Опасная профессия - Валерий Комаров

Он показал, что вредоносная программа «…» осуществляла попытку доступа к информационным ресурсам, а так же к защищаемой компьютерной информации, которая содержится на различных интернет-ресурсах, при этом он не исключал, что на различных ip-адресах, к которым он пытался получить доступ, могут содержаться как объекты, так и субъекты критической информационной инфраструктуры Российской Федерации. Также пояснил, что ip-адреса: №№ ему знакомы, поскольку являлись объектами совершенных им компьютерных атак. Данные ip-адреса получил после того, как в 2022 году в поисковике интернет — браузера вбил ip — диапазоны, после чего скопировал выбранный им ip диапазон и вставил в поле программы «…».

Далее, он собственноручно запустил программу «…». В процессе работы, данная программа начала сканировать ip-диапазоны, среди которых находились ip-адрес: №№ В процессе сканирования указанных ip-адресов, программа осуществляла попытку подбора аутентификационных данных (логин и пароль) по встроенным в ней списком логинов и паролей, но безуспешно. Кроме того показал, что он не исключал, что ip-адреса: №№, могут быть объектом либо субъектом критической информационной инфраструктурой Российской Федерации, но его это не остановило и в конечном итоге результат работы программы „…“ в отношении ip-адресов: №, был безуспешен, в случае успешного доступа (компьютерной атаки) к вышеуказанному ресурсу, он бы имел возможность, в том числе модифицировать, блокировать или копировать какую-либо информацию, хранящуюся на них»

(Приговор от 14.11.2024 №1—534/2024)

Машина виртуальная, а срок условный

Специалист ИТ получил задачу от своего руководителя, но не учел, что произошли изменения в статусе обслуживаемой им информационной инфраструктуры (стала объектом КИИ). Выполнил задачу как обычно. К качеству выполненной работы претензий нет, а уголовная ответственность есть. И предпринятые меры по защите информации в ходе выполнения рабочей задачи поставлены в вину самому работнику!

«Согласно рапорту об обнаружении признаков преступления от ДД. ММ. ГГГГ, в результате осуществления комплекса оперативно-розыскных мероприятий получены материалы, из которых следует, что инженер — электроник отдела информационно-телекоммуникационных сетей и инфраструктуры <адрес>» А.Е., с целью доступа в ИТКС «Интернет», в нарушении правил эксплуатации информационно-вычислительной сети предприятия, установленных положением «О порядке работы в ИВС» от ДД. ММ. ГГГГ №, осуществил несанкционированную установку в ИВС предприятия маршрутизатора «Mikrotik», а также его подключение и настройку для выхода в Интернет, после чего, находясь на рабочем месте, модифицировал сетевые настройки виртуального рабочего места «CentOS8-CA-RADIUS» (изменил сетевые настройки интернет — браузера Mozilla Firefox, в которые внес proxy-сервер с ip-адресом ДД. ММ. ГГГГ.5, одновременно внеся разрешающее правило для данного адреса на Mikrotik), тем самым организовал связь виртуальной машины и маршрутизатора «Mikrotik» и подключил виртуальную машину к ИТКС «Интернет», создав несанкционированный неконтролируемый канал доступа объекта КИИ РФ (ЦОД предприятия) к ИТКС «Интернет»

В 2021 году проводилась проверка в отношении инженера — электроника А.Е. на основании сведений ФСБ об организации им канала доступа в ИВС предприятия, в одной из виртуальных машин, располагающейся в системе, относящейся к КИИ. Было нарушено Положение об ИВС предприятия и должностная инструкция в части безопасности информации. Когда он работал в составе комиссии по проверки данного инцидента, то поднимали указанные документы и установили, что А.Е. с Положением об ИВС предприятия и своей должностной инструкцией был ознакомлен. Было также установлено, что он допустил изменение технических средств ИВС, а также создал дополнительный канал связи, самовольно переустановил программное обеспечение.

В частности, была создана виртуальная машина на серверах, находящихся в ЦОДе, входящем в состав КИИ. А.Е. действовал в служебных целях по указанию его начальника для установления программного обеспечения на оборудовании, входящем в состав ЦОД, однако для удобства скачивания и обновления программного обеспечения на указанное оборудование, относящееся к КИИ, А.Е. создал канал связи в сети Интернет, чем был причинен ущерб КИИ.

Прямого вреда не было, то есть никакое оборудование из строя не вышло, проникновения в сеть ИВС из вне не было, но создание канала связи создало угрозу такого проникновения. На предприятии имеется официальный способ доступа к сети Интернет — посредством переноса программного обеспечения через внешний носитель, что регламентировано отдельными документами предприятия, таким способом пользуется большинство сотрудников. То есть в <адрес> практически в каждом отделе имеются пункты доступа к сети Интернет в виде отдельных компьютеров, посредством которых можно выйти в сеть Интернет, скачать оттуда информацию, в том числе программное обеспечение путем переноса на отдельный съемный носитель. Однако А. Е. подключился к сети Интернет напрямую посредством подключения и настройки Mikrotik

Под словом «инцидент», употребляемым им в пояснениях относительно А.Е. он подразумевал то, что в отношении А.Е. проводилась проверка по поводу подключения им виртуальной машины к сети Интернет. Ранее виртуальные машины к сети Интернет подключали, но это было до КИИ, то есть до начала 2020 года, точную дату назвать не может. В таком случае, то есть подключения к сети Интернет до 2020 года, за это было наказание в виде замечания, даже выговор не объявлялся. После внесения объектов в КИИ, случай подключения к сети Интернет А. Е. был первым.

В обязанности А.Е.. входила установка и настройка сетевого оборудования, поддержка пользователей, подключение рабочих мест к автоматизированной системе предприятия, работа с серверами — мониторинга, доступа и других, их конфигурирование. К ним в бюро поступило письмо из Роскосмоса с требованием усиления безопасности, в связи с чем он получил задание от руководства решить вопрос с контролем доступа к сети предприятия. У них на предприятии существует сервер доступа — программное обеспечение «Сisco ACS», который может выполнять такие функции контроля. Однако данный сервис платный и его продление после 2014 года было проблемным. Кроме того, у данного сервиса был бак (дефект), который мешал в работе, что могло привести к тому, что все компьютеры пользователей не смогут подключаться к сети. В связи с этим они, зная о наличии доступного открытого программного обеспечения «Freeradius», способного осуществлять аналогичные функции контроля, то решили заменить «Сisco ACS» на «Freeradius». В связи с этим он дал А.Е. задание установить программное обеспечение «Freeradius» и попробовать его в работе, что также входило в обязанности А.Е. и он с задачей справился, установил данную программу, виртуальная машина, созданная А.Е. в настоящее время клонирована и функционирует на предприятии более года без каких-либо изменений.

С целью выполнения указанной задачи было принято решение произвести тестирование программного обеспечения «free-RADIUS». Данное программное обеспечение является свободно распространяемым и не требует лицензии на инсталляцию («open sourse»). Для контроля доступа пользователей к сети предприятия А.Е. было поручено установить и протестировать «free-RADIUS» серверы, как серверы доступа к ИВС предприятия на замену сервера-доступа «Сisco ACS», который приобретен по лицензии. Однако, в работе «Сisco ACS» имелись неполадки в работе т.н. «баги», которые указанной программой предлагалось устранить путём покупки нового лицензионного продукта по более дорогой цене. Для выполнения указанной задачи, А.Е. должен был установить сервер «free-RADIUS» и подключать к нему устройства, входящие в ИВС предприятия, после чего аутентифицировать пользователей или устройства.

Программное обеспечение «Freeradius» осуществляет контроль подключений, что обеспечивает при попытках подключения к сети идентифицировать пользователя и, в зависимости от ответа сервера, допустить пользователя к сети либо ограничить доступ. Программное обеспечение «Freeradius» и «Сisco ACS», в целом, выполняют одни функции, но каждое из них имеет свои преимущества. Проблема программного обеспечения «Сisco ACS» в том, что все обновления и поддержка платные, причем по стоимости изначальной закупки самого программного обеспечения, стоимость на момент приобретения (примерно в 2012—2014 гг.) «Сisco ACS» составляла порядка 7 000 долларов. Покупка обновления и поддержки «Сisco ACS» после 2014 года стала проблемной из-за санкций. Установка «Freeradius» непосредственно из сети Интернет из официального репозитория, путем введения команды безопасно, поскольку производятся с применением публичного ключа шифрования, что позволяет убедиться, что скачанная программа из официального репозитория и аутенцифитировать репозиторий.

То есть А.Е..в ходе выполнения порученных ему задач был нарушен периметр ИВС, а именно осуществлен удаленный доступ к периметру предприятия из дома.

Со слов А.Е.. следовало, что перед ним была поставлена задача, а как ее выполнить ему не сказали, поэтому он ее выполнял так, как сам решил.

Было установлено, что имело место неправомерное подключение