Интернет», после чего ввести команду (dnf install freeradius) на установку «free-RADIUS» последней версии. Установка и развёртывание операционной системы CentOS8 в рамках предприятия выглядит следующим образом. Необходимо зайти на официальный сайт дистрибутива (файл-образ расширения. ISO) CentOS, далее осуществить загрузку файла образа, после скачивания перенести файл, загруженный из ИТКС Интернет на ПЭВМ ИВС предприятия. Процесс скачивания из сети «Интернет» происходит с компьютеров, которые не подключены к ИВС предприятия. Перенос загруженных файлов из сети «Интернет» с компьютеров, не подключенных к ИВС предприятия на ПЭВМ, подключенных к сети, осуществляется посредством USB-носителей. При этом для каждого такого переноса сведений через USB-носитель, в рамках положения об информационной безопасности предприятия, оформляется служебная записка. На предприятии действует программное обеспечение, осуществляющее контроль использования носителей информации. Ему неизвестно о том, как Есин А.Е. при выполнении вышеуказанной задачи осуществлял подключение к ИТКС «Интернет» виртуальной рабочей станции, развернутой на аппаратных ресурсах ЦОД предприятия. Также ему неизвестно каким именно образом Есин А.Е. осуществлял указанные манипуляции (том 2, л.д. 154-157).

Оглашенные показания свидетель Свидетель №3, в целом, подтвердил, уточнив, что Есин А.Е. работает в их отделе с 2018 года. Дополнительно пояснил, что МАС-адрес - это жестко прошитый сетевой интерфейс. Если не будет МАС - адреса на порту, то к устройству заходить нельзя будет. При создании виртуальной машины обязательно присваивается МАС-адрес. Меняется ли МАС-адрес при переносе виртуальной машины из одной среды виртуализации в другую, ему не известно. Под словом «инцидент», употребляемым им в пояснениях относительно Есина А.Е. он подразумевал то, что в отношении Есина А.Е. проводилась проверка по поводу подключения им виртуальной машины к сети Интернет. Ранее виртуальные машины к сети Интернет подключали, но это было до КИИ, то есть до начала 2020 года, точную дату назвать не может. В таком случае, то есть подключения к сети Интернет до 2020 года, за это было наказание в виде замечания, даже выговор не объявлялся. После внесения объектов в КИИ, случай подключения к сети Интернет Есиным был первым. Он и другие сотрудники всего отдела №, включая Есина А.Е., примерно в начале 2020 года по системе электронного документооборота были ознакомлены с тем, что на предприятии имеются объекты, отнесенные к КИИ РФ, где было указано, чем это грозит.

Показаниями свидетеля Свидетель №3, согласно которым ранее, в период с ДД.ММ.ГГГГ по ДД.ММ.ГГГГ он работал в <адрес> в должности советника, в должностные обязанности входил аудит информационных технологий предприятия. ФИО50 знает исключительно в связи с возникшем на предприятии инцидентом, связанным с информационной безопасностью. Нарушение политики информационной безопасности было выявлено сотрудниками ФСБ. То есть Есиным в ходе выполнения порученных ему задач был нарушен периметр ИВС, а именно осуществлен удаленный доступ к периметру предприятия из дома. По данному поводу была создана комиссия, куда входил председатель – главный инженер, члены комиссии – он сам и еще два сотрудника отдела информационной безопасности <адрес>. В ходе поверки, проводимой в течении полугода, ими ничего не было выявлено, так как все оборудование и с рабочего места Есина, и из его дома было сразу изъято, а без техники что-либо проверить невозможно. В связи с чем, они в ходе проверки только опрашивали Есина и других лиц. Со слов Есина следовало, что перед ним была поставлена задача, а как ее выполнить ему не сказали, поэтому он ее выполнял так, как сам решил. Какую задачу поставили перед Есиным, он не помнит. По результатам проверки было подготовлено заключение, его содержание не помнит, был ли установлен какой-либо ущерб предприятию, не знает. Знает, что потом проводилась проверка сотрудниками привлеченной сторонней компании, которая уже проводила предметную проверку. Стороннюю организацию привлекли из-за того, что на предприятии не было таких сотрудников, которые могли провести такую проверку именно по информационным сетям. Сотрудники сторонней организации проверку проводили за периметром предприятия, но им был обеспечен доступ. Он имеет высшее образование по специальности «экономика и управление предприятия», образования в сфере информационных технологий не имеет. Виртуальная машина «разворачивается» на «железе», его работа с виртуальными машинами не была связана, «Сisco ACS» и «Freeradius», по его мнению – это сетевое оборудование, не знает, какое из них использовалось на <адрес>. Проверку он проводил только в свое рабочее время, сверхурочно не работал, он только опрашивал Есина и других сотрудников, почему проверка заняла пол года не знает, никаких других действий в ходе проверки, кроме опросов, не проводил, заключение по результатам аудита готовил отдел информационной безопасности, его содержание не помнит, после этого была привлечена сторонняя организация для проверки, о чем он излагал выше.

Показаниями свидетеля Свидетель №3, согласно которым он состоит в должности начальника отдела информационной безопасности <адрес>, Есин А.Е. ему знаком как бывший сотрудник предприятия. В его должностные обязанности входит организация работы сотрудников, мониторинг информационной сети. Есин А.Е. в его непосредственном подчинении не находился. О нарушениях, допущенных Есиным А.Е., ему стало известно после их выявления сотрудниками ФСБ, которые проводили осмотр рабочего места Есина А.Е., он в осмотре не участвовал. После этого, на основании запроса УФСБ, они начали собственную проверку в рамках предприятия. Был издан приказ, создана комиссия, в которую он также вошел. Было установлено, что имело место неправомерное подключение периметра внутренней сети предприятия к сети Интернет, что категорически запрещено. Также было установлено, что Есин вносил изменения в программное обеспечение на автоматизированном рабочем месте, подключил внешнее устройство к рабочему месту, находящемуся во внутренней сети предприятия. Есин пояснил, что все действия проводил в рамках своих должностных обязанностей во исполнение поручения руководителя. Все действия выполнил с целью скорейшего выполнения задания. Для чего он общался с супругой по сети в созданном чате, то есть со своего рабочего общался с супругой, находящейся за периметром предприятия, не пояснил, однако уточнил, что удаленный доступ из дома организовал для того, чтобы работать из дома удаленно в нерабочее время, то есть сверхурочно. Для того, чтобы наиболее полно оценить каналы утечки информации, а также причиненный ущерб, было принято решение привлечь к проверке стороннюю специализированную организацию <адрес>. По результатам проверки сотрудниками указанной организации был предоставлен отчет, исходя из которого, факт указанных выше нарушений подтвердился, также указано, что объекту КИИ был нанесен вред в плане создания канала возможного воздействия на объект КИИ - ЦОД. В результате организации канала могло быть выведено из строя оборудование ЦОД путем внешнего внесения через канал вредоносных программ. Ущерб предприятию выражен в том, что пришлось оплачивать услуги компании <адрес>. Председателем комиссии был назначен главный инженер, члены комиссии – это он сам, советник по информационным технологиям, сотрудник его подразделения Свидетель №3. Производились опросы Есина, его руководителей – начальника отдела, заместителя начальника отдела, начальника бюро – непосредственного начальника Есина А.Е. Руководители Есина А.Е. пояснили, что о действиях Есина по организации канала, подключения оборудования к рабочему месту, им нечего известно не было. Он имеет высшее образование по специальности «связь, радиовещание, телевидение», ему присвоена квалификация «инженер», также он проходил курсы повышения квалификации в сфере информационной безопасности. На сентябрь 2020 года на предприятии имелось два ЦОДа – словно «новый» и «старый». Оба ЦОДа работали в одной сети, хотя и находились на разных площадях, всего было 4 площадки – по две в каждом ЦОДе, в двух зданиях. Между старым и новым ЦОДом существует постоянное взаимодействие, осуществляется постоянная миграция данных. Тем более, что некоторые системы работают на новом ЦОДе, некоторые – на старом ЦОДе, например, управляющий сервер может находиться в новом ЦОДе, а система хранения – в старом ЦОДе. Обращение пользователей персональных компьютеров сети может быть к любому ЦОДу. Соответственно, нарушения, допущенные Есиным, повлекли создание угрозы безопасности, как для нового, так и для старого ЦОДа, так как оба ЦОДа связаны между собой как физически, так и логически и никак не отделены. Таким образом, проникновение хакеров извне могло воздействовать на оба ЦОДа. На сентябрь 2020 года в КИИ был зарегистрирован «старый» ЦОД. Ему не известно, в каком ЦОДе была создана Есиным виртуальная машина. Задание, которое выполнял Есин, заключалось в том, что бы настроить систему контроля подключения устройств, находящихся за периметром системы. На виртуальной машине Есин А.Е. установил программное обеспечение CentOS, а также скачал из Интернета программу «Freeradius». Настройки оборудования они не проверяли, так как оно было изъято, фактически проверка заключалась в проведении опросов Есина и его руководителей. Со слов Есина А.И. было установлено, что к сети Интернет он подключился посредством маршрутизатора Mikrotik, при этом он контролировал посторонние обращения и их блокировал в целях безопасности. Mikrotik, как пояснил Есин, он взял со склада, то есть из какого-то помещения, где находится разное оборудование, никто ему маршрутизатор не выдавал. Маршрутизатор Mikrotik также был изъят вместе с оборудованием, поэтому он его не видел. Все действия Есин, как следовало с его слов, он осуществлял через свое автоматизированное рабочее место. Проверку они проводили в свое рабочее место, сверхурочно не оставались, на проверку затрачивалось 1-2 часа в день. Какой-то реальный вред ЦОД установлен не был, сотрудниками <адрес> был установлен только вред в части создания канала возможного воздействия на объект КИИ, но реального воздействия установлено не было. Насколько ему известно, программа «Freeradius» является свободно распространяемой, бесплатной программой. Используется ли в настоящее время виртуальная машина, созданная Есиным А.Е., ему не известно.

Из оглашенных в порядке ч. 3 ст. 281 УПК РФ по ходатайству государственного обвинителя, показаний свидетеля Свидетель №3, данных на досудебной стадии производства по делу, следует, что он занимает должность начальника отдела информационной безопасности (отдел №) <адрес>» с сентября 2019 года. В его должностные обязанности входит организация работ по внедрению аппаратных и программных средств защиты информации, администрированию внедренных комплексов защиты информации, мониторингу информационных ресурсов <адрес>». ДД.ММ.ГГГГ сотрудниками УФСБ России по <адрес> было проведено обследование служебных помещений управления информационных технологий № <адрес>», расположенных на третьем этаже корпуса <адрес>), в том числе данное обследование приводилось в служебном кабинете № по месту нахождения рабочего места сотрудника отдела № <адрес>» Есина Н.А., занимавшего должность инженера -электроника указанного отдела, а также в смежном помещении №, где располагается один из шкафов коммутации информационно-коммуникационной сети предприятия. В ходе данного обследования был осмотрен служебный компьютер Есина Н.А., а также вышеуказанный коммутационный шкаф, в котором был обнаружен несанкционированно установленный маршрутизатор «MikroTik». В результате проведения указанного мероприятия сотрудниками ФСБ были установлены факты серьезных нарушений требований информационной безопасности, установленных на предприятии локальными нормативными и законодательными актами. По окончанию данного обследования служебный компьютер Есина Е.А., а также неправомерно используемый им маршрутизатор были изъяты сотрудниками УФСБ. На основании результатов, полученных в ходе указанного обследования, в <адрес>» в отделе № проведена служебная проверка по вопросу нарушения правил доступа к информационно-вычислительной сети и центру обработки данных Общества, включенному ФСТЭК России в реестр значимых объектов Критической информационной инфраструктуры РФ. Данная проверка проводилась комиссией, назначенной приказом генерального директора <адрес>» от ДД.ММ.ГГГГ № на основании поступившего из УФСБ России по <адрес> запроса от ДД.ММ.ГГГГ №у, в составе: председателя комиссии Свидетель №3 – первого заместителя генерального директора – главного инженера; Свидетель №3 – советника по информационным технологиям; Свидетель №3 – специалиста по защите информации 1 категории. Свидетель №3 также являлся членом данной комиссии. В результате проведенных проверочных мероприятий установлено, что инженер-электроник отдела № Есин А.Е. по собственной инициативе и без ведома руководства, имея расширенные административные права, организовал доступ в сеть Интернет для виртуальной машины с операционной системой «CentOS 8». С целью реализации доступа Есин А.Е. бесконтрольно взял со склада отдела № маршрутизатор MikroTik №, на котором настроил встроенный межсетевой экран, обеспечивающий возможность сеансового выхода в сеть Интернет. Есин А.Е. своими действиями нарушил следующие запреты, установленные главой 6 положения «О порядке работы в ИВС» от ДД.ММ.ГГГГ №: запрет на подключение к АРМ модемов, мобильных телефонов, средств беспроводной связи, иных средств связи и передачи данных; запрет на подключение АРМ с помощью вышеуказанных средств к сетям общего пользования (интернет); запрет на самовольную установку, переустановку ОС и программного обеспечения; запрет на самовольное изменение технического состава (добавление или удаление компонентов) АРМ. Также, Есин А.Е. использовал чат для связи с супругой на своем служебном компьютере посредством программного обеспечения Lite Manager Free. Из полученных от Есина А.Е. объяснений следовало, что он настроил на маршрутизаторе MikroTik № веб-приложение, выступающее в роли посредника для доступа к сети Интернет с закрепленного за ним ПЭВМ №. Имея расширенные административные права на вышеуказанном ПЭВМ, Есин А.Е. установил По Lite Manager Free для обмена мгновенными сообщениями с супругой. Таким образом, Есин А.Е. нарушил требование главы 6 положения «О порядке работы в ИВС» от ДД.ММ.ГГГГ № - «При работе с ИВС пользователю запрещается самовольная установка, переустановка ОС и программного обеспечения», а также пункты 7 и 11 главы 2 должностной инструкции 9-2887 - «Инженер-электроник по системному обеспечению обязан обеспечивать сохранность информации в ИВС предприятия и соблюдать требования и правила защиты информации, установленные в отделе». По итогам работы комиссия сделал следующие выводы: Инженер-электроник отдела № Есин А.Е. нарушил требования организационно-распорядительных документов Общества в части, касающейся правил доступа к информационно-вычислительной сети Общества и центру обработки данных предприятия, являющемуся объектом КИИ РФ, используя расширенные права администраторов ИВС. Нарушив вышеуказанные организационно-распорядительные документы <адрес>», Есин А.Е. создал негативные предпосылки для возможного вывода из строя центра обработки данных Общества в результате несанкционированного управляющего воздействия на него или неправомерного блокирования, уничтожения или модификации циркулирующей в объекте КИИ РФ информации. В целях полного и всестороннего вскрытия и устранения созданных Есиным А.Е. негативных предпосылок комиссия посчитала целесообразным привлечь для проведения соответствующих проверочных мероприятий специалистов сторонних организаций, имеющих соответствующую квалификацию по поиску возможных каналов утечки информации с использованием аналогичных подключений, а также для установления фактического вреда, нанесенного центру обработки данных, являющемуся объектом КИИ РФ. Также комиссией был сделан вывод, что действиями Есина А.Е. предприятию нанесен ущерб, выражающийся в необходимости оплаты услуг специализированных сторонних организаций по проведению соответствующих проверочных мероприятий. Относительно работы комиссии дополнил, что его включили в состав комиссии, т.к. он является специалистом в области информационной безопасности и обладает необходимыми знаниями. Кроме него в комиссию входили Свидетель №3, а также Свидетель №3, председателем рабочей группы являлся главный инженер Свидетель №3, который принимал участие как представитель руководства предприятия, в чьем ведении находилось IT-подразделение предприятие, куда входит отдел 2887, Свидетель №3, Свидетель №3 и Свидетель №3 проводили непосредственные мероприятия, направленные на выявление фактов нарушений, допущенных Есиным А.Е., а также должны были выработать меры по предотвращению в будущем подобных инцидентов. Свидетель №3 осуществлял функции руководителя – проводил совещания, принимал доклад о проделанной работе. Свидетель №3, Свидетель №3 и Свидетель №3 опрашивали Свидетель №3, его начальника – Свидетель №3, Свидетель №3 (начальник отдела 2887), а также его заместителя по сетевому направлению Свидетель №3 Кроме того, он вместе с Свидетель №3 и Свидетель №3 осматривали рабочее место Есина А.Е., на котором его ПЭВМ уже был изъят к тому времени сотрудниками ФСБ в рамках проводимых ими мероприятий. При осмотре они визуально осмотрели место, где располагался ПЭВМ Есина А.Е., а также коммутационный шкаф, где ранее был подключен маршрутизатор Mikrotik, также изъятый сотрудниками ФСБ. Кроме того, комиссией проводились изучение и анализ нормативной документации на предмет соотнесения с действиями Есина А.Е. Проведение проверки заняло примерно один месяц, на протяжении которого в среднем 1 час рабочего времени в день уходил на проверочные мероприятия. К примеру, в один из дней мероприятия могли не проводиться, а в другое время на протяжении 2-3 дней практически непрерывно изучалась нормативная документация и проводился ее анализ. Опросы вышеуказанных лиц происходили в рабочее время, длились не менее 1 часа в день, заработную плату за время проверки получил в стандартном размере, надбавок, премий на было. Каждого сотрудника опрашивали в отдельный день. Свидетель №3 присутствовал при опросе всех лиц - Свидетель №3, Свидетель №3, Свидетель №3 и Есина, опрос при этом осуществлялся ими втроем (Свидетель №3, Свидетель №3 и Свидетель №3). По результатам опросов были отобраны объяснительные. Указанные сотрудники опрашивались примерно по 1 человеку в неделю. Осмотр рабочего места осуществлялся втроем и занял около 1-1,5 часов. Насколько сейчас помнит, акт по результатам осмотра отдельно не составлялся. Работу по аудиту информационной безопасности на основании заключенного предприятием договора провела компания <адрес>». В результате проведенного <адрес>» анализа было определено, что действия ФИО28 по организации несанкционированного канала связи ресурсов информационно-вычислительной сети предприятия (виртуальной машины с IP-адресом ДД.ММ.ГГГГ.10) к сети «Интернет» нанесли КИИ РФ (центр обработки данных <адрес>») организационный (технологически-эксплуатационный) вред, выразившийся в нарушении безопасности доступа к обрабатываемой и хранящейся компьютерной информации оборонного предприятия, в результате чего создана возможность проникновения внешних злоумышленников в периметр объектов КИИ РФ и нанесения им критического ущерба вплоть до выведения из строя, потери данных и отказа критических для функционирования предприятия процессов. Утечки информации зафиксировано не было, но канал для этого был создан, в результате действий ФИО50 оборудование ЦОД повреждено не было, ремонт и замена серверного сетевого оборудования ЦОД не осуществились, исследование на предмет вредоносного воздействия программ не проводилось. Несанкционированный канал, организованный ФИО50, был пресечен сотрудниками ФСБ (том 2, л.д. 163-167, 168-172).

Оглашенные показания свидетель Свидетель №3, в целом, подтвердил, уточнив, что подчиненный ему сотрудник Свидетель №3 присутствовал при изъятии сотрудниками ФСБ оборудования с рабочего места ФИО50. Оборудование нового ЦОДа было зарегистрировано в КИИ в 2021 году, но функционировать данное оборудования начало гораздо раньше, уже в 2020 году. Положение о работе в ИВС от 2016 года общее и разработано для всех сотрудников предприятия, в том числе касалось работы ФИО50. Уточнил, что показания, данные на предварительном следствии более детальные и точные, так как тогда он все помнил лучше. Повышение квалификации в рамках <адрес> проводится по-разному, в том числе путем направления сотрудников на дополнительное обучение. Шкаф, в котором был маршрутизатор Mikrotik не запирался, но доступ в помещение посторонних ограничен. Рабочее место ФИО50 находилось в корпусе №, там же расположен и шкаф, котором был маршрутизатор. Вход в помещение, где находится старый и новый ЦОД, оборудован электронным запорным устройством, ключ – электронная карточка, на сентябрь 2020 года данный вход также оборудован запорным устройством, но электронным или обычным, не помнит.

Показаниями свидетеля Свидетель №3, согласно которым он работает в <адрес>» в должности заместителя начальника отдела информационной безопасности отдела №. В его должностные обязанности входит осуществление контроля за информационной инфраструктурой предприятия, обеспечение информационной безопасности. В июне 2021 года он принимал участие в проводимом сотрудниками УФСБ оперативно-розыскном мероприятии «обследование». Обследование проводилось на территории предприятия в подразделении, где работал Есин - это отдел №. Целью мероприятия было установление факта подключения Интернета к центру обработки данных. Были зафиксированы нарушения - подключения сети Интернет к рабочему компьютеру Есина А.Е. и виртуальной машине, которая была создана в ЦОД. Подключение к сети Интернет на предприятии возможно согласно определенному регламенту, положению, инструкции. Прямого доступа к сети Интернет нет, рабочие места с Интернетом выведены в отдельную сеть. Как следовало со слов Есина, ему от руководства поступило указание настроить определенную систему - «радиус», и как смог, так указание и реализовал. У Есина не было такой цели что-то испортить, повредить, его цель была настроить программное обеспечение «Freeradius». Есть гипотетическая возможность какого-то проникновения по каналу Интернет, потому что антивирусного программного обеспечения там не было установлено, но сотрудниками УФСБ какого-то такого проникновения, насколько он понял, не зафиксировано, зафиксирована только организация канала. В ходе проверки они копировали сотрудникам УФСБ только образ виртуальной машины из ЦОД на жесткий диск оперуполномоченным, акт изъятия оформлялся. Еще раз было мероприятие, когда из УФСБ приезжали люди, которые при понятых открывали и запускали виртуальную машину и фиксировали подключение сети Интернет, смотрели какие ресурсы посещались с виртуальной машины в сети Интернет. Насколько он понял, Есиным был задействован микротик - с его помощью он организовал подключение к своему компьютеру, от своего компьютера уже бросил в виртуальную сеть виртуальную машину, были зафиксированы в браузере выходы на сайты сети Интернет - новостные и технические сайты. Микротик, наколько он знает, находился в отделе, где работал Есин. Есиным был сделан тоннель между его компьютером и домашним компьютером. Сам он оборудование не проверял, проверкой не этим занимался, поэтому точное пояснить не может, сам с микротиком не работал. На предприятии ЦОД один, но на самом деле это две территориально разделенные площадки, работают по одному принципу. Относительно того, в каком ЦОДе работала виртуальная машина Есина, пояснить не может. Виртуализацией занимаются сотрудники отдела №, то есть где работал Есин. Руководителем является Свидетель №3 Программное обеспечение «Freeradius», которое устанавливал Есин, находится в открытом доступе, бесплатное, его отличие от программного обеспечения «Сisco ACS» не знает. Программное обеспечение «Freeradius» устанавливалось Есиным для осуществления контроля безопасности сети. Он имеет высшее образование - информационные сети системы и технологии, также проходил повышение квалификации в сфере информационной безопасности. О действиях Есина его руководство было не в курсе. Он входил в комиссию по проверке, но сам лично он микротик, с помощью которого Есин осуществлял выход в Интернет, не проверял. Выполнил ли Есин задание руководства, он не знает, потом Есин уводился и, насколько ему известно, система «Freeradius» после увольнения Есина не развивается. Два ЦОДа - это единый организм, единая система, которая перекачивается с одного ЦОда в другой ЦОД, какие-то системы дублируются, копирование происходит автоматически. Составлен определенный график, к этому процессу долгие годы. Некоторые сервисы работают на какой-то одной из площадок. Однако оба ЦОДа – это единая структура - сеть одна, а хранилище и площадка могут дублироваться. Если возникнет стороннее подключение к ИВС <адрес>, то оно автоматически затронет обе площадки. С 2019 года их подразделение занимается, в том числе, вопросами отнесения объектов к КИИ. Это происходит комиссионно, существует постоянная комиссия, в нее входят все руководители служб технологи, начальники производства, руководитель направления информационных технологий, энергетики конструкторы, математики, на основании совещаний принимается решение. Вторая площадка ЦОД давно создана, с 2012 года изначально строили. Состав оборудования каждого ЦОДа разный, что обусловлено включением в состав нового ЦОДа более современного оборудования, с увеличенной производительностью. Он не знает, проводилось ли категорирование в отношении каждого ЦОД, это было до создания их подразделения. Если объект отнесен к КИИ, то выполняется большое количество организационных и технических мероприятий по защите такого объекта. Существует приказ № ФСТЭК, в котором приведено огромное количество мер, которые применяются к таким объектам. В случае отнесения объекта к КИИ выпускается документ, который согласовывается со ФСЭК. Первоначально собирается ПДТК (постоянно действующая техническая комиссия). Комиссия назначает ряд узлов и элементов, составляются протоколы, на основании которых у нас формируется документ, который согласуется с <адрес>, его утверждает руководитель предприятия, документ заносят в реестр значимых объектов на территории РФ. Первоначально, когда проводилось категорирование, они сказали, что у них на предприятии есть специальные службы, которые компетентны по восстановлению каких-то узлов организации работоспособности, на что им ответили, что наличие простоев, которые имеются - это критично, особенно на их предприятии, поэтому ЦОД попал в КИИ, это было еще в 2018 года. Безопасность ЦОДа – это по большому счету безопасность ИВС <адрес>. Для обеспечения безопасности на всех рабочих местах установлено антивирусное программное обеспечение, имеются средства межсетевого экранирования. Данные меры не позволяют сторонним ресурсам подключаться к сети. Кроме того, на предприятии пропускной режим, постороннее не могут проходить. Защита, таким образом, обеспечивается, но бывает такое, что кто-то умышленно, проникает в сеть, какая бы защита не была. Есть негативно настроенные граждане, которые на коммерческой основе этим занимаются или по своей инициативе, методы и способы неправомерного воздействия на инфраструктуру постоянно совершенствуются. У них применяются системы визирования на жизненно важные сервисы. В обязательном порядке доступ к системам, к базе данным, ресурсам, хранилищам осуществляется только по учетным записям, то есть у посторонних людей к ресурсу какого-то подразделения, если человек работает в одном отделе, у него не будет доступа к информации другого подразделения. Для каждого конкретного сотрудника организовывается доступ к тем или иным ресурсам с которыми он работает. Межсетевые экраны стоят на границе Интернета и их внутренней сети, то есть таким образом осуществляется защита от внешнего проникновения в сеть предприятия, а система «радиус» должна была осуществлять защиту внутри сети предприятия. После увольнения Есина они получили ряд указаний и рекомендаций по внедрению программных обеспечений - появилась система анализа трафика, система по поиску уязвимостей. Есин подключился к сети Интернет что бы настроить систему для чего нужен был дистрибутив - это программа установки, нужно было установить настроить, попробовать. Поскольку у них не имелось возможности самостоятельно провести проверку, то привлекли стороннюю организацию. Эта организация и дала рекомендации по приобретению и установке программного обеспечения, о котором он сообщил выше - система анализа трафика, система по поиску уязвимостей. Эти две системы не альтернативны «Freeradius», данные системы не блокируют подключения, данные системы информируют о сетевых аномалиях и наличии уязвимости, а «Freeradius» блокирует подключения. Есин пояснил, что дистрибутив скачал из официального ресурса. Производители заявляют, что скачивание дистрибутивов программ из официального репозитория якобы безопасно. Безопасна ли установка «Freeradius» путем ведения команды, не скажет, ключи не помнит, скорее всего, никакого «криминала» нет. Микротик - это оборудование, оно применяется не только для подключения к сети Интернет. Объекты нового ЦОДа отнесли к КИИ в середине 2021 года. В отделе, где работал Есин, общее число сотрудников в районе 30 человек у них штат разбит по бюро. В бюро, где работал Есин, работало еще два человека и их руководитель Свидетель №3. Он сам с Свидетель №3 общался по поводу произошедшего, но ничего не пояснил и «развел руками», сообщил только, что дал Есину задание и хотел через месяц проверить результат.

Показаниями свидетеля Свидетель №3, согласно которым он работает в <адрес>, с 2019 года в должности начальника бюро отдела № информационной безопасности, Есина А.Е. знает исключительно по служебной деятельности. В его обязанности входит мониторинг ресурсов ИВС предприятия, методическое руководство отдела по обеспечению КИИ. В 2021 году проводилась проверка в отношении инженера - электроника Есина А.Е. на основании сведений ФСБ об организации Есиным канала доступа в ИВС предприятия, в одной из виртуальных машин, располагающейся в системе, относящейся к КИИ. Есиным было нарушено Положение об ИВС предприятия и должностная инструкция в части безопасности информации. Когда он работал в составе комиссии по проверки данного инцидента, то поднимали указанные документы и установили, что Есин с Положением об ИВС предприятия и своей должностной инструкцией был ознакомлен. Было также установлено, что Есин допустил изменение технических средств ИВС, а также создал дополнительный канал связи, самовольно переустановил программное обеспечение. В частности, Есиным была создана виртуальная машина на серверах, находящихся в ЦОДе, входящем в состав КИИ. Есин действовал в служебных целях по указанию его начальника Свидетель №3 для установления программного обеспечения на оборудовании, входящем в состав ЦОД, однако для удобства скачивания и обновления программного обеспечения на указанное оборудование, относящееся к КИИ, Есин создал канал связи в сети Интернет, чем был причинен ущерб КИИ. Прямого вреда не было, то есть никакое оборудование из строя не вышло, проникновения в сеть ИВС из вне не было, но создание канала связи создало угрозу такого проникновения. На предприятии имеется официальный способ доступа к сети Интернет – посредством переноса программного обеспечения через внешний носитель, что регламентировано отдельными документами предприятия, таким способом пользуется большинство сотрудников. То есть в <адрес> практически в каждом отделе имеются пункты доступа к сети Интернет в виде отдельных компьютеров, посредством которых можно выйти в сеть Интернет, скачать оттуда информацию, в том числе программное обеспечение путем переноса на отдельный съемный носитель. Однако Есин подключился к сети Интернет напрямую посредством подключения и настройки Mikrotik, комиссия установила, какие настройки менял Есин, но он в технической части проверки не участвовал, поэтому предметно пояснить не может, также не знает, на какие сайты через Интернет выходил Есин. На момент инцидента, на сентябрь 2020 года, на предприятии имелось два ЦОДа – новый и старый, каждый из которых состоит из 2 сегментов. В феврале 2020 года объекты старого ЦОДа были включены в КИИ, а объекты нового ЦОДа включены в КИИ летом 2021 года. Новый ЦОД состоит из оборудования, включающего серверную систему, систему хранения данных, вычислительную систему. Виртуальная машина, которую создал Есин, была установлена на оборудовании старого ЦОДа, что было установлено комиссией. Насколько ему известно, виртуальная машина, созданная Есиным, сейчас работает. Насколько он знает, программное обеспечение «Freeradius», контролирующее подключения к сети, которое скачал и установил Есин, является бесплатным, находится в открытом доступе. Он не может пояснить, безопасно ли скачивание данного программного обеспечения из официального репозитория. В составе КИИ состоит конкретное оборудование, перечисленное в соответствующих документах, там указывается наименование оборудование, а серийный номера не указываются. На данном оборудовании, отнесенном к КИИ, находится большое количество промышленных систем, то есть тех систем, без которых невозможно производство изделий гособорон заказа - спутниковых аппаратов и ракетоносителей. В случае, если на оборудование не установлена система промышленной безопасности, то вред КИИ нанесен быть не может. Комиссией обсуждался вопрос о том, почему Есин не осуществил доступ в сеть Интернет официальным способом через имеющиеся на предприятии пункты доступа в сеть Интернет, как следовало со слов Есина, он вышел в Интернет напрямую для собственного удобства, чтобы не «ходить с места на место», а скачать программное обеспечение напрямую. Mikrotik используется на предприятии для настройки локальной сети и сети Интернет при условии официального способа подключения к сети Интернет. Комиссия по вопросу включения в КИИ объектов нового ЦОДа была в декабре 2020 года, а в апреле 2021 года документы утвердили и направили во ФСТЭК, потом включили в реестр. В сентябре 2020 года оборудование нового ЦОД работало в тестовом режиме, то есть в режиме отладки и проверки функциональности аппаратных устройств. Систем промышленной эксплуатации в новом ЦОДе на тот момент еще не было установлено. Старый ЦОД работал начиная с 2012 года, а его объекты были включены в состав КИИ только в феврале 2020 года в связи с выходом в 2017 году Федерального закона, в 2018 года вышло постановление Правительства № о необходимости категорирования, в том же году была создана первая комиссия, составлен предварительный перечень объектов и в 2019 году уже направлен во ФСТЭК конкретный перечень оборудования, подлежащего включению в КИИ. О том, что Есин устанавливал программное обеспечение «Freeradius» по указанию своего начальника Свидетель №3, ему стало известно со слов коллег, также входящих в комиссию по проверки инцидента. Способ подключения к сети Интернет – напрямую посредством настройки Mikrotik, был выбран Есиным самостоятельно, о чем ему также стало известно со слов коллег. Работал он в составе комиссии в свое рабочее время, сверхурочно не работал. Работа в составе комиссии на основании приказа руководства входит в его должностные обязанности.

Показаниями свидетеля Свидетель №3, согласно которым он работает в <адрес> в отделе № в должности инженера – программиста с 2017 года. Он имеет высшее образование по специальности «прикладная математика, информатика», имеет квалификацию «математик, системный программист», соответственно, он работает по полученной специальности, Есин ему знаком как бывший сослуживец, работали в одном отделе. В его обязанности входит управление системой виртуализации серверов и рабочих станций. В сентябре 2020 года он, по просьбе Есина, создал «пустую» виртуальную машину, которую Есие подключал к сети Интернет. Данная машина была нужна Есину для тестирования системы «Freeradius», для чего Есину нужно было данное программное обеспечение, он не знает. Виртуальные машины создаются по служебным запискам за подписью начальников тех отделов, которым необходимо установить какой-то сервис посредством виртуальной машины. Он много виртуальных машин создает в ходе выполнения своих должностных обязанностей, поэтому подробности создания такой машины для Есина не помнит. Виртуальные машины он создает «пустыми» (с пустыми дисками), потом на них устанавливаются операционные системы. При создании виртуальной машины для Есина, последний ему сообщил необходимые параметры машины – количество процессоров, возможности оперативной памяти. Виртуальную машину для Есина он создал в рабочее время. Виртуальную машину он создал на компьютере <адрес>. Виртуальная машина – это набор файлов, основные из которых - конфигурационные, то есть содержащие информацию о количестве процессоров, объеме оперативной памяти, жестких дисков, а также файлы виртуальных жестких дисков, в которых хранятся данные. На момент создания виртуальной машины жесткие файлы, соответственно, пустые, впоследствии на них записываются данные. При запуске виртуальной машины запускается процесс, исходя данных конфигурационных файлов, и происходит обмен данными с виртуальным диском. Создание виртуальной машины, по сути, это создание этих файлов через интерфейс. Доступ к виртуальной машине первоначально осуществляется через систему управления виртуализацией, набор файлов виртуальной машины находятся в системе хранения в ЦОДе. У созданной им виртуальной машины имелось наименование, но он его не помнит, скорее всего, в содержании названия указывалось radius. О том, что Есиным использовалась данная виртуальная машина при подключении к сети Интернет, ему стало известно только от следователя. В сентябре 2020 года виртуальные машины, в том числе та, которую он создал для Есина, размещались в новом ЦОДе. Он только создал виртуальную машину для Есина в новом ЦОДе, а операционную систему на данную машину устанавливал уже сам Есин. Виртуальные машины после создания связаны между собой посредством сетевого обмена в зависимости от сетевых настроек конкретного персонального компьютера и коммутаторов сети. Новый ЦОД в период с весны 2020 года примерно до декабря 2020 года работал в тестовом режиме, то есть рабочие сервисы (системы, работающие в промышленной эксплуатации) переносились в новый ЦОД не сразу. Он точно не помнит, когда в новый ЦОД «перетащили» последний рабочий сервис. Возможность воздействия на оборудование, входящее в старый ЦОД, при условии подключения виртуальной машины, находящейся в новом ЦОДе, к сети Интернет зависит от настроек сетевых коммутаторов. Настройками сетевого коммутатора занимаются сотрудники отдела, в котором работал Есин. Оборудование нового и старого ЦОД имеют сетевое взаимодействие, то есть по сети виртуальные сервера одного ЦОДа видят сервера другого ЦОДа. На сентябрь 2020 года виртуальные машины каждого из двух ЦОДов «видели» друг друга, так как должны быть доступны всем пользователям предприятия. Однако это не значит, что каждый пользователь может зайти в любую машину и взять любые данные. Подключение конкретной виртуальной машины к сети Интернет не обеспечивает доступ к сети Интернет другого оборудования предприятия. Насколько ему известно, при наличии доступа к сети Интернет конкретной виртуальной машины, сторонний пользователь не может получить доступ к локальной сети предприятия, если ничего дополнительного не устанавливалось – например вредоносного программного обеспечения. В отношении Есина, насколько ему известно, проводилась проверка в части информационной безопасности. На предприятии имеются пункты доступа к сети Интернет в виде персональных компьютеров, подключенным к сети Интернет. Регламентированный на предприятии способ подключения к сети Интернет через пункты доступа установлены для информационной безопасности сети предприятия. Правом администрирования систем виртуализации обладают все сотрудники его бюро. У Есина права переноса виртуальной машины на любой другой сервер не имелось. Антивирусным обеспечением на предприятии занимается Свидетель №3

Показаниями свидетеля Свидетель №3, согласно которым он работает в <адрес> в отделе информационной безопасности в должности ведущего специалиста, имеет высшее образование по специальности «автоматизация и управление информационных систем». В его должностные обязанности входит внедрение средств защиты информации, их установка, внедрение и дальнейшая поддержка. Есина знает только как бывшего сотрудника <адрес>. Он участвовал при изъятии оборудования сотрудниками ФСБ - маршрутизатора «Mikrotik», персонального компьютера (системного блока), установленного на рабочем месте Есина. Прежде чем оборудование было изъято, оно было осмотрено, были зафиксированы настройки оборудования в виде снимков экрана персонального компьютера. Было зафиксировано нарушение – незаконное подключение и настройка оборудования, в процессе чего был организован канал без сертифицированных средств защиты информации, которые должны были быть установлены для такого рода подключения. Из ФСБ в адрес предприятия поступил запрос относительно проведения проверки по выявленным нарушениям. После этого его включили в состав комиссии предприятия по подтверждению и предотвращению последствий допущенных нарушений, в комиссию входили также Свидетель №3 и Свидетель №3. Они осматривали место, откуда изымалось оборудование, решался вопрос относительно принятия мер, направленных на предотвращения в дальнейшем таких нарушений. Что именно было отражено в документе, фиксирующем результаты проводимой ими проверки, он уже не помнит. Для установления ущерба и фиксации нарушений, причиненного действиями Есина, в дальнейшем была привлечена сторонняя организация – компания <адрес> которая провела анализ сети и подготовила документ по результатам проверки, из которого следовало, что в сети ИВС действительно был организован канал. Компания <адрес> не подтвердила факт отрицательного воздействия на сеть <адрес>. На предприятии существуют Положения, которые четко определяют, каким образом должна быть организована информационно – вычислительная сеть предприятия, а также каким образом должна осуществляться настройка этой сети и применение ряда средств защиты информации, в том числе средств защиты информации, которые регулируются органами РФ. С данными Положениями Есин должен был ознакомиться, так как он не только являлся непосредственным пользователем сети, но также являлся сотрудником отдела, к ведению которого относились функции настройки сети и применение средств, необходимых для организации сети. Подобный канал – такой, который был создан Есиным, должен был организовываться с помощью средств защиты информации – это первый уровень, с разграничением сегментов сети. То есть на предприятии имеются отдельно пункты доступа к сети Интернет и отдельно - персональные компьютеры, подключенные к локальной сети предприятия, в том числе персональный компьютер, установленный на рабочем месте Есина. Соответственно, компьютер Есина и установленная на нем виртуальная машина в сегменте ЦОД, не должны были никаким образом находиться в сети Интернет и допускать обмен информации напрямую в сети Интернет. Канал, организованный Есиным, был создан в обход установленных правил, путем прямого подключения к сети Интернет, без ведома лиц, ответственных за обеспечение безопасности сети. Данный канал был организован посредством маршрутизатора «Mikrotik», через который происходил обмен информацией между открытой сетью Интернет и закрытой сетью <адрес>, в то время как подключение сети ИВС к сети Интернет напрямую, без дополнительных сегментов сети, запрещено. Базовые настройки безопасности, заложенные производителем оборудования (маршрутизатора), были включены (активированы) Есиным, однако согласно Положению, регламентирующему порядок подключения к сети Интернет на <адрес>, необходимо использовать сертифицированные средства защиты, которые имеют заключение ВСТЭК, а данное оборудование – маршрутизатор, ВСТЭК не сертифицировано. Откуда в распоряжении Есина взялся маршрутизатор «Mikrotik» ему не известно. Поскольку он участвовал в изъятии маршрутизатора «Mikrotik», то видел, что на момент его изъятия он находился в каком-то подсобном помещении, запиралось оно или нет, не знает, маршрутизатор лежал на полке в коммуникационном шкафу, который был открыт. Конфигурация маршрутизатора была запечатлена путем скриншотов. Есин изменил конфигурацию компьютера, установленного на рабочем месте, что также было зафиксировано на скриншотах. Продолжительность подключения компьютера Есина к сети Интернет ему не известна. Ему известно, что виртуальная машина, установленная на компьютере Есина, была создана в новом ЦОДе. Кто создал саму виртуальную машину, ему не известно, но знает, что она была создана для установки определенного сервиса, обеспечивающего контроль доступа к сети предприятия, то есть контроль подключений незарегистрированных персональных компьютеров, принесенных на территорию предприятия, например, личных компьютеров сотрудников предприятия. Ему известно о таком случае подключения на предприятии компьютера, который не должен был подключаться к сети. Программное обеспечение «Freeradius», установленное на виртуальной машине на рабочем компьютере Есина предназначено, насколько он знает, для контроля доступа подключений к сети. Со слов Есина следовало, что подключение виртуальной машины к сети Интернет было осуществлено им для скачивания программного обеспечения «Freeradius» напрямую. Само по себе скачивание файлов программного обеспечения из официального репозитория производителя на разрешенный пункт доступа к сети Интернет, имеющегося на предприятии, и дальнейший перенос информации с данного разрешенного пункта доступа через съемный носитель (флешки) информации во внутреннюю сеть предприятия, безопасно. Таким образом, для безопасной установки программного обеспечения необходимо непосредственное участие человека, то есть необходима ручная установка программного обеспечения. Автоматическая установка программного обеспечения непосредственно из сети Интернет на виртуальную машину, установленную на персональный компьютер, подключенный к сети, не безопасна. Proxy-сервер – это не средство защиты, по факту proxy-сервер – это программный маршрутизатор. Запустить работу маршрутизатора «Mikrotik» с базовыми настройками не сложно. Маршрутизатор «Mikrotik», подключенный Есиным к автоматизированному рабочему месту, был настроен таким образом, что подключаться к нему мог сам Есин с персонального компьютера, подключенного к ЦОД. Подключиться к «Mikrotik» другой пользователь простыми способами не мог. Если маршрутизатор «Mikrotik» отключен полностью, то есть отключен от сети или отключен кабель, то проникновение из вне невозможно. IP-адреса «белые» (публичные) доступны в сети Интернет, а IP-адреса «серые» доступны внутри сети. «Серые» адреса, которые используются в <адрес>, в том числе, которые были зафиксированы на компьютере, установленном на рабочем месте Есина, на виртуальной машине, установленной на данном компьютере, на маршрутизаторе «Mikrotik», были разрешены к подключению к оборудованию. На маршрутизаторе «Mikrotik» была использована «белая» сеть, то есть сеть с «белым» IP-адресом, в связи с чем любой участник сети Интернет мог подключиться к данному оборудованию. В случае, если необходимо взаимодействие с сетью Интернет, то на «Mikrotik» приходит информация с пометкой «во внешнюю сеть», происходит процесс натирования (NAT) и отдача пакетов в сеть Интернет. На «Mikrotik» использовался «белый» IP-адрес. Таким образом, при обращении к оборудованию «Mikrotik» и выходу в дальнейшем с «серых» адресов, происходила маскировка «серого» IP-адреса на «белый» IP-адрес и осуществлялся выход в сеть Интернет. В момент изъятия маршрутизатора «Mikrotik» он был подключен к общей сети – ИВС предприятия, прямого подключения к компьютеру Есина не было. Есин при изъятии присутствовал. Канал, организованный Есиным, выходил напрямую в сеть Интернет без средств защиты. То есть один провод подключался к сети Интернет, а другой – к сети ИВС предприятия, в которой находилось оборудование нового ЦОДа. Старый и новый ЦОД – это единая цепь. Виртуальная машина располагалась в новом ЦОДе, однако сеть ИВС построена таким образом, что старый и новый ЦОД – это единая цепь сети ИВС. Соответственно, при наличии канала связи с сетью Интернет и одновременно с оборудованием, находящимся в новом ЦОДе, то возможен доступ (воздействие) из внешней сети Интернет через канал ко всей внутренней сети ИВС, то есть к оборудованию и нового и старого ЦОДа. Новый ЦОД – это просто физически новое оборудование, сервера, однако сеть подключения у старого и нового ЦОДа – одна, то есть единая коммуникация. Пункты доступа к сети Интернет на <адрес> – это отдельные 1-2 компьютера, расположенные в рабочих кабинетах, в отделе Есина также был пункт доступа в Интернет, количество таких компьютеров в отделе Есина не помнит. Для того, чтобы получить разрешение на доступ к сети Интернет, Есин должен был обратиться к Свидетель №3 – начальнику бюро официально, в этом случае оформляется соответствующий документ, выдается учетная запись, под которой и осуществляется выход в сеть Интернет с пункта доступа, то есть с компьютера, подключенного к сети. В случае необходимости скачивания и переноса информации из сети Интернет на другой компьютер, виртуальную машину, используется съемный носитель (флешка, диск), который зарегистрирован в программном обеспечении, установленном на оборудовании ЦОД, то есть использование любых сторонних, личных съемных носителей запрещено. Скачивание программного обеспечения возможно только путем применения съемного носителя, зарегистрированного в сети предприятия. Программное обеспечение «Freeradius», установленное легальным образом, то есть посредством скачивания программного обеспечения в пункте доступа на зарегистрированный съемный носитель и последующий перенос на персональный рабочий компьютер, то есть установка программного обеспечения вручную, требует выполнения больших шагов и большего времени, но результат был бы тот же, как и при скачивании программного обеспечения напрямую из сети Интернет на рабочий компьютер. В теории, прямое подключение персональных компьютеров к сети Интернет возможно, но в таком случае это должно регламентироваться отдельными документами, согласовываться руководством. В таком случае должны применяться специальные средства защиты, как минимум, должны быть межсетевые экраны – это специальное оборудование, которое создано именно для обеспечения защиты и выполняет только такую функцию. У маршрутизатора «Mikrotik» функция защиты в виде контроля подключаемых адресов имеется только на базовом уровне. Межсетевые экраны, установленные на персональных компьютерах сети ИВС на момент инцидента с ФИО50, были устаревшими, сертификаты были просроченными. Новые межсетевые экраны были закуплены только в 2021 году. Однако установка новых межсетевых экранов не означает, что на предприятии стало возможно подключение к сети Интернет с любого персонального компьютера. Порядок доступа к сети Интернет сохранился прежним – только через пункты доступа. На пунктах доступа в сеть Интернет не имеется какой-либо конфиденциальной информации предприятия. Межсетевые экраны предотвращают ряд атак из сети Интернет, которые направлены на «белые» адреса, то есть от внешнего атакующего лица. Однако межсетевые экраны не обеспечивают гарантии от утечки внутренней информации. В связи с тем, что ФИО50 был организован прямой канал доступа в сеть Интернет, то наличие межсетевых экранов в данном случае никакой защитной функции не выполняли, так как канал был организован в обход такого оборудования. В случае, если бы ФИО50 организовал канал связи с сетью Интернет через межсетевой экран, то сотрудники, которые контролировали межсетевые экраны и сотрудники информационной безопасности сразу бы увидели подключение ФИО50 к сети Интернет. Подключение к сети Интернет через межсетевые экраны также оформляется документально, на это должно быть получено разрешение руководства. Однако участие внутренней сети ИВС предприятия в таком подключении к сети Интернет, то есть через межсетевой экран, запрещено. В маршрутизаторе «Mikrotik» встроен межсетевой экран в виде базовой программы, но он имеет минимальные «базовые» функции защиты, что не обеспечивает стопроцентной защиты. То есть межсетевой экран, встроенный на маршрутизаторе «Mikrotik» выполняет базовые функции защиты и представляет собой просто базовую программу, а межсетевое оборудование, установленное в 2021 году на компьютерах <адрес> – это отдельное оборудование - «железка», которое предназначено именно для защиты и выполняет только эту функцию. К «белым» IP-адресам возможно подключение из сети Интернет, к «серым» IP-адресам (адресам внутренней сети) из внешней сети подключиться нельзя, однако если на используемом программном обеспечении организован какой-то внутренний туннель (функциональная закладка), то подключиться возможно и к «серому» IP-адресу из внешней сети Интернет. Соответственно, если пользователь запустит определенные функции (не декларированные разработчиком) в программном обеспечении, то возможна организация туннеля, через который осуществляется подключение к «серому» IP-адресу внутренней сети. В процессе установки программного обеспечения «Freeradius» автоматическим способом путем прямого подключения к сети Интернет, лица, допущенные к такому подключению могут из внешней сети подключиться к внутренней сети предприятия. А контролировать таких лиц, которые могут подключиться к внутренней сети предприятия из внешней сети, при автоматической установке программы невозможно, так как данная автоматическая функция установки программного обеспечения не декларирована, ее заложил разработчик или кто-то иной в момент формирования программного обеспечения. Относительно программного обеспечения «Freeradius», то насколько ему известно, данный продукт открытого распространения, в связи с чем его использовать может кто угодно бесплатно, поэтому какой там заложен функционал неизвестно, в связи с чем исключить наличие не декларированных разработчиком функций невозможно. Поскольку компьютер Есина был подключен ко внутренней сети предприятия, то подключение к сети Интернет даже при межсетевых экранах, запрещено. Канал, организованный Есиным, как было установлено компанией <адрес>, создавал возможность проникновения в сеть предприятия из вне, но таких фактов проникновения зафиксировано не было. На момент проверки по инциденту с Есиным средств контроля подключений на <адрес> не было, поэтому зафиксировать подключения сети из вне «задним числом», то есть уже после того, как было организовано прямое подключение виртуальной машины к сети Интернет, не представилось возможным ни в ходе проводимой проверки комиссией предприятия, ни сотрудниками компании <адрес>. Такое средство контроля появилось в <адрес> лишь в 2021 году, то есть после инцидента. Средство контроля, имеющееся сейчас на предприятии - это специальная программа НАТ (сокращенное название, полное не помнит) – продукт, выпущенный компанией «Позитив технолог», которая сканирует сеть, то есть средство контроля. Данный продукт был срочно приобретен именно после случившегося. Есин одновременно являлся и пользователем и администратором сети. Когда было издано положение об администраторах сети, он не помнит. Программное обеспечение «Freeradius» Есин, как следовало с его слов, он устанавливал по указанию руководства в целях контроля доступа к сети. Кто давал указание Есину скачать именно «Freeradius», он не знает.

Показаниями свидетеля Свидетель №3, согласно которым он работает в должности инженера воинской части №, имеет высшее образование по специальности «организация и технология защиты информации», квалификация «специалист по защите информации», по работы по специальности более 6 лет. Есина видит впервые. Объекты информационной инфраструктуры – это все информационные системы, которым присвоена категория значимости. <адрес> ему знакомо, а именно были предоставлены документы следствием, из которых следовало, что оборудование предприятия включено в КИИ, им присвоена третья категория значимости. Синхронная репликация данных – это автоматическая обработка информации, копирование, передача, само функционирование системы. Синхронная репликация на <адрес>, согласно представленных документов, осуществлялась. Маршрутизатор «Mikrotik» – это сетевое оборудование, которое осуществляет перенапарвление сетевых пакетов в зависимости от настроек. Насколько он помнит, то их представленных ему документов следовало, что Есин являлся системным администратором либо ответственным за защиту информации и частично в его обязанности входило администрирование информационных систем <адрес>. IP-адреса делятся на динамические (они меняются с некоторой периодичностью) и статические (постоянные), которые остаются неизменными до момента вывода оборудования или смены адреса в процессе ручной перенастройки. Модификация сетевых настроек – это изменение настроек, которые позволяют получить какие-то дополнительные возможности по сравнению с теми, которые были. Насколько он помнит, из представленных ему документов следовало, что была произведена модификация сетевых настроек маршрутизатора «Mikrotik» и добавление каких-то дополнительных разрешающих правил на самом автоматизированном рабочем месте или на маршрутизаторе, сетевые настройки менялись путем присвоения дополнительных IP-адресов, в интернет – браузере были добавлены какие-то настройки, в phroxy-сервер был добавлен IP-адрес для взаимодействия. Данные настройки создавали предпосылку к несанкционированному удаленному доступу к сети предприятия, что согласно документами являлось недопустимым для объектов КИИ РФ. Был ли установлен такой несанкционированный доступ он не знает, из документов не следовало, что такие случаи несанкционированного доступа были выявлены, была только потенциальная угроза такого доступа. Как он понял, сотрудники выезжали на <адрес> для установления несанкционированного доступа, он сам не выезжал. КИИ – это совокупность аппаратных средств и установленное на них программное обеспечение. В письме ВСТЭК указано конкретное оборудование, отнесенное к КИИ, указываются ли там серийные мили инвентарные номера, точное не знает. По документам, представленным ему, которые он изучил, следовало, что Есин организовал удаленный доступ, негативного воздействия на ЦОД в результате данных действий зафиксировано не было. Для чего Есин осуществил модификацию своего рабочего места, связал его с маршрутизатором «Mikrotik», он не знает. Сколько было ЦОДов в <адрес> на сентябрь 2020 года он не знает. ЦОД и его отдельные элементы являются частью КИИ. Маршрутизатор «Mikrotik» - это пограничное оборудование, посредством его настроек организованы предпосылки доступа к ЦОДу из внешней сети. Внесение соответствующих настроек для доступа – это сравнимо с тем, что можно открыть дверь, но в нее не входить, соответственно, были внесены настройки для возможности доступа в ЦОД из вне, но был ли фактически несанкционированный доступ из внешней сети, он не знает. Программное обеспечение «Freeradius» ему не знакомо.

Показаниями свидетеля Свидетель №3, допрошенного по ходатайству стороны защиты, согласно которым с 2007 года он состоит в должности начальника отдела информационно-вычислительной сети и инфраструктуры <адрес>», имеет высшее образование по специальности «технология радиоэлектронных изделий», квалификацию «инженер-технолог», периодически проходил курсы повышения квалификации. В его обязанности входит общее руководство работой отдела, направленной на обеспечение IT- инфраструктуры. Имеет только общее представление о работы программного обеспечения «Freeradius» и «Сisco ACS». Программное обеспечение «Сisco ACS» является платным, в тот момент имелись санкционные ограничения доступа «Сisco ACS», так как они были внесены в списки. Кроме того, имелись проблемы с работой с «Сisco ACS», в связи с чем решили заменить данное обеспечение на другое, насколько он помнит – на «Freeradius», специалистов никто не ограничивал в поиске альтернативной замены. Проводились ли по данному вопросу совещания, он не помнит, но знает, что из службы безопасности в технический отдел спускались задания о развертывании протокола №.1х – развертывание сервиса (набор сервисов и служб), запрещающего чужим устройствам подключаться к локальной сети предприятия, с целью безопасности, с тем, чтобы ограничить несанкционированный доступ к информационно-вычислительной сети предприятия. По данному поводу было какое-то распоряжение общего характера по поводу того, что необходимо сделать сервис с целью безопасности ИВС. Протоколы – это техническое описание определенных процессов взаимодействия сигналов сетевого оборудования, есть наборы протоколов, это международные разработки. Протокол подразумевает, что будет набор сервисов, оборудования и конечных устройств, которые должны обеспечивать поддержку работы протокола. Программное обеспечение «Freeradius» - это составная часть группы сервисов, обеспечивающих безопасность сети, которые включают в себя коммутаторы, сервер аутентификации «Freeradius» и сервер, который отрабатывает политики. То есть различные варианты реализации указанного протокола. Его заместитель Лукин занимался вопросом поиска альтернативы «Сisco ACS», но Лукин тоже является руководителем, поэтому задание далее «спустилось» Свидетель №3, а он поручил данное задание Есину. Есин должен был отработать это задание, предъявить руководителю, чтобы он оценил, а дальше уже решать вопрос относительно запуска программного обеспечения «Freeradius» в промышленную эксплуатацию. Вообще, у них на предприятии проводится много таких работ, целью которых является поиск подходящих технологий для обеспечения безопасности инфраструктуры. Часто такие работы по тестированию ничем не заканчиваются – или технологии не подходят или технологии оказываются слишком дорогими. По сути, это эксперименты. Насколько он помнит, программное обеспечение «Freeradius» заработало, но теперь работа в этом направлении не ведется, так как Есин уволился, а других сотрудников, имеющих такую квалификацию в этом направлении, на предприятии нет. Необходимой квалификацией обладает Свидетель №3, но ему некогда заниматься данным вопросом, у него иные функциональные обязанности. Приказ об администраторах ИВС был издан, насколько он помнит, в 2021 году. Есин на июнь-сентябрь 2021 года являлся администратором, то есть сотрудником, имеющим расширенные полномочия и права в рамках системы информационных сервисов, входящих в инфраструктуру предприятия. Весь отдел, где работал Есин – это администраторы, в частности Есин был администратором по сетевому оборудованию. Пользователь – это сотрудник предприятия, имеющий ограниченные права в рамках Положения об ИВС, то есть пользователь не имеет административных полномочий. Введение в эксплуатацию нового оборудования может быть осуществлено сразу после монтажа и настройки, то есть без этапа тестирования. В случае введения программно-аппаратного комплекса или программно-комплексных систем первоначально проводится предварительный отбор решений, на базе которых будет проводиться тестовая эксплуатация, то есть это – предпроектная работа, потом оформляется техническое решение и запускается тестовая эксплуатация. По результатам тестовой эксплуатации принимается решение о введение в промышленную эксплуатацию. Относительно программного обеспечения «Freeradius», то в этом случае сначала специалисты изучают соответствующую информацию в сети Интернет, изучают документацию, достают тестовые образы, в том числе могут запросить у производителя, затем развертывают программное обеспечение в тестовой среде. Тестовые среды могут быть разными – это может быть и набор «железяк» и «вируталка» в ЦОДе, какую среду использовать зависит от решаемой задачи. Решение на бумаге появляется на стадии тестовой эксплуатации и уже после этого принимается решение о ведение в промышленную эксплуатацию. Оформление документа в части порядка его согласования с различными службами зависит от масштабов проводимой работы и планируемых изменений. На предприятии имеется один ЦОД, состоящий из 4 площадок. Первые две площадки были ведены в действие в период 2008-2010 гг., условно они называются «старый ЦОД» (состоит из системы пожаротушения, система, кондиционирования, бесперебойного питания, дизель-генератор, стойки с серверами). Затем, с 2018 года началась модернизация оборудования ЦОД, начали монтировать две дополнительных площадки, который в 2020 году был запущен, но не введен в эксплуатацию, документы подписали чуть позже. Имеется технический акт ввода в эксплуатацию. Документы ФСЭК по КИИ на «новый» ЦОД когда появились не помнит. Оборудование «нового» ЦОДа вводилось в связи с тем, что оборудование «старого» ЦОДа устарела. По сути, произошла модернизация «старого» ЦОДа путем добавления двух новых площадок к двум старым. То есть все четыре площадки действуют. Все четыре площадки – новый и старый ЦОД – это единое целое, так как кроме этих ЦОДов у предприятия есть еще порядка 8 филиалов, где находятся такие же рабочие места, все каналы связи между ними идут через сеть Интернет, поэтому доступ через организованный канал связи в сети Интернет может быть осуществлен ко всему ЦОДу. Однако даже в рамках одной системы ЦОД имеются изолированные сервисы, например, есть аппаратная платформа, в которую ставится программное обеспечение виртуализации, на котором разворачиваются виртуальные машины и такая виртуальная машина, созданная в рамках данного большого сервера на может быть совершенно изолирована и доступ к данной машине с других компьютеров невозможен. Все площадки ЦОД связаны между собой. К объектам КИИ относятся отдельные аппаратные платформы. Изначально был один перечень на оборудование старого ЦОДа, сформированный примерно в 2019-2020 году. Отнесение оборудования нового ЦОДа к КИИ было в 2021-2022 году. В момент работы Есина действовал только перечень по оборудованию старого ЦОДа. На момент работы Есина все 4 площадки ЦОДов работали, но объекты нового ЦОДа к КИИ еще не были отнесены в то время. Виртуальные машины в июне-сентябре 2020 года создавались в обоих ЦОДах, имела место и миграция виртуальных машин в 2020 году. Администратором антивирусной системы является Свидетель №3 Служебная записка № от ДД.ММ.ГГГГ была подготовлена им в ответ на запрос по «служебке». При вынесении распоряжения (приказа) о Положении о порядке работы с ИВС не было требований ознакомить под роспись сотрудников. Фактически Есин знакомился с Положением. О произошедших событиях, по поводу которых он вызван в суд он узнал в 2021 году уже от сотрудников, которые пришли проводить проверку. Его с результатами проверки в отношении Есина не знакомили, но в целом ему стало известно, что Есиным была подключена к сети Интернет виртуальная машина, созданная в ЦОДе, с целью установления программного обеспечения. Насколько он знает, виртуальная машина была создана на новых площадках ЦОДа. Интернет от ИВС предприятия отключен, для выходя в Интернет на предприятиях имеются отдельные пункты доступа на отдельных персональных компьютерах, не связанных с ЦОД. Порядок доступа к сети Интернет регламентировано отдельным Положением о порядке доступа. Есин точно знал о пунктах доступа к сети Интернет, так как у него имелась учетная запись в пунктах доступа. Есин подключил виртуальную машину напрямую к сети Интерент, а не через пункты доступа из-за того, что сложно получить отдельный дистрибутив, то есть через пункт доступа перенести программное обеспечение в ИВС сложно, это возможно путем применения отдельного съемного носителя. Если скачивать дистрибутив вручную, то необходимо найти и скачать множество различных модулей, что технически сложно и есть вероятность того, что программное обеспечение в итоге работать не будет и выяснить причину будет нереально. Для запуска функционала программного обеспечения «Freeradius» необходим набор взаимосвязанных пакетов файлов, которые лежат в официальном репозитории операционной системы «Linux». Планировалось, что после установки программного обеспечения «Freeradius» сеть Интернет будет отключена, программное обеспечение «запирается» внутри периметра. Он не считает, что Есиным совершено глобальное нарушение, за которое можно привлечь к уголовной ответственности. По большому счету считает, что действия Есина по подключению виртуальной машины к сети Интернет не несли опасности, фактически негативного воздействия не установлено. Сертифицированные устройства, с помощью которые связаны филиалы, через которые они общаются насквозь «дырявые», поэтому можно также предположить возможность негативного воздействия.

Показаниями свидетеля Свидетель №3, допрошенного по ходатайству стороны защиты, согласно которым он работает в <адрес> начальником бюро №, имеет высшее образование по специальности «автономная и информационная управляющая система» и квалификацию «инженер». Направление его деятельности – администрирование антивируса, поддержка Интернет-сегмента, средства защиты при подключении филиалов. Насколько он знает, что Есина обвиняют в нарушении нормативных документов предприятия, повлекшие вред для КИИ. О программном обеспечении «Freeradius» ему известно, его назначение, в целом – это контроль подключений к сети. Однако с «Freeradius» и «Сisco ACS» сам не работал. Операционная система «Linux» ему знакома, он с ней работал. Установка пакетов в «Linux» возможна разными способами, например, путем скачивания из сети Интернет минимального образа, он ставится на машину, а потом вся остальная часть «докачивается» из Интернета. Можно сразу скачать основную часть из Интерната, а в последующем уже все устанавливается без подключения Интернета, но если потребуются дополнительные пакеты для установки, то придется снова подключаться. Администратор от пользователя сети отличатся уровнем доступа, правами. Пользователь имеет ограниченные права в части изменения информации и не имеет никаких прав в части изменения объекта. Администратор имеет право создавать узлы, модифицировать узлы, удалять узлы. Положения об администраторах ИВС на предприятии не имеется. Есин являлся администратором сетевого оборудования. Программное обеспечение «Freeradius» находится в открытом доступе, для его ввода в промышленную эксплуатацию необходимо пройти три этапа: тест, опытная эксплуатация, промышленная эксплуатация. У администратора есть все необходимые ресурсы и возможности для получения программного обеспечения, провести тест и в случае положительного результата тестовой эксплуатации происходит опытная эксплуатация. На этапе опытной эксплуатации появляются соответствующие документы, например, техническое решение, по результатам опытной эксплуатации может быть составлен акт ввода в промышленную эксплуатацию. На предприятии не менее 4 площадок ЦОД, площадки находятся в разных корпусах. На июнь 2020 года также работало 4 площадки, была еще серверная. Изначально работали 2 площадки старого ЦОДа, потом он был модернизирован и появились 2 новые площадки ЦОДа. Согласно акта приемки в промышленную эксплуатацию ЦОД от ДД.ММ.ГГГГ, новые площадки ЦОДа были допущены к промышленной эксплуатации. Соответственно, на момент ввода в промышленную эксплуатацию модернизированный (новый) ЦОД работал в опытной эксплуатации, с какого конкретно времени данный ЦОД работал в опытной эксплуатации, не знает. С июня по сентябрь 2020 года каких-либо инцидентов, связанных с проникновением в сеть ИВС, иные инциденты, в том числе с компьютером № на рабочем месте Есина и с иными машинами, не было, в противном случае он бы об этом знал. Антивирусная программа работает непрерывно, в случае наличия инцидентов, ему на почту пришло бы сообщение, в том числе и за пределами рабочего времени. Антивирусная программа может быть удалена только по паролю, который знает только он и его подчиненный, поэтому Есин не мог удалить данное обеспечение. ЦОД – это комплекс серверного оборудования, сетевого оборудования, средств пожаротушения, источников бесперебойного питания. Площадки ЦОД расположены в разных корпусах - №. В корпусе 6Б расположены две площадки серверного и сетевого оборудования ЦОД, в корпусе 22А расположены еще две площадки серверного и сетевого оборудования ЦОД. В корпусе № расположена серверная и балансировщик – оборудование, мониторящее оба ЦОДа, которое обеспечивает работу ЦОДов в нестандартных ситуациях (авариях), например, в случае падения одного ЦОДа принимает решение о переброске данных в другой ЦОД. ЦОД существует с 2008-2009 гг, то есть изначально действовали две площадки ЦОД, в 2018 году в ходе модернизации в рамках соответствующего распоряжения, было установлено новое оборудование. Новое оборудование не заменяло старое, а дополняло его, так как оборудование старого ЦОДа физически и морально устарело. Фактически оборудование всех 4 площадок выполняло одни и те же функции. Оборудование старого ЦОДа продолжило работу и после введения оборудования нового ЦОДа. Для связи с филиалами предприятия используется канал связи с применением криптографии. Для защиты также имеются также межсетевые экраны, которые позволяют разграничить доступ из одной сети в другую, а также внутри сети. Таким образом, на старом ЦОДе остались и средства защиты и Интернет-сегмент – это дополнительная отдельная сеть, в которую входит порядке 900 компьютеров, данная сеть не входит в новый ЦОД. В рамках АО Прогресс возможен выход в сеть Интернет, который регламентируется соответствующим Положением и осуществляется на пунктах доступа в сеть Интернет. Все оборудование на 4 площадках ЦОДа взаимосвязано, все внешние каналы входят в старый ЦОД, соответственно для общения с внешним миром, то должна быть обеспечена связь между ЦОДами, которая и имеет место быть на предприятии. То есть старый ЦОД и новый ЦОД связаны, так как это необходимо для связи с удаленными филиалами, Роскосмосом. Таким образом, взаимодействие между всеми площадками ЦОД обеспечено путем организации соответствующих линий связи. Оба ЦОДа взаимодействуют в рамках единых линий связи, со внешними пользователями взаимодействие осуществляется посредством использования средств защиты в виде межсетевых экранов, прокси-сервера. Средства защиты в виде межсетевых экранов, прокси-сервера имелись на предприятии с 2008 года. Ему известно, что была задача ограничить доступ посторонних устройств к сети предприятия, которую пытался выполнить Есин. Межсетевые экраны и прокси-сервера – это средства защиты, но контроль подключений не осуществляют, это другой класс устройств. Информация, передаваемая по сетям предприятия различна, предназначена для разных пользователей и межсетевые экраны стоят на границе сети предприятия и предназначены для того, чтобы пользователи удаленных филиалов имели доступ только к той сети, которая показана ему по роду деятельности. То есть межсетевые экраны контролируют доступ удаленных пользователей филиалов предприятия к внутренней сети предприятии. Интернет-сегмент защищает от внешних атак, то есть пользователи могут выйти в Интернет, а из сети Интернета поникнуть нельзя. Интернет – сегмент защищает только то оборудование – персональные компьютеры, которые установлены в пунктах доступа в сеть Интернет, а также сервера, относящиеся к работе пунктов доступа. Интернет- сегмент и межсетевые экраны не могут выполнять функцию контроля к ИВС предприятия. Именно для обеспечения контроля доступа к ИВС Есин и устанавливал программное обеспечение «Freeradius». То есть Есин устанавливал программное обеспечение в рамках задания руководства, а претензии к нему возникли в связи с избранным им способом реализации задания – скачивание напрямую из сети Интернет – из официального репозитория. Данный способ скачивания и установки «Freeradius», выбранный Есиным, по его мнению – единственно верный, так как скачивание через пункт доступа не гарантировало бы было установление программного обеспечения. Соответственно, если бы Есин использовал при выполнении данного задания пункт доступа в сеть Интернет, то это было бы намного сложнее, так как ему могли бы потребоваться дополнительные «библиотеки», без которых невозможно установлении программного обеспечения, а при скачивании напрямую из репозитория «библиотеки» подтягиваются автоматически. Взаимодействие в сети ЦОД происходит на разных уровнях. При наличие канала с Интернетом проникновение из вне к сети ЦОД могло быть к оборудованию, установленному на границе сети. Была необходимость у службы безопасности провести тестирование некого оборудование, в связи с чем они в служебной записке попросили создать виртуальную машину в Интернет-сегменте, дать им административные права и вывести с белым адресом. Данный способ – максимально небезопасный, однако Интернет-сегмент не входит в объекты КИИ. Есиным были использованы средства защиты – прокси-сервис, а также технология NАТ – технология, которая полностью скрывает адрес исполнителя и заменяет адрес, то есть к адресу Есина невозможно было обратиться, так как все обращения (атаки, попытки подключения) будут направлены на Микротик. То есть Есин использовал маршрутизатор Микротик, где и была включена технология NАТ. Микротик Есин использовал для и доступа в сеть Интернет и для защиты. Есин допустил нарушение в том, что со своего персонального компьютера, подключенного к ИВС предприятия, подключился к сети Интернет посредством маршрутизартора. В настоящее время виртуальная машина, созданная Есиным, сейчас работает. Он точно не знает, относилась ли его виртуальная машина, созданная Есиным к объектам КИИ, поскольку в то время уже работал новый ЦОД, объекты которого не относились к КИИ. Объект КИИ предприятия – это набор оборудования, программного обеспечения и специальных средств, все это перечислено в специальном документе, таких объектов немного. Связь с филиалами осуществляется через Интернет, провайдером является Ростелеком. На предприятии имеется один канал WPN - частная сеть Ростелеком, дополнительной оплаты данная услуга не требует, так стоимость включена в договор. Прокси-сервис, а также технология NАТ обеспечивают хорошую защиту от внешних атак, то есть значительно снижают опасность, но все равно опасность воздействия остается. Поскольку часть его должностных обязанностей касаются информационной безопасности, то знает, что периодически приходят уведомления об уязвимости. То есть стопроцентной защиты от воздействия извне при наличии канала доступа к сети Интернет, не имеется. Опасность воздействия может быть связана как к с несовершенством оборудования, так и другими причинами, например умышленными действиями разработчиков. В настоящее время виртуальная машина, созданная Есиным, работает, но на каком этапе – тестовом либо ином, не знает. Однако, в виду увольнения Есина, данная работа не развивается, все работает на том уровне, на каком это сделал Есин, так как на предприятии нет таких специалистов. Специалисты более высокого уровня к ним не устраиваются в виду невысокой заработной платы.

Также вина подсудимого подтверждается материалами дела, исследованными в судебном заседании.

Согласно рапорту об обнаружении признаков преступления от ДД.ММ.ГГГГ, в результате осуществления комплекса оперативно-розыскных мероприятий получены материалы, из которых следует, что инженер - электроник отдела информационно-телекоммуникационных сетей и инфраструктуры (2887) <адрес>» Есин А.Е., с целью доступа в ИТКС «Интернет», в нарушении правил эксплуатации информационно-вычислительной сети предприятия, установленных положением «О порядке работы в ИВС» от ДД.ММ.ГГГГ №, осуществил несанкционированную установку в ИВС предприятия маршрутизатора «Mikrotik», а также его подключение и настройку для выхода в Интернет, после чего, находясь на рабочем месте, модифицировал сетевые настройки виртуального рабочего места «CentOS8-CA-RADIUS» (изменил сетевые настройки интернет - браузера Mozilla Firefox, в которые внес proxy-сервер с ip-адресом ДД.ММ.ГГГГ.5, одновременно внеся разрешающее правило для данного адреса на Mikrotik), тем самым организовал связь виртуальной машины и маршрутизатора «Mikrotik» и подключил виртуальную машину к ИТКС «Интернет», создав несанкционированный неконтролируемый канал доступа объекта КИИ РФ (ЦОД предприятия) к ИТКС «Интернет» (том 1, л.д. 25-26).

Из протокола обследования помещений, зданий, сооружений, участков местности и транспортных средств от ДД.ММ.ГГГГ следует, что с участием специалиста Свидетель №3 и Свидетель №3 обследовано рабочее место последнего, в ходе чего на персональном компьютере Есина А.Е. обнаружены программы, имеющие организованное соединение с виртуальной машиной с операционной системой «CentOS», расположенной в ЦОД <адрес>». Кроме того, на компьютере Есина А.Е. обнаружена программа «WinBox», предназначенная для настройки маршрутизатора «Mikrotik», с помощью которого осуществлялся выход в «Интернет», последний ip-адрес был к «Mikrotik», которым обеспечивается подключение виртуальной машины к ОТКС «Интернет». На момент обследования маршрутизатор выключен и находится в комнате № в шкафу коммутации. После включения питания маршрутизатора, осуществлен запуск программы «WinBox» и были обнаружены интерфейс настройки и интерфейс ранее открытых окон, среди которых зафиксированы: журнал маршрутизатора, окно с активными адресами, окно с интерфейсами маршрутизатора, окно статистики Прокси и окно настройки Firewall, в котором обнаружены правила для разграничения прав доступа к маршрутизатору и сетям, доступным данному маршрутизатору. В строке правил обнаружены IP-адреса, доступ которых запрещен к данному маршрутизатору из сети Интернет. В истории посещаемых страниц браузеров «Mozilla Firefox» и «Opera» обнаружены ссылки, не относящиеся к ИВС <адрес>», Кроме того, в ходе обследования на персональном компьютере Есина А.Е. обнаружено программное обеспечение «BitTorrent», позволяющее скачивать файлы с других компьютеров и из сети Интернет, а также позволяет скачивать и раздавать файлы по определенному алгоритму другим пользователям сети Интернет. В ходе обследования специалистом выполнены скриншоты экрана монитора, по результатам осмотра изъяты маршрутизатор «Mikrotik» и системный блок (том 1, л.д. 35-43).

Согласно акту служебной проверки № от ДД.ММ.ГГГГ, Есиным А.Е. допущены нарушения запретов, установленных главой 6 положения «О порядке работы в ИВС» от ДД.ММ.ГГГГ №: запрет на подключение к АРМ модемов, мобильных телефонов, средств беспроводной связи, иных средств связи и передачи данных; запрет на подключение АРМ с помощью вышеуказанных средств к сетям общего пользования (интернет); запрет на самовольную установку, переустановку операционной системы и программного обеспечения; запрет на самовольное изменение технического состава (добавление или удаление компонентов) АРМ (том 1, л.д. 57-60).

Из акта о результатах оперативно-розыскного мероприятия «исследование предметов и документов» от ДД.ММ.ГГГГ следует, что с участием специалиста Свидетель №3 произведено извлечение жесткого диска из системного блока и снятие образа с данного носителя информации, снятый образ записан на внешний жесткий диск (том 1, 61-68).

Согласно письму ФСТЭК России (исх. №дсп от ДД.ММ.ГГГГ «О рассмотрении сведений») объекты КИИ, принадлежащие <адрес>», в том числе сегмент 1 и сегмент 2 центра обработки данных предприятия внесены в реестр значимых объектов КИИ Российской Федерации под регистрационными номерами № соответственно. В соответствии с указанным письмом ФСТЭК оборудование № входит в состав сведений программно-аппаратных средств, используемых на объекте КИИ (том 1, 75-76).

Согласно ведомости ознакомления с письмом ФСТЭК России №дсп от ДД.ММ.ГГГГ, Есин А.Е. ознакомлен с данным письмом ДД.ММ.ГГГГ (том 1, л.д. 77).

Согласно сведениям о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, ЦОД (сегмент № и сегмент №), технологические сети связи, программные и аппаратные средства серверное оборудование, защищенная локальная вычислительная сеть <адрес>» являются объектами критической информационной инфраструктуры (том 1, л.д. 79-102).

Согласно трудовому договору № от ДД.ММ.ГГГГ, Есин А.Е. принят в <адрес>» в качестве ученика токаря-расточника (том 1, л.д. 113-114).

В соответствии с дополнительным соглашением от ДД.ММ.ГГГГ к трудовому договору № от ДД.ММ.ГГГГ, на основании приказа о переводе работника на другую работу №/ок от ДД.ММ.ГГГГ, Есин А.Е. назначен на должность инженера - электроника отдела 2887 (том 1, л.д. 115-116).

В соответствии с п.п.1.6, 2.1-2.12 должностной инструкции № от ДД.ММ.ГГГГ, инженер-электроник должен знать: нормативно-правовые акты вышестоящих органов, методические и другие руководящие материалы по направлению своей деятельности; технико-эксплуатационные характеристики, конструктивные особенности, назначение, режим работы оборудования, правила технической эксплуатации; порядок установки и настройки активного сетевого оборудования; основы передачи дискретных данных; базовые технологии построения локальных сетей; основные принципы и правила построения структурированной кабельной системы; требования и правила системы защиты информации; а также обязан: знать используемое активное оборудование для построения сети и уметь настроить его для функционирования ИВС предприятия; составлять спецификации оборудования и комплектующих на новые или модернизируемые сегменты сети; уметь настраивать активное сетевое оборудование для бесперебойной работы ИВС и пользователей; обеспечивать сохранность информации в ИВС предприятия; соблюдать требования и правила защиты информации, установленные в отделе. Также в соответствии с указанной должностной инструкцией инженер-электроник несет ответственность за выполнение требований всех положений инструкции по работе в ИВС (том 1, л.д. 117-118).

Согласно служебной записки от ДД.ММ.ГГГГ, начальник цеха № просит зарегистрировать Есина А.Е. в каталоге пользователей предприятия, создать логин и пароль, являющиеся ключом простой электронной подписи в информационных системах предприятия (том 1, л.д. 119-180).

Согласно Положению № «о порядке работы в ИВС», введенного в действие распоряжением № от ДД.ММ.ГГГГ, при работе с ИВС пользователю запрещается самовольная установка, переустановка ОС и программного обеспечения», а также установлен запрет на подключение к АРМ модемов, мобильных телефонов, средств беспроводной связи, иных средств связи и передачи данных; запрет на подключение АРМ с помощью вышеуказанных средств к сетям общего пользования (интернет); запрещена самовольная установка, переустановка операционной системы и программного обеспечения (том 1, л.д. 146-147, 148-164, 165-177).

Согласно Положению об отделе информационно вычислительных сетей и инфраструктуры (отдел №) бюро эксплуатации сетевой инфраструктуры предприятия выполняет следующие функции: настройки сетевой инфраструктуры предприятия; поддержание оборудования локально – вычислительной сети (далее - ЛВС) предприятия в рабочем состоянии; мониторинг ЛВС предприятия; разработка предложений по модернизации ЛВС на предприятии. Первоначальная установка ОС и стандартного ПО, на компьютеры, которые не имеют подключения к ИВС предприятия осуществляется отделом 2887. На обороте последней страницы документа содержатся рукописные записи и подписи сотрудников, в том числе Есина А.Е. от ДД.ММ.ГГГГ (том 1, л.д. 189-202).

Согласно справки специалиста по защите информации 1 категории Свидетель №3, в ноябре 2020 года сотрудниками отдела информационной безопасности (№) <адрес>» проведена проверка автоматизированных рабочих мест пользователе информационно-вычислительной сети <адрес>», в ходе которой установлено, что инженер - электроник отдела информационно-вычислительных сетей и инфраструктуры (№ Есин А.Е., в нарушение действующих на предприятии правил, установленных Положением «О порядке работы в ИВС» от ДД.ММ.ГГГГ, организовал доступ в сеть «Интернет» на ПЭВМ №, аналогичный доступ к сети «Интернет» организован Есиным А.Е. для виртуальной машины «CentOS8-CA-Radius», работающей на аппаратных возможностях серверов предприятия, входящих в центр обработки данных предприятия, включенного ФСТЭК России в реестр значимых объектов КИИ РФ. Кроме того, установлен факт удаленного подключения к маршрутизатору, расположенному на территории <адрес>» СПЭВМ, расположенного дома у Есина А.Е., последний ежедневно подключался с рабочего ПВЭМ № к нескольким ПЭВМ, расположенных в домашней сети для проведения переписки с неизвестным лицом по имени Елена. Начиная с ДД.ММ.ГГГГ возникли попытки подключения к SSNP серверу и попытки перехвата управления маршрутизатора Mikrotik, расположенного на территории <адрес>» с адресов сети интернет, принадлежащим неизвестным лицам за границей РФ. Установлены следующие адреса, с которых производились подключения: № (том 1, л.д. 204-210).

Согласно протоколу обследования помещений, зданий, сооружений, участков местности и транспортных средств от ДД.ММ.ГГГГ, с участием начальника отдела № Свидетель №3 и специалиста Свидетель №3 проведено оперативно-розыскное мероприятие в служебном кабинете № здания корпуса № <адрес>», расположенного по адресу: <адрес>, в ходе которого исследовано рабочее место в отделе информационной безопасности <адрес> и установлен факт нарушения, связанного с неправомерным доступом в ИТКС «Интернет» виртуальной машины «CentOS8-CA-RADIUS», имеющей IP-адрес ДД.ММ.ГГГГ.10, расположенной на сервере «saah43.samspace.ru». В ходе обследования с использованием служебной ПЭВМ осуществлено копирование файлов виртуальной машины «CentOS8-CA-RADIUS» на внешний жесткий диск Seagate, файлы содержат следы использования виртуальной машины «CentOS8-CA-RADIUS», в том числе следы выхода машины в ИТКС «Интернет». В ходе обследования выполнены скриншоты, приобщенные к протоколы в виду фототаблицы (том 1, л.д. 212-234).

Согласно информационного письма от ДД.ММ.ГГГГ №, центр обработки данных <адрес>», включенный ФСТЭК России в реестр объектов критической информационной инфраструктуры состоит из двух эквивалентных площадок (сегмент № и сегмент №), оснащенных дублированной вычислительной, сетевой, инженерной инфраструктурой, и размещенных в пределах особорежимной территории предприятия, имеющих единую систему управления и осуществляющих обработку всех информационных процессов предприятия. Между площадками обеспечена синхронная репликация данных на уровне серверной инфраструктуры и систем хранения данных, а также автоматизированное переключение информационных систем и сервисов между площадками в случае нарушения работоспособности. В ЦОД предприятия используются служебные диапазоны ip-адресации информационно – вычислительной сети предприятия формата 10.10.хх.<адрес> образом, серверное оборудование и автоматизированные рабочие места, в том числе виртуальные машины, имеющие ip-адреса указанного формата находятся в ЦОД предприятия, используют его аппаратные мощности и размещаются на находящемся в ЦОД оборудовании. Виртуальная машина Есина А.Е. «CentOS8-CA-RADIUS» создана ДД.ММ.ГГГГ с использованием программного обеспечения VMware vSphere, размещена на оборудовании №, и ей назначен адрес ДД.ММ.ГГГГ.10, используемый в рамках ЦОД. Оборудование № включено в состав объекта КИИ предприятия (сегмент № и сегмент №) в 2020 году в рамках программы модернизации сегментов № и № путем расширения и актуализации используемого оборудования. Таким образом, виртуальная машина с ip-адресом ДД.ММ.ГГГГ.10 с момента создания ДД.ММ.ГГГГ находится в ЦОД предприятия, являющимся объектом КИИ РФ, использует аппаратные мощности оборудования №, размещенного в ЦОД (том 2, л.д. 1-3).

Согласно информационного письма от ДД.ММ.ГГГГ № «Об изменении объектов КИИ <адрес>», в 2020 году в <адрес>» проведена модернизация сегментов 1 и 2 ЦОД, внесенных в реестр значимых объектов критической информационной инфраструктуры РФ под регистрационными номерами № соответственно. После завершения работ по модернизации принцип функционирования указанных объектов изменился. Модернизированный ЦОД состоит из двух площадок, оснащенных вычислительной, сетевой, инженерной инфраструктурой, размещенных в пределах особорежимной территории предприятия, имеющих единую систему управления и осуществляющих обработку всех информационных процессов предприятия. По завершению запуска в промышленную эксплуатацию нового оборудования реализованы параметры функционирования: серверная инфраструктура выполнена в виде симметричной архитектуры оборудования, состоящей из одного вида сервера; обеспечена синхронная репликация данных между площадками на уровне серверной инфраструктуры и систем хранения данных, а также автоматизированное переключение информационных систем и сервисов между площадками, в случае нарушения работоспособности одной из них; коммутаторы уровня ядра сети для отказоустойчивости объединены в кластер; организован единый внешний контур защиты. В связи с этим, постоянно действующей комиссией по категорированию объектов КИИ предприятия принято решение о выведении сегментов 1 и 2 ЦОД из перечня объектов КИИ и внесении в данный перечень единого модернизированного ЦОД с присвоением ему 3 категории значимости (том 2, л.д. 4-8).

Согласно письму ФСТЭК России (исх. №дсп от ДД.ММ.ГГГГ «О рассмотрении материалов по объектам КИИ») представленные на основании письма <адрес>» от ДД.ММ.ГГГГ № сведения о присвоении 7 объектам критической информационной инфраструктуры категории значимости внесены в реестр значимых объектов критической информационной инфраструктуры РФ, согласно приложенному списку: ЦОД (регистрационный №/В от ДД.ММ.ГГГГ). На основании указанного письма <адрес>» объекты критической информационной инфраструктуры за регистрационными номерами № из реестра значимых объектов критической информационной инфраструктуры РФ исключены.

Согласно протоколу осмотра места происшествия от ДД.ММ.ГГГГ, рабочее место Есина А.Е. расположено в кабинете №, в кабинете № - шкаф коммутации, в котором ранее находилось устройство маршрутизации «Mikrotik» модель «Router Board Hex PoE lite», серийный № (том 2, л.д. 86-90).

Согласно протоколу осмотра предметов от ДД.ММ.ГГГГ, согласно которому с участием специалиста – сотрудника отдела № Свидетель №3 осмотрены технические средства, изъятые в ходе проведения обследования служебных помещений <адрес>» от ДД.ММ.ГГГГ: системный блок «№», серийный номер «№»; маршрутизатор «Mikrotik», модель «Router Board Hex PoE lite», серийный номер «№»; жесткие диски «№», серийный номер «№», серийный номер №, По окончании осмотра осмотренные средства приобщены к материалам уголовного дела в качестве вещественных доказательств (том 2, л.д. 91-93, 94-96).

Согласно протоколу осмотра предметов от ДД.ММ.ГГГГ, с участием специалиста осмотрены жесткие диски «Seagate» «Backup plus slim», model: № и «WD Elements» №, в ходе которого установлено, что жесткий диск «Seagate» «Backup plus slim», model: № содержит в памяти файлы виртуальной машины «№». При изучении файлов виртуальной машины зафиксированы её обращения в сеть «Интернет» в период с ДД.ММ.ГГГГ по ДД.ММ.ГГГГ включительно, а также модификация сетевых настроек интернет-браузера «Mozilla Firefox» и внесение в настройки указанного приложения прокси-сервера c ip-адресом № что обеспечило виртуальной машине доступ к сети «Интернет». При осмотре жесткого диска «WD Elements» №, установлено, что на нем содержится побитовый образ жесткого диска персонального компьютера «№», созданным в ходе проведения в период с ДД.ММ.ГГГГ по ДД.ММ.ГГГГ исследования указанного компьютера. ДД.ММ.ГГГГ в рамках проведения оперативно-розыскного мероприятия «Обследование помещений» специалистом были исследованы параметры работы и настройки установленных на указанном компьютере программ, находившихся в момент обследования в активном состоянии. По окончании осмотра указанные съемные жесткие диски приобщены к материалам уголовного дела в качестве вещественных доказательств (том 2, л.д. 105-123,124-125).

Согласно протоколу осмотра документов от ДД.ММ.ГГГГ, осмотрены материалы оперативно-розыскной деятельности, приобщенные по окончании осмотра к материалам уголовного дела в качестве вещественных доказательств (том 2, л.д. 126-134,135-137).

Согласно протоколу осмотра от ДД.ММ.ГГГГ, осмотрены документы, подтверждающие наличие договорных отношений между <адрес>» и <адрес>» (том 2, л.д.142-144).

Согласно договору № от ДД.ММ.ГГГГ, между <адрес>» и <адрес>» заключен договор на выполнение услуг по анализу защищенности сегментов информационной инфраструктуры предприятия в срок до ДД.ММ.ГГГГ, сумма по договору 980 000,00 руб., согласно спецификации к договору указаны виды работ: установление и анализ схемы несанкционированного удаленного доступа и проникновения извне в ИВС и ЦОД <адрес>» стоимостью 370 000 руб.; установление и анализ противоправной технологии подключения к ОТКС «Интернет» сегментов ИВС и АРМ <адрес>», предназначенных для работы исключительно в локальной ИВС субъекта КИИ РФ стоимостью 330 000 руб.; установление и анализ схемы несанкционированного удаленного доступа и проникновения извне в ИВС и ЦОД <адрес>» с использованием СКЗИ VipNet стоимостью 280 000 руб. Согласно приобщенных к договору документов, служебная проверка проводилась 26 дней, затраты на оплату труда сотрудников в указанный период, задействованных в проведении проверки, составили примерно 161 072 руб. (том 3, л.д. 13-51)

Согласно приказу от ДД.ММ.ГГГГ №, руководством <адрес>» принято решение об организации работ по поиску несанкционированных каналов связи (том 3, л.д. 89-91).

Согласно платежному поручению от ДД.ММ.ГГГГ № на расчетный счет <адрес>» от <адрес>» перечислено 980 000 руб. в качестве оплаты услуг по договору № от ДД.ММ.ГГГГ (том 3, л.д. 96).

Собранные по делу и исследованные судом доказательства: показания подсудимого, представителя потерпевшего, свидетелей, протоколы следственных и процессуальных действий, а также иные доказательства, изложенные в приговоре, получены в соответствии с требованиями закона, нарушений при их составлении судом не установлено, все доказательства содержат сведения, относящиеся к обстоятельствам рассматриваемого дела, согласуются друг с другом, в связи с чем суд находит их достоверными и допустимыми, а в совокупности достаточными для разрешения дела.

Причин для оговора подсудимого со стороны представителя потерпевшего и свидетелей не установлено, доказательств обратного ни Есиным А.Е., ни его защитником суду представлено не было. Каких-либо предположений и противоречий показания представителя потерпевшего, свидетелей и подсудимого, которые бы могли повлиять на правильность установленных судом фактических обстоятельств дела, не содержат, поэтому не доверять их показаниям у суда оснований не имеется, а потому суд, признавая их за достоверные, кладет их в основу приговора.

Таким образом, суд, исследовав все представленные сторонами доказательства в соответствии со ст.ст. 17,87,77 УПК РФ, оценив каждое из них с точки зрения относимости, допустимости, достоверности, а все собранные доказательства в совокупности – достаточности для разрешения уголовного дела, считает вину Есина А.Е. в инкриминируемом ему преступлении установленной и доказанной.

Нарушений закона, способных путем ограничения прав участников судопроизводства повлиять на правильность решения, а также влияющих на допустимость доказательств и препятствующих суду вынести решение по делу в ходе предварительного расследования не допущено.

В ходе судебного следствия установлено, что именно действиями Есина А.Е. причинен вред критической информационной инфраструктуре Российской Федерации.

По смыслу закона, объективная сторона преступления, предусмотренного ч. 3 ст. 274.1 УК РФ подразумевает противоправные деяния как в форме активного действия, так и бездействия в отношении соблюдения правил эксплуатации и правил доступа к объектам критической информационной инфраструктуры Российской Федерации (далее - КИИ).

Как указано в п. 12 Постановления Пленума Верховного Суда РФ от ДД.ММ.ГГГГ № «О некоторых вопросах судебной практики по уголовным делам о преступлениях в сфере компьютерной информации, а также иных преступлениях, совершенных с использованием электронных или информационно-телекоммуникационных сетей, включая сеть «Интернет», данные правила могут быть установлены федеральными законами и подзаконными нормативными правовыми актами, а также инструкциями или иными локальными нормативными актами организаций, если они приняты в развитие указанных законов и подзаконных актов, не противоречат им и не изменяют их содержание. Обязанность соблюдения правил, установленных локальным нормативным актом, должна быть доведена до сведения лица, которому вменяется совершение соответствующего преступления (например, при подписании трудового договора, соглашения на использование сетей или оборудования либо отдельного акта ознакомления с такими правилами).

Обязательным признаком указанной нормы уголовного закона является наступление общественно опасных последствий - причинение вреда КИИ. Субъект преступления - специальный, имеющий доступ к критической информационной инфраструктуре либо к относящимся к ней объектам в силу выполнения своих служебных полномочий и обязанный исполнять установленные правила эксплуатации и доступа к ним.

Объектом преступления являются общественные отношения по обеспечению правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в вышеуказанных системах, а также правил доступа к указанным объектам.

Предметом преступления являются объекты КИИ РФ: информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, сети электросвязи, относящиеся к КИИ РФ.

В соответствии с п. 6 ст. 2 Федерального закона от ДД.ММ.ГГГГ № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», критической информационной инфраструктурой являются объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов.

Пунктом 7 ст. 2 указанного выше Закона под объектами критической информационной инфраструктуры понимаются информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры.

Пунктом 8 ст. 2 указанного Федерального Закона определено, что субъекты критической информационной инфраструктуры – это государственные органы, государственные учреждения, Свидетель №3 юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, Свидетель №3 юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

Как следует из материалов дела, <адрес>» является ракетно-космическим предприятием оборонно-промышленного комплекса <адрес>, входит в <адрес>, участвует в исполнении государственного оборонного заказа, в связи с чем, в силу п. 8 ст. 2 Федерального закона от ДД.ММ.ГГГГ № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», является субъектом критической информационной инфраструктуры РФ, так как является юридическом лицом, которому на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере оборонной, ракетно-космической промышленности.

В соответствии с п. 4 ст. 2 Федерального закона от ДД.ММ.ГГГГ № 149-ФЗ «Об информации, информационных технологиях и о защите информации», информационно-телекоммуникационная сеть – это технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники.

    Согласно п. 17 Постановления Пленума Верховного Суда РФ от ДД.ММ.ГГГГ № «О некоторых вопросах судебной практики по уголовным делам о преступлениях в сфере компьютерной информации, а также иных преступлениях, совершенных с использованием электронных или информационно-телекоммуникационных сетей, включая сеть «Интернет», для целей уголовного законодательства понятия электронных и информационно-телекоммуникационных сетей не разграничиваются. При этом следует иметь в виду, что сеть «Интернет» является одним из их видов.

Состав преступления является материальным и предусматривает наступление общественно опасных последствий - вреда критической информационной инфраструктуре Российской Федерации.

При этом, вред может носить либо материальный (физический), либо организационный (технологически-эксплуатационный) характер, выразившийся в том числе в нарушении безопасности информации, обрабатываемой объектом КИИ.

С объективной стороны преступление выражается в нарушении правил эксплуатации информационно-телекоммуникационных сетей и (или) правил доступа к информационно-телекоммуникационным сетям, что повлекло уничтожение, блокирование или модификацию компьютерной информации.

Субъективная сторона выражается в форме умысла. При этом, по смыслу закона, мотив и цель противоправного деяния виновного на квалификацию преступления влияния не оказывают, однако должны учитываться при назначении наказания.

В соответствии с положениями ст. 29 УК РФ преступление считается оконченным, если в совершенном лицом деянии содержатся все признаки состава преступления, предусмотренного УК РФ.

Согласно разъяснениям, данным в п. 6 Постановления Пленума Верховного Суда РФ от ДД.ММ.ГГГГ № «О некоторых вопросах судебной практики по уголовным делам о преступлениях в сфере компьютерной информации, а также иных преступлениях, совершенных с использованием электронных или информационно-телекоммуникационных сетей, включая сеть «Интернет» преступления, предусмотренные статьями 272 и 274 УК РФ, признаются оконченными, когда указанные соответственно в части 1 статьи 272 УК РФ или в части 1 статьи 274 УК РФ деяния повлекли наступление общественно опасных последствий (одного или нескольких) в виде уничтожения, блокирования, модификации либо копирования такой информации, а по статье 274 УК РФ также в виде причинения крупного ущерба.

По смыслу закона, исходя из указанного выше разъяснения высшей судебной инстанции, применительно к ч. 3 ст. 274.1 УК РФ, преступление является оконченным с момента, когда деяния повлекли наступление общественно опасных последствий в виде уничтожения, блокирования, модификации либо копирования информации, содержащейся в КИИ РФ.

Как следует из разъяснения высшей судебной инстанции, приведенного в п. 2 указанного выше Постановления, исходя из пункта 1 примечаний к статье 272 УК РФ под компьютерной информацией понимаются любые сведения (сообщения, данные), представленные в виде электрических сигналов, независимо от средств их хранения, обработки и передачи. Такие сведения могут находиться в запоминающем устройстве электронно-вычислительных машин и в других компьютерных устройствах (далее - компьютерные устройства) либо на любых внешних электронных носителях (дисках, в том числе жестких дисках - накопителях, флеш-картах и т.п.) в форме, доступной восприятию компьютерного устройства, и (или) передаваться по каналам электрической связи.

Согласно п. 4 Постановления Пленума Верховного Суда РФ от ДД.ММ.ГГГГ под модификацией компьютерной информации, применительно к статьям главы 28 УК РФ следует понимать внесение в нее любых изменений, включая изменение ее свойств, например целостности или достоверности.

В судебном заседании установлено, что Есин А.Е., в обход действующих на <адрес>» правил, о которых ему было достоверно известно, подключил к ИВС предприятия маршрутизатор «Mikrotik», осуществил его настройку при помощи специального программного обеспечения «WinBox», назначив маршрутизатору статический ip-адрес № из перечня арендуемых <адрес> у оператора связи <адрес>» и ip-адрес № ИВС предприятия, после чего, используя указанный машрутизатор «Mikrotik» и виртуальное автоматизированное рабочее место «CentOS8-CA-RADIUS» (ip-адрес ДД.ММ.ГГГГ.10), расположенное в ЦОД <адрес>», модифицировал компьютерную информацию, а именно сетевые настройки указанного виртуального рабочего места путем изменения сетевых настроек интернет-браузера «Mozilla Firefox», в которые внес proxy-сервер с ip-адресом № а также разрешающее правило для данного адреса на устройство «Mikrotik», после чего, используя настроенный канал неправомерного доступа в ИТКС «Интернет», осуществил загрузку с неустановленного Интернет-ресурса и установку на виртуальное автоматизированное рабочее место «№» файлов несертифицированного программного обеспечения «free-RADIUS», осуществив, таким образом, модификацию компьютерной информации, находящейся и циркулирующей в ЦОД РКЦ, являющимся объектом КИИ РФ.

Данный вывод суда подтверждается, в том числе, показаниями свидетеля Свидетель №3, проводившего соответствующую проверку на основании заключенного с <адрес>» указанного выше в приговоре договора, согласно которым, выход в сеть Интернет из закрытой сети возможен только лишь путем изменения настроек сетевых устройств, изменения маршрутов перемещения трафика локально – вычислительной сети, изменения правил настроек межсетевого экрана, блокирующего доступ в сеть Интернет.

Как следует из показаний свидетеля Свидетель №3, согласно представленных ему на обозрение результатов оперативно-розыскной деятельности, Есиным А.Е. была произведена модификация сетевых настроек маршрутизатора «Mikrotik» и добавление дополнительных разрешающих правил на самом автоматизированном рабочем месте или на маршрутизаторе, сетевые настройки менялись путем присвоения дополнительных IP-адресов, в интернет – браузере были добавлены какие-то настройки, в phroxy-сервер был добавлен IP-адрес для взаимодействия.

Сам подсудимый Есин А.Е. фактические обстоятельства в части описания инкриминируемого ему деяния не оспаривал, пояснив в судебном заседании, что действия, изложенные в обвинении относительно организации им канала доступа в ИТКС «Интернет», соответствуют действительности.

При этом, Есиным А.Е. в ходе выполнения указанных выше действий были нарушены правила эксплуатации информационно-вычислительной сети <адрес> и правила доступа к информационно-телекоммуникационной сети «Интернет», установленные положением «О порядке работы в ИВС» от ДД.ММ.ГГГГ №, в том числе устанавливающие запрет на подключение к АРМ модемов, мобильных телефонов, средств беспроводной связи, иных средств связи и передачи данных, а также запрет на подключение АРМ с помощью вышеуказанных средств к сетям общего пользования (Интернет), самовольную установку, переустановку операционной системы и программного обеспечения, самовольное изменения технического состава (добавление или удаление компонентов автоматизированного рабочего места).

Поскольку указанные действия Есина А.Е., составляющие объективную сторону инкриминируемого подсудимому деяния, повлекли модификацию компьютерной информации, суд считает, что деяния подсудимого содержат оконченный состав преступления.

При этом, суд не принимает во внимание доводы подсудимого о том, что он являлся, в силу занимаемой должности, администратором сети, в то время как требования, изложенные в Положении о порядке работы в ИВС, нарушение которых ему инкриминируются, по его мнению, касаются исключительно пользователей, поскольку из содержания данного документа, в том числе раздела 1, следует, что пользователь – это сотрудник Общества или сторонней организации, который имеет учетную запись и использует ресурсы ИВС для решения производственных задач. Таким образом, исходя из смысла приведенного определения, администратор ИВС, применительно к данному Положению, одновременно является и пользователем сети ИВС, поскольку относится к числу сотрудников предприятия, осуществляющих взаимодействие с информационной системой. Соответственно, установленные запреты, перечисленные в указанном документе, распространяются и на сотрудников отдела №, в том числе и на Есина А.Е.

По изложенным основаниям не имеют правового значения для квалификации действий подсудимого доводы защиты об издании на предприятии Приказа «Об администраторах объектов инфраструктуры ИВС» ДД.ММ.ГГГГ, то есть уже после увольнения Есина А.Е.

Доводы подсудимого о том, что виртуальное автоматизированное рабочее место «№» с установленным программным обеспечением «free-RADIUS», находились в «новом» ЦОДе, который на момент инкриминируемых событий еще не был отнесен к объектам КИИ, являются несостоятельными, поскольку, как установлено судом, установка на предприятии двух новых площадок ЦОД, по сути - это модернизация уже имеющегося оборудования «старого» ЦОДа, что было обусловлено необходимостью введения в эксплуатацию более современного оборудования с увеличенной производительностью. При этом, как следует из материалов дела, принцип работы оборудования, размещенного на всех 4 площадках «нового» и «старого» ЦОДов, основан на постоянном взаимодействии, между всеми площадками обеспечена синхронная репликация данных на уровне серверной инфраструктуры и систем хранения данных. Такого рода взаимодействие обеспечивает автоматизированное переключение информационных систем и сервисов между площадками в случае нарушения работоспособности оборудования хотя бы одного из сегментов. Вывод суда в данной части, подтверждается, в том числе, и показаниями свидетелей из числа сотрудников <адрес>», допрошенных в судебном заседании.

Так, из показаний начальника отдела информационной безопасности <адрес> Свидетель №3 следует, что на сентябрь 2020 года оба ЦОДа предприятия работали в одной сети, хотя и находились на разных площадях, всего 4 площадки – по две в каждом ЦОДе, между которыми существует постоянное взаимодействие, осуществляется постоянная миграция данных, тем более, что некоторые системы работают на «новом» ЦОДе, некоторые – на «старом» ЦОДе, например, управляющий сервер может находиться в «новом» ЦОДе, а система хранения – в «старом» ЦОДе. Обращение пользователей персональных компьютеров сети может быть к любому ЦОДу. Соответственно, оба ЦОДа связаны между собой как физически, так и логически и никак не отделены.

Аналогичные по смыслу показания дал заместитель начальника отдела информационной безопасности отдела № <адрес>» Свидетель №3, пояснивший в судебном заседании, что два ЦОДа - это единый «организм», единая система, которая перекачивается с одного ЦОДа в другой ЦОД, при этом, какие-то системы дублируются, копирование происходит автоматически, а некоторые сервисы работают на какой-то одной из площадок. Оба ЦОДа – это единая структура - сеть одна, а хранилище и площадка могут дублироваться. Если возникнет стороннее подключение к ИВС РКЦ Прогресс, то оно автоматически затронет обе площадки. Безопасность ЦОДа – это, по большому счету, безопасность ИВС <адрес>.

Как следует из показаний в указанной части начальника бюро отдела № информационной безопасности <адрес>» Свидетель №3, на момент инцидента, на сентябрь 2020 года, на предприятии имелось два ЦОДа – «новый» и «старый», каждый из которых состоит из 2 сегментов, в феврале 2020 года объекты «старого» ЦОДа были включены в КИИ, а объекты «нового» ЦОДа включены в КИИ летом 2021 года. «Новый» ЦОД состоит из оборудования, включающего серверную систему, систему хранения данных, вычислительную систему. Виртуальная машина, которую создал ФИО50, была установлена на оборудовании «старого» ЦОДа, что было установлено комиссией.

Согласно показаниям ведущего специалиста отдела информационной безопасности <адрес>» Свидетель №3, виртуальная машина Свидетель №3 располагалась в «новом» ЦОДе, однако сеть ИВС построена таким образом, что «старый» и «новый» ЦОД – это единая цепь сети ИВС, в связи с чем при наличии канала связи с сетью Интернет и одновременно с оборудованием, находящимся в «новом» ЦОДе, то возможен доступ (воздействие) из внешней сети Интернет через канал ко всей внутренней сети ИВС, то есть к оборудованию и «нового» и «старого» ЦОДа. «Новый» ЦОД – это просто физически новое оборудование, сервера, однако сеть подключения у «старого» и «нового» ЦОДов – одна, то есть единая коммуникация.

Из показаний начальника отдела информационно-вычислительной сети и инфраструктуры <адрес>» Свидетель №3, следует, что оборудование «нового» ЦОДа вводилось в связи с тем, что оборудование «старого» ЦОДа устарела. По сути, произошла модернизация «старого» ЦОДа путем добавления двух новых площадок к двум старым. Все четыре площадки действуют и представляют собой единое целое, так как кроме этих ЦОДов у предприятия есть еще порядка 8 филиалов, где находятся такие же рабочие места, все каналы связи между ними идут через сеть Интернет, поэтому доступ через организованный канал связи в сети Интернет должен быть осуществлен ко всему ЦОДу.

Согласно показаниям начальника бюро № <адрес>» Свидетель №3, на июнь 2020 года на предприятии работало 4 площадки ЦОД, а также серверная. То есть изначально работали 2 площадки «старого» ЦОДа, потом он был модернизирован и появились 2 новые площадки ЦОДа. При этом, оборудование «нового» ЦОДа не заменяло старое, а лишь дополняло его, так как оборудование «старого» ЦОДа физически и морально устарело. Фактически оборудование всех 4 площадок выполняло одни и те же функции. Оборудование «старого» ЦОДа продолжило работу и после введения оборудования «нового» ЦОДа. Для связи с филиалами предприятия используется канал связи с применением криптографии.

Из показаний свидетеля Свидетель №3, состоящего в должности инженера – программиста отдела № следует, что оборудование «нового» и «старого» ЦОДов имеют сетевое взаимодействие, то есть по сети виртуальные серверы одного ЦОДа «видят» серверы другого ЦОДа. На сентябрь 2020 года виртуальные машины каждого из двух ЦОДов «видели» друг друга, так как должны быть доступны всем пользователям предприятия.

Указанные свидетели являются квалифицированными специалистами в области информационных технологий, имеют соответствующее образование и опыт работы в данной сфере, в судебном заседании дали показания по вопросам, относящимся к их профессиональной деятельности, касающихся обстоятельств уголовного дела. С учетом имеющихся в материалах дела данных, компетенция указанных лиц по выясняемым вопросам не взывает сомнений у суда, оснований не доверять их показаниям не имеется. Каждый из допрошенных свидетелей перед началом их допроса был предупрежден об уголовной ответственности за дачу заведомо ложных показаний, каких-либо данных о заинтересованности указанных лиц в исходе дела у суда не имеется, их показания являются последовательными, логичными, согласуются между собой и не противоречат фактическим обстоятельствам дела.

Кроме того, суд отмечает, что согласно письму ФСТЭК России (исх. №дсп от ДД.ММ.ГГГГ «О рассмотрении сведений») объекты КИИ, принадлежащие <адрес>», в том числе сегмент 1 и сегмент 2 центра обработки данных предприятия внесены в реестр значимых объектов КИИ Российской Федерации под регистрационными номерами №, соответственно (том 1, 75-76).

Судом установлено, что виртуальная машина «№», созданная ДД.ММ.ГГГГ, была размещена на оборудовании №, которое в соответствии с указанным письмом ФСТЭК, включено в состав программно-аппаратных средств, используемых на объекте КИИ, что в том числе подтверждается результатами осмотра рабочего места Свидетель №3, зафиксированного протоколом обследования помещений, зданий, сооружений, участков местности и транспортных средств от ДД.ММ.ГГГГ из которого следует, что на персональном компьютере Свидетель №3 обнаружены программы, имеющие организованное соединение с виртуальной машиной с операционной системой «CentOS», расположенной в ЦОД <адрес>». Согласно справки специалиста по защите информации 1 категории Свидетель №3, участвующего в обследовании рабочего места Свидетель №3, последний организовал доступ в сеть «Интернет» на ПЭВМ № ПЭВМ № и аналогичный доступ к сети «Интернет» для виртуальной машины «№», работающей на аппаратных возможностях серверов предприятия, входящих в центр обработки данных предприятия, включенного ФСТЭК России в реестр значимых объектов КИИ РФ (том 1, л.д. 204-210).

Согласно письму ФСТЭК России (исх. №дсп от ДД.ММ.ГГГГ «О рассмотрении материалов по объектам КИИ»), исследованному в судебном заседании, представленные на основании письма <адрес>» от ДД.ММ.ГГГГ №, сведения о присвоении 7 объектам критической информационной инфраструктуры категории значимости внесены в реестр значимых объектов критической информационной инфраструктуры РФ, в соответствии с приложенным списком: ЦОД (регистрационный №/В от ДД.ММ.ГГГГ). На основании указанного письма <адрес> <адрес>» объекты критической информационной инфраструктуры за регистрационными номерами № из реестра значимых объектов критической информационной инфраструктуры РФ исключены.

При этом, как следует из приложения к указанному выше письму «информация о внесении сведений о присвоении объектам критической информационной инфраструктуры категории значимости в реестр значимых объектов критической информационной инфраструктуры Российской Федерации», ЦОД указан в качестве одного из 7 объектов, отнесенных к КИИ, без разграничения на отдельные сегменты, что также прямо свидетельствует о том, что оборудование всех 4 сегментов ЦОД (старого и нового) представляет собой единую систему и, соответственно, в случае подключения посредством канала, созданного в сети «Интернет», к ИВС <адрес>», возможно проникновение сторонних пользователей ко всем 4 площадкам ЦОД предприятия, то есть в периметр объектов КИИ РФ, что создает угрозу для информации предприятия.

Таким образом, объективно установлено, что обозначения «новый» и «старый» ЦОД являются условными, в то время как на предприятии в инкриминируемый подсудимому период, фактически действовал единый центр обработки данных, который обеспечивает функционирование корпоративных информационных систем (серверное оборудование, системы хранения данных, прикладное программное обеспечение информационных систем) <адрес>».

В связи с изложенным, учитывая, что модернизация ЦОДа в период с 2018-2020 гг. являлась, по сути, добавлением нового оборудования в состав уже работающего на предприятии ЦОД, в то время как согласно представленным доказательствам, в том числе сведениям ФСТЭК России, категория значимости присвоена центру обработки данных <адрес>», в целом, суд приходит к выводу о том, что все оборудование, функционирующее в единой закрытой сети предприятия - ЦОД, входит в состав объектов КИИ РФ.

Доводы подсудимого относительно того, что он не может утверждать о том, что был ознакомлен с информацией об отнесении оборудования ЦОД к объектам КИИ, в виду значительного объема документации на предприятии значительный, опровергаются материалами уголовного дела, в том числе ведомостью ознакомления с письмом ФСТЭК России №дсп от ДД.ММ.ГГГГ, согласно которой Есин А.Е. ознакомлен с данным письмом ДД.ММ.ГГГГ (том 1, л.д. 77).

Кроме того, как следует из показаний свидетеля Свидетель №3, являющегося непосредственным руководителем Есина А.Е., он и другие сотрудники всего отдела №, включая Есина А.Е., примерно в начале 2020 года по системе электронного документооборота были ознакомлены с тем, что на предприятии имеются объекты, отнесенные к КИИ РФ, где было указано, чем это грозит.

То обстоятельство, что акт о приемке в промышленную эксплуатацию оборудования «нового» ЦОДа был подписан лишь ДД.ММ.ГГГГ, не исключает преступность деяний Есина А.Е., поскольку как установлено судом, модернизация оборудования путем введения объектов «нового» ЦОДа началось в 2018 году в соответствии с п. 8.2 распоряжения от ДД.ММ.ГГГГ № «О модернизации ЦОД в корпусах <адрес> о адресу: <адрес>», а в 2020 году оборудование фактически уже было запущено, что подтверждается, в том числе показаниями свидетелей Свидетель №3, Свидетель №3, Свидетель №3, Свидетель №3, Свидетель №3

Согласно акту служебной проверки от ДД.ММ.ГГГГ, комиссией в составе председателя в лице первого заместителя генерального директора Свидетель №3, а также советника по информационным технологиям Свидетель №3, начальника отдела № Свидетель №3, специалиста по защите информации 1 категории Свидетель №3, проведена служебная проверка по вопросу нарушения правил доступа к информационно-вычислительной сети и центру обработки данных Общества, включенному ФСТЭК России в реестр значимых объектов КИИ РФ. В результате проведенных проверочных мероприятий установлено, что инженер - электроник отдела № Есин А.Е. по собственной инициативе, имея расширенные административные права, используя маршрутизатор MikroTik RB750, организовал доступ в сеть Интернет, тем самым нарушив требования организационно - распорядительных документов Общества в части, касающейся правил доступа к информационно-вычислительной сети Общества и центру обработки данных предприятия, являющемуся объектом КИИ РФ.

Таким образом, суд приходит к выводу, что действиями Есина А.Е. объекту КИИ РФ (ЦОД РКЦ) нанесен организационный (технологически-эксплуатационный) вред, выразившийся в нарушении безопасности доступа и эксплуатации обрабатываемой и хранящейся компьютерной информации оборонного предприятия, находящейся в КИИ РФ третьей категории значимости, в результате чего создана возможность проникновения внешних злоумышленников в периметр объектов КИИ РФ и нанесения им критического ущерба вплоть до выведения из строя, потери данных и отказа критических для функционирования предприятия процессов.

То обстоятельство, что последствий в виду «утечки» данных, поломок и простоев оборудования, проблем с доступом к ресурсам ИВС предприятия, на что указывает подсудимый и его защитник, не наступило, также не исключает преступность деяния, поскольку по смыслу закона, применительно к ст. 274.1 УК РФ, вред может носить не только материальный (физический), но и технологически-эксплуатационный характер, выразившийся в нарушении безопасности информации, обрабатываемой объектом КИИ, что имело место в данном случае и объективно подтверждено представленными суду доказательствами, приведенными в приговоре выше.

Доводы защиты о принятых Есиным А.Е. при организации канала средствах защиты от проникновения в ИВС предприятия, суд не принимает во внимание, поскольку как установлено в судебном заседании, данные средства не исключают возможность проникновения в закрытую сеть предприятия при наличии канала связи, организованного напрямую через сеть Интернет, а кроме того, согласно Положению «О порядке работы в ИВС» от ДД.ММ.ГГГГ №, установлен запрет на подключение к АРМ модемов, мобильных телефонов, средств беспроводной связи, иных средств связи и передачи данных, а также запрет на подключение АРМ с помощью вышеуказанных средств к сетям общего пользования (интернет).

Как следует из показаний свидетелей Свидетель №3, канал, организованный Есиным, выходил напрямую в сеть Интернет без средств защиты, то есть один провод подключался к сети Интернет, а другой – к сети ИВС предприятия, в которой находилось оборудование нового ЦОДа. Базовые настройки безопасности, заложенные производителем оборудования (маршрутизатора), были включены (активированы) Есиным А.Е., однако согласно Положению, регламентирующему порядок подключения к сети Интернет на РКЦ Прогресс, необходимо использовать сертифицированные средства защиты, которые имеют заключение ВСТЭК, а данное оборудование – маршрутизатор «Mikrotik» ФСТЭК не сертифицировано. Proxy-сервер – это не средство защиты, по факту proxy-сервер – это программный маршрутизатор. Межсетевые экраны, установленные на персональных компьютерах сети ИВС на момент инцидента с Есиным, были устаревшими, сертификаты были просроченными. Новые межсетевые экраны были закуплены только в 2021 году. Однако установка новых межсетевых экранов не означает, что на предприятии стало возможно подключение к сети Интернет с любого персонального компьютера. Порядок доступа к сети Интернет сохранился прежним – только через пункты доступа. На пунктах доступа в сеть Интернет не имеется какой-либо конфиденциальной информации предприятия. Межсетевые экраны предотвращают ряд атак из сети Интернет, которые направлены на «белые» адреса, то есть от внешнего атакующего лица. Однако межсетевые экраны не обеспечивают гарантии от утечки внутренней информации. В связи с тем, что Есиным был организован прямой канал доступа в сеть Интернет, то наличие межсетевых экранов в данном случае никакой защитной функции не выполняли, так как канал был организован в обход такого оборудования. В случае, если бы Есин организовал канал связи с сетью Интернет через межсетевой экран, то сотрудники, которые контролировали межсетевые экраны и сотрудники информационной безопасности сразу бы увидели подключение Есина к сети Интернет. Подключение к сети Интернет через межсетевые экраны также оформляется документально, на это должно быть получено разрешение руководства.

Кроме того, как следует из показаний свидетеля Свидетель №3, наличие защитных устройств, программных обеспечений не исключает возможность проникновения в локальную сеть извне при подключенном Интернете. Ему не известно о наличии защитных устройств на 100% исключающих проникновения извне и возможность заражения локальной сети при подключении к сети Интернет. Заражение приводит к полному контролю над рабочим местом и далее.

Сам подсудимый в судебном заседании не отрицал, что при подключении к сети Интернет имели место попытки подключения и захвата управления устройством со стороны конкретных пользователей и конкретных IP-адреса, которых он «убирал» в «черный список», пояснил, что специальный порядок пользования сетью Интернет, установленный в <адрес>», ему был известен, он подключился к сети Интернет способом, изложенным в обвинении, впервые за 10 лет работы на предприятии, применив при этом средства защиты.

Таким образом, примененные Есиным А.Е. средства и способы защиты от проникновения в сеть ИВС предприятия, на которые указывает подсудимый и его защитник - технология NАТ (базовая настройка маршрутизатора), proxy-сервер, межсетевые экраны, иные средства и способы, не обеспечивают полную защиту от проникновения сторонних пользователей в периметр объектов ЦОД и, при наличии прямого запрета на подключение к сети Интернет, в обход установленных Положением правил, не исключают преступности действий подсудимого.

При этом, суд отмечает, что доводы подсудимого относительно применения им всех известных ему технических мер (аппаратных и программных) с целью исключения возможных угроз безопасности информационно-телекоммуникационной сети предприятия, прямо свидетельствуют о том, что подсудимый осознавал, что своими действиями нарушает безопасность доступа и эксплуатации обрабатываемой и хранящейся в ЦОД информации и понимал последствия этого в виде возможности проникновения внешних злоумышленников в периметр объектов КИИ РФ.

Аналогичным образом, об осведомленности Есина А.Е. относительно возможных последствий в виде причинения вреда объектам ЦОД, относящимся к КИИ РФ, свидетельствуют его доводы о том, что устройство «Mikrotik» не работало непрерывно, а включалось им только по необходимости.

Суд считает, что поскольку факты попыток подключения и захвата управления маршрутизатором Mikrotik имели место быть, то длительность подключения устройства не имеет значения для квалификации действий подсудимого по инкриминируемому преступлению.

В силу ст. 25 УК РФ преступление признается совершенным с прямым умыслом, если лицо осознавало общественную опасность своих действий (бездействия), предвидело возможность или неизбежность наступления общественно опасных последствий и желало их наступления; с косвенным умыслом - в случае, если лицо осознавало общественную опасность своих действий (бездействия), предвидело возможность наступления общественно опасных последствий, не желало, но сознательно допускало эти последствия либо относилось к ним безразлично.

Как установлено судом, Есин А.Н. нарушая правила эксплуатации информационно-телекоммуникационных сетей, а также правила доступа к информационно-телекоммуникационным сетям, будучи квалифицированным специалистом в области информационных технологий, являясь сетевым администратором, будучи осведомленным о правилах работы в ИВС предприятия и установленных запретах, а также об отнесении объектов ЦОД предприятия к КИИ РФ, осознавал общественную опасность своих действий, предвидел возможность наступления общественно опасных последствий в виде причинения вреда, выразившегося в нарушении безопасности доступа и эксплуатации обрабатываемой и хранящейся компьютерной информации оборонного предприятия, находящейся в КИИ РФ, создании возможности проникновения внешних злоумышленников в периметр объектов КИИ РФ и нанесения им критического ущерба вплоть до выведения из строя, потери данных и отказа критических для функционирования предприятия процессов, то есть создании угрозы наступления тяжких последствий для ИВС и технологических процессов завода, в том числе срыва сроков исполнения государственного оборонного заказа, не желал, но сознательно допускал эти последствия.

О наступлении указанных последствий объективно свидетельствуют материалы уголовного дела, в том числе из справки специалиста по защите информации 1 категории Свидетель №3, следует, что установлен факт удаленного подключения к ПЭВМ 2887-58, установленного на рабочем месте Есина А.Е., подключение производилось с маршрутизатора Mikrotik, расположенного дома у Свидетель №3, последний ежедневно подключался с рабочего ПВЭМ 2887-58 к нескольким ПЭВМ, расположенным в домашней сети для проведения переписки с неизвестным лицом по имени Елена. Начиная с ДД.ММ.ГГГГ возникли попытки подключения к SSNP серверу и попытки перехвата управления маршрутизатора Mikrotik, расположенного на территории <адрес>» с адресов сети интернет, принадлежащим неизвестным лицам за границей РФ. Установлены следующие адреса, с которых производились подключения: №. Данные обстоятельства зафиксированным также в протоколе обследования помещений, зданий, сооружений, участков местности и транспортных средств от ДД.ММ.ГГГГ, согласно которому в ходе осмотра персонального компьютера Есина А.Е. выявлено, что среди интерфейсов видны частные виртуальные сети с №, в строке правил обнаружены IP-адреса, доступ которых запрещен к данному маршрутизатору из сети Интернет (том 1, л.д. 35-43, 204-210).

Указанные обстоятельства не отрицал и сам подсудимый, пояснив в судебном заседании, что переписку с женой Свидетель №3 со своего персонального компьютера, установленного на рабочем месте, действительно осуществлял, но исключительно для тестирования маршрутизатора, также уточнив, что «Mikrotik» находился в режиме ожидания около недели и за это время было несколько нелегальных попыток подключения извне, поскольку возможности логирования «Mikrotik» позволяют увидеть конкретных пользователей и конкретные IP-адреса, с которых предпринимались попытки подключения и захвата управления устройством, то он данные события убирал и создал «черный список», после чего «Mikrotik» их больше не обрабатывал.

Таким образом, суд полагает, что инкриминируемый подсудимому признак создания угрозы наступления тяжких последствий объективно подтвержден, поскольку создание канала доступа в ИТКС «Интернет» при обстоятельствах, изложенных в приговоре выше, повлекли попытки перехвата управления маршрутизатора «Mikrotik», расположенного на территории <адрес> и подключенного к ИВС предприятия, выражающиеся в попытках подключения иностранных IP-адресов, принадлежащих неизвестным лицам за границей Российской Федерации, что в совокупности с доказательствами, изложенными в приговоре выше, свидетельствует о реальности такой угрозы.

Суд не принимает во внимание доводы подсудимого относительного того, что по роду деятельности, ему, как системному администратору необходимо подключать и тестировать различное программное обеспечение и оборудование, поскольку Есину А.Е. вменяется не само по себе установление программного обеспечения и оборудования, а совокупность действий, повлекших нарушение установленного на предприятии порядка работы в закрытой ИВС <адрес>», в состав которой входит оборудование ЦОД, отнесенное к КИИ РФ.

Доводы защиты в части того, что Есин А.Е. выполнял инкриминируемые ему действия в рамках задания, полученного от вышестоящего руководства, также не исключают преступность деяния, поскольку как установлено в судебном заседании, избранный подсудимым способ исполнения задания по установке программного обеспечения путем выхода в сеть Интернет «напрямую», в обход установленных на предприятии правил, был определен им самостоятельно и не был обусловлен служебной зависимостью либо крайней необходимостью.

При этом, как установлено в судебном заседании, об установленных на предприятии правилах доступа в сеть Интернет через отдельные, организованные на предприятии пункты доступа, Есин А.Е. был осведомлен, что в том числе подтверждается его функциональными обязанностями администратора сети, наличием у него учетной записи в пунктах доступа и не оспаривается подсудимым.

Аналогичным образом, суд отвергает доводы подсудимого относительно экономии в результате его действий средств предприятия в части расходов на оплату услуг связи <адрес> и закупку программного обеспечения «Сisco ACS», поскольку данные обстоятельства не исключают состав инкриминируемого Есину А.Е. деяния, но могут быть учтены судом при назначении наказания.

Доводы подсудимого относительно неправомерных действий сотрудников отдела 2988, со стороны которых также имеют место нарушения Положения об ИВС предприятия, суд не принимает во внимание, поскольку в соответствии с требованиями ст. 252 УПК РФ, судебное разбирательство проводится только в отношении обвиняемого и лишь по предъявленному ему обвинению.

Относительно инкриминируемого Есину А.Е. квалифицирующего признака «лицом с использованием своего служебного положения», то суд приходит к следующему выводу.

По смыслу закона, под лицами, использующими свое служебное положение, в ч. 4 ст. 274.1 УК РФ следует понимать лиц, осуществляющих организационно-распорядительные или административно-хозяйственные обязанности в организации, иных лиц.

Организационно-распорядительные функции заключаются в осуществлении руководства, в том числе относительно расстановки и подбора кадров, организации и контроле труда подчиненных, поддержании дисциплины, применения мер поощрения и наложения дисциплинарных взысканий. В организации признаками такого лица могут обладать руководители организации или ее подразделений и работники, уполномоченные на решение задач по информационной безопасности, а также иные лица, выполняющие на основании гражданско-правовых договоров задачи по обеспечению безопасности КИИ.

К административно-хозяйственным функциям могут быть, в частности, отнесены полномочия по управлению и распоряжению имуществом и денежными средствами, находящимися на балансе и банковских счетах организаций и учреждений, а также совершение иных действий: принятие решений о начислении заработной платы, премий, осуществление контроля за движением материальных ценностей, определение порядка их хранения и т.п.

    При этом, по смыслу закона, для квалификации деяния с использованием служебного положения, юридическое значение имеет использование этих полномочий при совершении преступления.

Как следует из описания деяния, изложенного в обвинении и в обвинительном заключении, Есин А.Е. совершил нарушение правил эксплуатации информационно-телекоммуникационных сетей, относящихся к критической информационной инфраструктуре РФ, а также нарушение правил доступа к информационно-телекоммуникационным сетям.

Между тем, использование для совершения преступления организационно- распорядительных функций, связанных с осуществлением руководства, Есину А.Е., согласно предъявленному обвинению, не вменялось и, исходя из материалов дела, он таковыми полномочиями наделен не был, а административно-хозяйственные функции, которые бы подсудимый использовал с целью совершения инкриминируемого ему деяния, в обвинении не приведены. Само по себе наличие у Есина А.Е. полномочий администратора ИВС, а также перечисление в обвинении должностных обязанностей Есина А.Е., предусмотренных п.п. 1.6, 2.1-2.12 должностной инструкции № от ДД.ММ.ГГГГ, не свидетельствует о совершении преступления с использованием служебного положения. При этом, Есин А.Е., как установлено судом, являлся сотрудником бюро эксплуатации сетевой инфраструктуры предприятия, к функциональным обязанностям которого, согласно Положению об ИВС и инфраструктуры (отдел 2887), утвержденного ДД.ММ.ГГГГ, отнесены настройка сетевой инфраструктуры предприятия; поддержание оборудования ЛВС предприятия в рабочем состоянии; мониторинг предприятия; разработка положений по модернизации ЛВС на предприятии. Соответственно, по своим должностным обязанностям Есин А.Е. не являлся лицом, уполномоченным на решение задач по информационной безопасности, в том числе задач по обеспечению безопасности КИИ. Согласно указанному выше Положению от ДД.ММ.ГГГГ решение таких задач возложено на сотрудников иного структурного подразделения отдела 2887 - бюро информационной безопасности и Интернет технологий.

При таких обстоятельствах квалифицирующий признак совершения преступления «лицом с использованием служебного положения» подлежит исключению.

Кроме того, согласно предъявленному Есину А.Е. обвинению, подсудимому инкриминировано нанесение <адрес>» материального ущерба на сумму 531 072 руб.

Как следует из показаний представителя потерпевшего Свидетель №3 и иных материалов дела, исследованных судом, указанная сумма имущественного ущерба складывается из стоимости определенного этапа работ - установления и анализа схемы несанкционированного удаленного доступа и проникновения извне в ИВС и ЦОД <адрес>», выполненного сотрудниками <адрес> в рамках заключенного договора от ДД.ММ.ГГГГ №, определенного в размере 370 000 рублей, а также из стоимости затраченных трудовых ресурсов сотрудников <адрес>», которые были отвлечены от своей непосредственной работы - 61 072 руб.

При этом, как установлено судом, сотрудники <адрес>», занятые в проведении проверки по факту допущенных Есиным А.Е. нарушений – Свидетель №3, Свидетель №3, сверхурочно не работали, в период проведении проверки получали заработную плату в обычном размере, каких-либо доплат не получали, при этом участие в проверке в составе комиссии, созданной приказом генерального директора <адрес>» от ДД.ММ.ГГГГ №, входило в их служебные обязанности.

Как установлено в судебном заседании, решение о заключении данного договора со сторонней организацией - <адрес>» было принято руководством предприятия уже после произошедших событий и обусловлено тем обстоятельством, что ресурсов <адрес>» оказалось недостаточно для выполнения указанных работ, в том числе в виду отсутствия специалистов соответствующей квалификации.

Таким образом, поскольку объективно установлено, что расходы, понесенные <адрес>» в рамках заключенного с <адрес>» договора и расходы на выплату заработной платы сотрудникам предприятия, задействованным в проведении проверки, в прямой причинно-следственной связи с инкриминируемым подсудимому деянием не состоят, суд полагает необходимым исключить из объема предъявленного Есину А.Е. обвинения указание о нанесении им материального ущерба предприятию в сумме 531 072 руб.

Таким образом, действия Есина А.Е. суд квалифицирует как оконченное преступление по ч. 3 ст. 374.1 УК РФ как нарушение правил эксплуатации информационно-телекоммуникационных сетей, относящихся к критической информационной инфраструктуре Российской Федерации, а также нарушение правил доступа к информационно-телекоммуникационным сетям, что повлекло причинение вреда критической информационной инфраструктуре Российской Федерации.

При этом, изложенная судом в приговоре формулировка обвинения, в том числе в части уточнения субъективной стороны преступления в виде косвенного умысла по отношению к последствиям деяния в виде вреда, выразившегося в нарушении безопасности доступа и эксплуатации обрабатываемой и хранящейся компьютерной информации оборонного предприятия, находящейся в КИИ РФ, создании возможности проникновения внешних злоумышленников в периметр объектов КИИ РФ и нанесения им критического ущерба вплоть до выведения из строя, потери данных и отказа критических для функционирования предприятия процессов, то есть создании угрозы наступления тяжких последствий для ИВС и технологических процессов завода, в том числе срыва сроков исполнения государственного оборонного заказа, не свидетельствует об изменении или увеличении предъявленного Есину А.Е. обвинения, не указывает на то, что оно существенно отличается от ранее предъявленного и не влечет нарушение положений ст. 252 УПК РФ, поскольку преступление с косвенным умыслом при прочих равных условиях менее общественно опасно, чем совершенное с прямым умыслом, в связи с чем изменение вида умысла с прямого на косвенный не ухудшило положение подсудимого и не повлекло нарушение его права на защиту.

Изменение объема обвинения, предъявленного подсудимому в части исключения признака «лицом с использованием своего служебного положения», а также исключения указания о причинении материального ущерба в сумме 531 072 руб., также не ухудшает его положения, не порождает каких-либо сомнений в причастности подсудимого к инкриминируемому деянию и не дает оснований для признания за подсудимым права на реабилитацию, поскольку совершенные им действия не утратили признаков преступления, им дана иная юридическая оценка.

При назначении Есину А.Е. наказания суд учитывает требования ст.ст. 6,43 и 60 УК РФ о том, что наказание применяется в целях восстановления социальной справедливости, а также исправления подсудимого и предупреждения совершения новых преступлений, при назначении наказания учитываются характер и степень общественной опасности преступлений, личность виновного, а также влияние назначенного наказания на исправление подсудимого и условия жизни его семьи.

Подсудимый Есин А.Е. имеет постоянное место жительства и регистрации, работает официально, на учете у врачей нарколога и психиатра не состоит (том 3, л.д. 55,59).

Смягчающими наказание подсудимого обстоятельствами суд признает, в соответствии с п.п. «г,и» ч. 1 ст. 61 УК РФ – наличие малолетнего ребенка; активное способствование раскрытию и расследованию преступления, выразившемуся в даче признательных, изобличающих себя показаний относительно обстоятельств организации канала доступа в ИТКС «Интернет» и установки программного обеспечения «free-RADIUS» на АРМ, неизвестных правоохранительных органам, а в соответствии с ч. 2 ст. 61 УК РФ – молодой возраст подсудимого, совершение преступления впервые, частичное признание вины, чистосердечное признание, в качестве которого суд признает пояснения подсудимого, данные им в ходе опроса от ДД.ММ.ГГГГ (том 1, л.д. 38-40), положительные характеристики, состояние здоровья подсудимого, страдающего хроническим заболеванием, состояние здоровья супруги, в том числе последствия перенесенной травмы конечности и ее нахождение в декретном отпуске по уходу за ребенком до полутора лет, оказание помощи родителям пенсионерам.

Суд не усматривает оснований для признания в качестве смягчающего наказание обстоятельства, предусмотренного п. «е» ст. 61 УК РФ, поскольку по смыслу закона совершение преступления в силу служебной зависимости, может считаться обстоятельством, смягчающим наказание, только в том случае, когда судом такая зависимость или принуждение будут признаны имевшими место реально. При этом, снижение степени общественной опасности деяния и лица, его совершившего, обусловливается не формальной зависимостью самой по себе, а тем, что действия принуждаемого лица являются вынужденными, поскольку его воля существенно подавляется неправомерными действиями иных лиц. Как установлено в судебном заседании, непосредственным руководителем Есина А.Е. являлся Свидетель №3, который поручил Есину А.Е. установить программное обеспечение «free-RADIUS», что подсудимым было выполнено, однако относительно способа выполнения данного задания Есин А.Е. в известность руководство не ставил, указаний относительно выполнения поручения именно таким способом, то есть в обход установленных на предприятии правил пользования сетью Интернет, Есину А.Е. никто не давал. Каких-либо доказательств того, что Есин А.Е. действовал под принуждением, а сами его действия являлись вынужденными, суду не представлено, а выбор способа решения поставленной перед ним задачи исходя из удобства ее реализации, на что указывает подсудимый, об этом не свидетельствует.

Суд также не усматривает оснований для признания в качестве смягчающего наказание обстоятельства, предусмотренного п. «ж» ч. 1 ст. 61 УК РФ, - совершение преступления при нарушении условий правомерности крайней необходимости, исполнения приказа или распоряжения, поскольку действия Есина А.Е. не были результатом исполнения чьего-либо незаконного приказа или распоряжения и не были совершены в силу крайней необходимости. Как установлено судом и не оспаривалось самим подсудимым, способ выполнения поставленной перед ним задачи по установке программного обеспечения «Freeradius» был выбран им самостоятельно как наиболее, по его мнению, оптимальный, с большей долей вероятности гарантирующий достижение поставленной цели. Каких-либо оснований полагать, что действия подсудимого были обусловлены крайней необходимостью не имеется.

Ни о каких иных, имеющих значение для назначения наказания обстоятельствах, которые должны быть признаны смягчающими на основании ч.ч. 1,2 ст. 61 УК РФ, подсудимый суду не сообщил, и учесть их в качестве смягчающих не просил.

Отягчающих наказание Есина А.Е. обстоятельств судом не установлено.

С учетом данных о личности Есина А.Е., обстоятельств совершения преступления, суд считает необходимым назначить ему наказание в виде лишения свободы, полагая, что только указанный вид наказания будет способствовать восстановлению социальной справедливости, а также исправлению подсудимого и послужит предупреждением совершению новых преступлений.

Вместе с тем, с учетом характера и степени общественной опасности преступления, наличия совокупности смягчающих наказание обстоятельств и отсутствие отягчающих наказание обстоятельств, а также наличия у подсудимого постоянного места жительства и работы, принимая во внимание положения ч. 3 ст. 60, ч. 2 ст. 73 УК РФ, суд полагает возможным исправление Есина А.Е. в условиях, не связанных с реальной изоляцией от общества, исходя из чего, при назначении наказания применяет положения ст. 73 УК РФ. Оснований для применения положений ст.ст. 53.1,80.1 УК РФ, с учетом общественной опасности совершенного деяния и личности подсудимого, судом не установлено.    

В связи с наличием смягчающего наказание обстоятельства, предусмотренного п. «и» ч. 1 ст. 61 УК РФ, при отсутствии отягчающих наказание обстоятельств, суд при назначении наказания применяет правила, предусмотренные ч. 1 ст. 62 УК РФ, согласно которым размер наказания не может превышать двух третей максимального срока или размера наиболее строгого вида наказания, предусмотренного соответствующей статьей Особенной части Уголовного кодекса РФ.

Учитывая фактические обстоятельства и степень общественной опасности содеянного, суд не усматривает оснований для изменения категории преступления на менее тяжкую в соответствии с ч. 6 ст. 15 УК РФ.

Судом установлено, что Есин А.Е. частично признал вину, фактические обстоятельства инкриминируемого деяния не оспаривал, активно способствовал раскрытию и расследованию преступления, имеет на иждивении малолетнего ребенка и супругу, находящуюся в декретном отпуске. Указанные обстоятельства, вкупе с мотивом и целью совершения противоправного деяния – желанием выполнить задание руководства по развертыванию сервиса, ограничивающего несанкционированный доступ к информационно-вычислительной сети предприятия, а также экономии средств предприятия, и с учетом иных данных о личности подсудимого, который характеризуется положительно, трудоустроен, существенно уменьшают степень его общественной опасности, а, следовательно, являются исключительными, в связи с чем суд считает возможным применить положения ч. 1 ст. 64 УК РФ, и не назначать предусмотренное в качестве обязательного дополнительное наказание в виде лишения права занимать определенные должности или заниматься определенной деятельностью.

Гражданский иск по делу не заявлен.

Судьбу вещественных доказательств – <данные изъяты>, материалы оперативно-розыскной деятельности, документы, составленные в рамках договорных отношений между <адрес>» и <адрес>», полученные в ходе предварительного следствия, хранящихся при уголовном деле, суд, в соответствии с п. 5 ч. 3 ст. 81 УПК РФ, полагает оставить при уголовном деле в течении всего срока его хранения.

На основании изложенного, руководствуясь ст.ст. 296-299,303,304,307-310 УПК РФ, суд

ПРИГОВОРИЛ:

Признать Есина А.Е. виновным в совершении преступления, предусмотренного ч. 3 ст. 274.1 УК РФ, и назначить ему наказание в виде лишения свободы сроком в 1 (один) год 6 (шесть) месяцев, с применением ч. 1 ст. 64 УК РФ, без лишения права занимать определенные должности или заниматься определенной деятельностью.

На основании ст. 73 УК РФ назначенное Есину А.Е. наказание считать условным с испытательным сроком в 7 (семь) месяцев, в течение которого условно осужденный должен своим поведением доказать свое исправление.

Обязать Есина А.Е. не менять постоянного места жительства без уведомления специализированного государственного органа, осуществляющего контроль за поведением условно осужденных.

Меру пресечения в отношении Есина А.Е. до вступления приговора в законную силу – подписку о невыезде и надлежащем поведении – оставить без изменения.

Вещественные доказательства по вступлению приговора в законную силу: персональный компьютер <данные изъяты>, материалы оперативно-розыскной деятельности, документы, составленные в рамках договорных отношений между <адрес>» и <адрес>», полученные в ходе предварительного следствия, хранящихся при уголовном деле, оставить при уголовном деле в течении всего срока его хранения.

Приговор может быть обжалован в апелляционном порядке в судебную коллегию по уголовным делам Самарского областного суда в течение 15 суток со дня провозглашения через Кировский районный суд города Самары. В случае подачи апелляционной жалобы осужденный и представитель потерпевшего вправе ходатайствовать в ней, а также в возражениях, поданных на жалобы, принесенные иными участниками процесса, о своем участии в рассмотрении уголовного дела судом апелляционной инстанции.

Судья О.А. Ерух