Как утекали базы РЖД

Как утекали базы РЖД

 


   В 2019 году была громкая история с утечкой базы персональных данных работников  РЖД. Публикаций в СМИ было огромное количество. "После появления информации об утечке персональных данных более 700 тыс. сотрудников «Российских железных дорог» (РЖД) объявили о начале проверки, сообщил представитель компании. «Готовятся материалы для передачи в правоохранительные органы», — добавил он." (РБК). Действительно, не обманули и обратились в правоохранительные органы. Преступника нашли и покарали по всей строгости закона,  штраф - 100 000 рублей. И способ то банальный взлома - узнал пароль для доступа у родственника. Жаль, но вопрос ответственности болтливого работника РЖД нераскрыт. И ст.274.1 УК РФ за КИИ не стали предъявлять.

name='more'>

К делу № 1-504/2020

ПРИГОВОР
Именем Российской Федерации
14 мая 2020 года г. Краснодар
Прикубанский районный суд г. Краснодара в составе
рассмотрев в открытом судебном заседании в особом порядке судебного разбирательства материалы уголовного дела в отношении Лега К.И,, <данные изъяты>, ранее не судимого, обвиняемого в совершении преступлений, предусмотренных ч. 1 ст.  272 , ч. 1 ст.  183  Уголовного кодекса РФ,
установил:
Лега К.И, собрал сведения, составляющие коммерческую тайну иным незаконным способом, совершил неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло копирование компьютерной информации.
Преступления совершены при следующих обстоятельствах: в период с 31.08.2017 г. по 21.11.2019 г., в соответствии с поручением Президента ОАО «РЖД» № от ДД.ММ.ГГГГ, создан и поэтапно введен в опытную эксплуатацию находящийся на служебных серверах хранения информации ОАО «РЖД», расположенных в здании Главного вычислительного центра – филиала ОАО «РЖД» по адресу: <адрес>, сервисный портал работника, руководителя и неработающего пенсионера ОАО «РЖД», с имеющейся на нем и охраняемой, в соответствии с Федеральным законом от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», Федеральным законом от 29.07.2004 г. № 98-ФЗ «О коммерческой тайне», Перечнем информации, составляющей коммерческую тайну ОАО «РЖД», утвержденным приказом Президента ОАО «РЖД» от 27.12.2004 г. № 240 «О порядке обращения с информацией, составляющей коммерческую тайну в ОАО «РЖД», Положением об обработке и защите персональных данных ОАО «РЖД», утвержденным приказом Президента ОАО «РЖД» от 20.07.2016 г. № 60 «Об обеспечении защиты персональных данных в ОАО «РЖД», компьютерной информации, в которой содержатся персональные данные руководства и иных работников ОАО «РЖД» и информация, отнесенная к информации, составляющей коммерческую тайну ОАО «РЖД», ограниченный доступ к которым осуществляется с сайта my.rzd.ru посредством ввода персонализированного логина и пароля, предоставленных в кадровом подразделении работникам и неработающим пенсионерам указанной организации.
В период времени с 13 часов 42 минут 14.06.2019 г. по 06 часов 54 минут 25.06.2019 г., Лега К.И,, используя для доступа в информационно-телекоммуникационную сеть «Интернет» персональный компьютер с системным блоком, с установленной в нем сетевой картой, подключенной через Wi-Fi-роутер к выделенному каналу связи для доступа к информационно-телекоммуникационной сети «Интернет», абонента ООО «Трансмедиа-Юг», по договору № от ДД.ММ.ГГГГ, зарегистрированному на имя ФИО7, используя для авторизации на вышеуказанном сервисном портале учетную запись и пароль пользователя «№», полученные от его брата ФИО8, ДД.ММ.ГГГГ г.р., являющегося работником ОАО «РЖД» и не осведомленного о его преступных действиях, осуществил неправомерный доступ к охраняемой Федеральным Законом от 27.07.2006 г. № 149 «Об информации, информационных технологиях и о защите информации», в соответствии с которым федеральными законами устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение (ст. 9 Федерального закона); Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», в соответствии с которым персональными данными является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); операторы при обработке персональных данных обязаны принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных (ст. 3, ст. 19 Федерального закона); Федеральным законом от 29.07.2004 г. № 98-ФЗ «О коммерческой тайне», в соответствии с которым право на отнесение информации к информации, составляющей коммерческую тайну, и на определение перечня и состава такой информации принадлежит обладателю такой информации с учетом положений указанного Федерального закона; (ст. 4 Федерального закона); Перечнем информации, составляющей коммерческую тайну ОАО «РЖД», утвержденным приказом Президента ОАО «РЖД» от 27.12.2004 г. № 240 «О порядке обращения с информацией, составляющей коммерческую тайну в ОАО «РЖД», в соответствии с которым к информации, составляющей коммерческую тайну ОАО «РЖД» относится информация, раскрывающая идентификационную либо аутентификационную информацию пользователя информационной системы или телекоммуникационной сети, к которой относится логин, с помощью которого осуществляется доступ на сервисный портал работника, руководителя и неработающего пенсионера ОАО «РЖД», на сайте my.rzd.ru (п. 12.4. Перечня); Положением об обработке и защите персональных данных ОАО «РЖД», утвержденного приказом Президента ОАО «РЖД» от 20.07.2016 г. № 60 «Об обеспечении защиты персональных данных в ОАО «РЖД», в соответствии с которым определен состав персональных данных, обрабатываемых в подразделениях ОАО «РЖД» (п. 7 Положения), компьютерной информации, а именно 760 980 фотографиям и 801 552 сведениям о фамилии, имени, отчестве, номере стационарного рабочего телефона, адресе корпоративной электронной почты, занимаемой должности, месте работы, числе, месяце, годе рождения, страховом номере индивидуального лицевого счета (СНИЛС), являющегося логином пользователей указанного сервисного портала, руководства и иных работников ОАО «РЖД», являющихся персональными данными, которую при помощи HTTP-запросов с имитацией работы системы Google по индексации Интернет ресурсов, посредством использования 96 уникальных Proxy серверов ip v4, скопировал на разработанный им сайт infach.me, доступ к которому в период времени с 25.08.2019 г. по 27.08.2019 г. находился у неограниченного числа пользователей информационно-телекоммуникационной сети «Интернет».
Он же, в период времени с 13 часов 42 минут 14.06.2019 г. по 06 часов 54 минут 25.06.2019 г., находясь в квартире, расположенной по адресу: <адрес>, используя для доступа в информационно-телекоммуникационную сеть «Интернет» персональный компьютер с системным блоком, с установленной в нем сетевой картой, подключенной через Wi-Fi-роутер к выделенному каналу связи для доступа к глобальной компьютерной сети «Интернет», абонента ООО «Трансмедиа-Юг», по договору № от ДД.ММ.ГГГГ, зарегистрированному на имя ФИО7, используя для авторизации на вышеуказанном сервисном портале учетную запись и пароль пользователя «№», полученные от его брата ФИО8, ДД.ММ.ГГГГ г.р., являющегося работником ОАО «РЖД» и не осведомленного о его преступных действиях, обладая достаточными знаниями в области пользования компьютерной техники и опытом работы в информационно-телекоммуникационной сети «Интернет», в нарушение Федерального Закона от 27.07.2006 г. № 149 «Об информации, информационных технологиях и о защите информации», в соответствии с которым федеральными законами устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение (ст. 9 Федерального закона); Федерального Закона от 29.07.2004 г. № 98-ФЗ «О коммерческой тайне», в соответствии с которым право на отнесение информации к информации, составляющей коммерческую тайну, и на определение перечня и состава такой информации принадлежит обладателю такой информации с учетом положений указанного Федерального закона (ст. 4 Федерального закона); Перечня информации, составляющей коммерческую тайну ОАО «РЖД», утвержденным приказом Президента ОАО «РЖД» от 27.12.2004 г. № 240 «О порядке обращения с информацией, составляющей коммерческую тайну в ОАО «РЖД», в соответствии с которым к информации, составляющей коммерческую тайну ОАО «РЖД» относится информация, раскрывающая идентификационную либо аутентификационную информацию пользователя информационной системы или телекоммуникационной сети, к которой относится логин, с помощью которого осуществляется доступ на сервисный портал работника, руководителя и неработающего пенсионера ОАО «РЖД», на сайте my.rzd.ru (п. 12.4. Перечня), осуществил незаконное получение 801 552 логина пользователей системы вышеуказанного сервисного портала, являющихся информацией, раскрывающей идентификационную информацию пользователей указанной информационной системы и подлежащих защите, то есть информацией, отнесенной к коммерческой тайне ОАО «РЖД» и собрал сведения о 801 552 логине пользователей портала работника, руководителя и неработающего пенсионера ОАО «РЖД» и разместил на свой сайт infach.me, доступ к которому в период с 25.08.2019 г. по 27.08.2019 г. находился у неограниченного числа пользователей информационно-телекоммуникационной сети «Интернет», чем совершил незаконное разглашение сведений, составляющих коммерческую тайну ОАО «РЖД» без согласия обладателя указанной информации.
Подсудимый в судебном заседании с предъявленным им обвинением согласился полностью, заявил ходатайство о рассмотрении уголовного дела в особом порядке судебного разбирательства. При этом данное ходатайство заявлено подсудимыми добровольно, после консультации с защитником, порядок рассмотрения дела в порядке особого судебного разбирательства подсудимому разъяснен и понятен. Характер и последствия заявленного ходатайства он осознает.
Представитель потерпевшего Колягин В.А. в судебное заседание не явился, о дате и месте слушания уголовного дела извещен надлежащим образом. В материалах дела имеется ходатайство от представителя потерпевшего о рассмотрении уголовного дела в его отсутствие, против рассмотрения уголовного дела в особом порядке судебного разбирательства не возражал.
Государственный обвинитель считал возможным рассмотреть дело в особом порядке судебного разбирательства, поскольку соблюдены все необходимые для этого условия.
Удостоверившись в том, что требования ч. ч. 1, 2 ст. 314 Уголовно-процессуального кодекса РФ соблюдены, суд приходит к выводу о возможности применения особого порядка принятия судебного решения.
Суд находит установленной вину подсудимого в совершении указанных преступлений, так как предъявленное ему обвинение обоснованно и подтверждается доказательствами, собранными по уголовному делу.
Действия подсудимого Лега К.И, правильно квалифицированы по ч. 1 ст.  272 , ч. 1 ст.  183  Уголовного кодекса РФ как собирание сведений, составляющих коммерческую тайну иным незаконным способом, совершение неправомерного доступа к охраняемой законом компьютерной информации, если это деяние повлекло копирование компьютерной информации.
При назначении вида и меры наказания суд принимает во внимание характер и степень общественной опасности совершенного преступления, отнесенного в соответствии с ч. 2 ст.  15  Уголовного кодекса РФ к категории преступлений небольшой тяжести, данные о личности подсудимого.
При назначении наказания, суд принимает во внимание характер и степень общественной опасности совершенного преступления, личность подсудимого, который положительно характеризуется по месту жительства, месту работы, не состоит на учете в психоневрологическом и наркологическом диспансере, а также влияние назначенного наказания на исправление осужденного.
Обстоятельствами, смягчающими наказание подсудимому, в соответствии со ст.  61  Уголовного Кодекса РФ, суд признает признание вины и раскаянье, явку с повинной, активное способствование раскрытию и расследованию преступления.
Обстоятельств, отягчающих наказание подсудимого, в соответствии со ст.  63  Уголовного Кодекса РФ, судом не установлено.
Основания для освобождения от наказания или постановления приговора без назначения наказания отсутствуют.
Обстоятельств, при которых возможно применение статей  64 73  Уголовного Кодекса РФ, судом не установлено.
На основании изложенного и принимая во внимание обстоятельства совершенных преступлений, их тяжесть, общественную опасность и значимость, данные о личности подсудимого Лега К.И,, наличие смягчающих и отсутствие отягчающих наказание обстоятельств, суд приходит к выводу, что исправление подсудимого возможно без изоляции от общества и полагает, что за совершенное преступления ему должно быть назначено наказание в виде штрафа.
На основании изложенного и руководствуясь ст. ст. 316 Уголовно-процессуального Кодекса РФ, суд
приговорил:
Признать Лега К.И, виновным в совершении преступления, предусмотренного ч. 1 ст.  272  Уголовного Кодекса РФ, и назначить наказание в виде штрафа в размере 50 000 рублей.
Его же признать виновным в совершении преступления, предусмотренного ч. 1 ст.  183  Уголовного Кодекса РФ, и назначить наказание в виде штрафа в размере 80 000 рублей.

На основании ч. 2 ст.  69  Уголовного кодекса РФ, путем частичного сложения, окончательно назначить наказание в виде штрафа в размере 100 000 рублей.
Меру пресечения в отношении Лега К.И, в виде подписки о невыезде и надлежащем поведении отменить по вступлению приговора в законную силу.
Вещественные доказательства: лист бумаги формата А-4, содержащий информацию для доступа ФИО8 к сервисному порталу my.rzd.ru – хранить при уголовном деле, жесткий диск «Seagate Backup Plus Portable Drive» черного цвета с серийным номером NA9NLBQJ – по вступлению приговора в законную силу уничтожить.

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite

***  YouTube - канал блога

**** Яндекс.Дзен  https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал  https://tt.me/blog_ruporsecurite
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности