сисадмин поставил под угрозу оборонное предприятие

Сисадмин оборонного предприятия получил условный срок за использование бесплатного ПО



В Кировском районном суде Самары вынесен приговор администратору информационной безопасности одного из предприятий Роскосмоса, обвиняемому в нарушении правил работы с информационными ресурсами, поставив под угрозу безопасность центра обработки данных оборонного предприятия. Суд признал его виновным по части 1 статьи 272 УК РФ (неправомерный доступ к компьютерной информации) и назначил ему полтора года условно с испытательным сроком два года.

По данным следствия, в 2022 году обвиняемый, будучи администратором информационной безопасности на предприятии, подключил свой рабочий компьютер к интернету и скачал из открытых источников программное обеспечение FreeRADIUS, которое он установил на сервере системы контроля доступа Cisco Secure ACS. Эта система была использована для организации безопасного доступа к информационным ресурсам предприятия, в том числе к объектам критической информационной инфраструктуры (КИИ).

Следствие считает, что таким образом обвиняемый нарушил правила работы с информационными ресурсами, поставив под угрозу безопасность центра обработки данных оборонного предприятия. По версии ФСБ, он мог дать возможность злоумышленникам получить доступ к конфиденциальной информации или провести атаку на сервер.

Обвиняемый не признает свою вину и утверждает, что он действовал в интересах работодателя, так как система Cisco Secure ACS была устаревшей и дорогостоящей в обслуживании. Он заявляет, что он сэкономил предприятию почти 2,5 миллиона рублей за лицензию и поддержку программного обеспечения. Он также уверяет, что он предпринял все необходимые меры безопасности при подключении к интернету и использовании бесплатного ПО.

Суд не учел эти доводы и основался на показаниях свидетелей, в том числе начальника обвиняемого, который дал ему задание найти замену системе Cisco Secure ACS. Суд также принял во внимание заключения экспертов, которые подтвердили наличие угрозы для безопасности информационных ресурсов предприятия.


[censored]

какой упорный:

В целях реализации своего преступного умысла, Есин А.Е., в августе 2020 года, находясь на рабочем месте, расположенном по адресу: <адрес>, являясь администратором ИВС, действуя умышленно, в обход установленных на предприятии указанных выше правил, забрав находящееся в помещении корпуса 6Б предприятия устройство – маршрутизатор «<данные изъяты>», модель «<данные изъяты>», серийный номер № (далее – маршрутизатор), который в нарушение Положения подключил к ИВС предприятия путем физического соединения в шкафу коммутации, расположенном в кабинете № по вышеуказанному адресу, после чего осуществил настройку маршрутизатора при помощи специального программного обеспечения «WinBox», которое при неустановленных обстоятельствах установил на свое АРМ, назначив маршрутизатору статический ip-адрес № из перечня арендуемых <адрес> у оператора связи <адрес> и ip-адрес № ИВС предприятия, тем самым нарушив правила эксплуатации информационно-телекоммуникационных сетей и правила доступа к информационно-телекоммуникационным сетям.

В результате вышеуказанных действий Есина А.Е. с ДД.ММ.ГГГГ возникли попытки перехвата управления маршрутизатора «<данные изъяты>», подключенного к ИВС предприятия, выражающиеся в попытках подключения иностранных IP-адресов, принадлежащих неизвестным лицам за границей Российской Федерации.

В дальнейшем, не позднее ДД.ММ.ГГГГ, специалистом соответствующего отдела РКЦ, по просьбе Есина А.Е., на кластере серверов, физически расположенных в ЦОД предприятия, состоящих из однотипных серверов (хостов) №, осуществлены создание и настройка виртуального автоматизированного рабочего места «CentOS8-CA-RADIUS» (ip-адрес №

Действуя во исполнение своего преступного умысла, Есин А.Е., ДД.ММ.ГГГГ, находясь на территории РКЦ по адресу: <адрес>, корпус 6Б, используя ранее настроенное им устройство «Mikrotik» и виртуальное автоматизированное рабочее место «CentOS8-CA-RADIUS» (ip-адрес №), расположенное в ЦОД и использующее аппаратные возможности оборудования №, действуя умышленно, осознавая общественную опасность своих действий и их последствия в виде нарушения установленных правил эксплуатации информационно-телекоммуникационных сетей, относящихся к критической информационной инфраструктуре Российской Федерации, а также нарушение правил доступа к информационно-телекоммуникационным сетям, модифицировал компьютерную информацию, а именно сетевые настройки указанного виртуального рабочего места путем изменения сетевых настроек интернет-браузера «Mozilla Firefox», в которые внес proxy-сервер с ip-адресом №, одновременно внеся разрешающее правило для данного адреса на устройство «Mikrotik», в целях организации доступа в ИТКС «Интернет» в нарушение Положения. После этого, Есин А.Е., используя настроенный им, в нарушение правил доступа к информационно-телекоммуникационной сети, канал доступа в ИТКС «Интернет», осуществил загрузку с неустановленного Интернет-ресурса и установку на виртуальное автоматизированное рабочее место «CentOS8-CA-RADIUS» файлов несертифицированного программного обеспечения «free-RADIUS», предназначенного для аутентификации устройств пользователей в сети, тем самым осуществил модификацию компьютерной информации, находящейся и циркулирующей в ЦОД <адрес>, который является объектом КИИ РФ.

> Гениальный заголовок гениален

читаю дело и там как обычно: журанлист был изнасилован

Кроме того, внедрить вирус в «Linux» - это надо «очень постараться»

О том, что ЦОД получил статус объекта, отнесенного к объектам критической инфраструктуры, он узнал примерно в феврале-марте 2020 года по слухам. Вероятность того, что программа «Linux» пропустит какой-то вредоносный файл, существует, ему известный такие случаи, но у других компаний-производителей, о наличии таких случаев в «Linux» ему не известно. Кроме того, внедрить вирус в «Linux» - это надо «очень постараться»

А согласовал бы с письменным подтверждением начальства - щас бы начальство давало показания, а не он.

> Положение №, регламентирующее порядок работы администраторы было издано только ДД.ММ.ГГГГ, то есть в период инкриминируемых ему деяний, деятельность администраторов ничем не регламентировалась.

Ну то есть в контору явились искусствоведы в штатском, а там лас-вегас - никаких инструкций, положений, регламентов нет, каждый дрочит как он хочет, про аттестацию никто даже не слышал, после чего начались поиски крайнего. В соответствии с принципом "говно стекает с горки вниз" крайний естественно нашелся в самом низу горки, а непосредственно руководящий состав, которому собссно и вменяется в обязанности руководство работами по обеспечению безопасности информации, обделался легким испугом.

> Ну то есть в контору явились искусствоведы в штатском, а там лас-вегас - никаких инструкций, положений, регламентов нет, каждый дрочит как он хочет, про аттестацию никто даже не слышал, после чего начались поиски крайнего.

по делу не совсем так

читай от сюда и ниже:

Несмотря на частичное признание вины Есиным А.Е., его вина подтверждается следующими доказательствами, исследованными судом.

[censored]

> читай от сюда и ниже:

Там местами ваще понять ничего невозможно. Мало того что даты затерты (нахрена?), и что за чем идет - фиг знает, так еще свидетель №3 у них одновременно представитель предприятия в судах, директор по развитию и инженер УФСБ (0_о)

> Но не учел что этим же самым не дал начальству заработать 2 млн.

Если бы это было так, ему бы об этом тактично намекнули, что не нужен нам этот ваш фрирадиус, а нужно вот это, надо провести испытания. А в его случае было скорее всего так: "У нас горит жопа, нам надо срочно заменить систему аутентификации на сетевых устройствах в сжатые сроки. И это, у нас денег нет, так что смотри, чтоб подешевле было". В итоге он выполнил работы с нарушением инструкций и это вскрылось. А начальник виноватым быть почему-то не захотел.

> У нас горит жопа

это можно не писать, так всегда говорят

но опытный человек знает - это пиздешь

> Стало быть замену предполагалось установить посредством божественной связи, а не из интернетов скачать?

возможно я ошибаюсь, но можно принести начальнику приказ о работе на критически важной инфраструктуре и на примере нескольких вариантов объяснить как исполнение его приказа может нарушить приказ и все поедут в ГУЛАГ

> Пиздеж, не пиздеж, но когда тебя ебет вся вертикаль власти, включая региональное начальство и контролирующие органы - в это веришь!

кстати, в такой ситуации был и там никто не говорил "надо было вчера"

там было "да ебана в рот, нас всех уволят, если не сделаем" , "щас секретарша принесет ведро валидола и пойдем на ковер" , "хорошо бы не посадили"

> Ну, вот не пойму, что ему мешало скачать свежий реп дома, подключить его на работе и спокойно ставить обновы со скачанного репа, с современными скоростями это займёт немного. А главное никаких выходов на вражеский ресурс с рабочей машины.

В таком случае поменяется только формулировка в обвинительном заключении со "скачал из интернета" на "установил из постороннего носителя". Есть факт установки левого ПО на объекте КИИ от этого дальше и пляшут.

> Дали задание найти замену циске. Стало быть замену предполагалось установить посредством божественной связи, а не из интернетов скачать?
> Очевидные вещи, как он не догадался сразу.

не, тут, очевидно, админ был или перфекционист, и хотел именно свежие версии линуксовых пакетов внутрь защищенной сети протащить, или ленивый/некомпетентный, и не смог нужные пакеты залить отдельно, перетаскивая их на флешке. Действия сисадмина не одобряю.

Действия его начальства, которое не понесло заслуженного уголовного наказания, считаю должны быть разобраны более строго. Ведь любые действия на столь критичной инфраструктуре должны проходить по утвержденным план-графикам, в которых все изменения должны быть расписаны и согласованы со всеми заинтересованными лицами. И я это не про гос-конторы, я про бизнес чуть выше среднего, в согласовании изменений в котором я участвовал. А тут, очевидно, бардак. И интернет в закрытый контур протащили незаметно и несколько систем подняли - гнать таких руководителей из ИТ поганой метлой.

>значит есть правила доставки дистрибутива

> и если им следовать,то все было бы нормально. Но года два на согласования

Ну так то да. Я вот например, обновление прошивки на сервере с согласовывал с головной организацией в том числе и с ИБ 3 месяца. Зато жопа прикрыта бумажками.

> Кстати, об этом в постановлении суда упоминается, но как-то подзабивается на это болт. "Надо бы конечно, но раз нет, чего уж тут говорить..."

Система умеет прощать. Но, не всех. Это стоит иметь ввиду когда тебя вписывают в блудняк.

> а кого вместо них?

вместо них - вчерашних сисадминов, конечно. У нас тут недавно одного такого поперли - коммуникации стали лучше (один испорченный телефон отключили), эффективность не упала. Очень печально, когда дипломированный универсальный менеджер приходит в ИТ (да и не только туда).

> У нас тут недавно одного такого поперли - коммуникации стали лучше (один испорченный телефон отключили), эффективность не упала

погоди

т.е. у вас был начальник, при котором полная фигня. Ну раз его поперли, значит фигня творилась

и его заменили

и эффективность не упала. Но возросла ли?

> Неа. Тогда бы была не условка, а общий режим. Обоим. "Группой лиц, по предварительному сговору.."

Не было бы там никакого сговора. Сисадмин непосредственный подчинённый руководителя, получает задачу в рамках своей ДИ. Дальше вопрос - был ли сисадмин ознакомлен с тем что можно и чего нельзя делать/ставить, чем именно это можно/нельзя регламентируется - ВНД предприятия, законом, распоряжениями профильных ведомств и т.д. Осознавал ли опасность, был ли умысел и всякое такое.
Да и группы лиц бы не было.
С каждым бы разбирались отдельно и в рамках своего состава.

> Дали задание найти замену циске. Стало быть замену предполагалось установить посредством божественной связи, а не из интернетов скачать?
> Очевидные вещи, как он не догадался сразу.

Обычно для этого есть либо внутренний репозиторий организации, где все скрепно и по фен-шую, либо доступ в веб через строго регламентированный канал, с отдельными виртуалками. Подключать напрямую свой комп к вебу - это надо сильно прям переехать на гос харчи.

Айтишники который считают NAT секюр фичей могут сразу пройти нахуй я считаю.

> выступать обвинителем в суде над ним

Где написано, что он обвинитель?

Суд не учел эти доводы и основался на показаниях свидетелей, в том числе начальника обвиняемого, который дал ему задание найти замену системе Cisco Secure ACS.

Ну у нас нет "свидетеля обвинения", поэтому я его назвал обвинителем.

> не хотел скачивать дистрибутив на флешке и ставить с неё

За это его тоже бы натянули. В этом процессе все выглядит так, как будто люди с зарплатами 300 200 и 150 тысяч все свалили на паренька с окладом 25 тыс и довольны.