Дело 01-0001_2017. Приговор. документ - обезличенная копия

- показаниями свидетеля *, данными им в ходе судебного заседании, а также на предварительном следствии, из которых следует, что с августа *года он является заместителем Председателя Правления ОАО АКБ «АВАНГАРД». В его обязанности входит курирование финансово-аналитического блока Банка. Он имеет познания в области компьютерной техники и программирования. *г. он находился на своем рабочем месте и занимался текущими делами. По сообщению Президента Банка *ему стало известно о том, что *г. неизвестные лица в различных регионах РФ осуществили несанкционированный доступ к банкоматам Банка и похитили денежные средства Банка в размере примерно 60 000 000 рублей. Ему было поручено провести внутреннее расследование по фактам возможного взлома внутренней компьютерной системы Банка. Данная проверка проводилась в период с *г. с привлечением сотрудников Управления разработки программного обеспечения и сотрудников Управления сопровождения инфраструктуры информационных технологий Банка. По результатам расследования были установлены факты, свидетельствующие о несанкционированном проникновении третьих лиц во внутреннюю компьютерную сеть Банка и связанные с хищением денежных средств из банкоматов Банка, имевшим место в период с *г. по *г., что подтверждалось записями телефонных разговоров Службы клиентской поддержки Банка, а также данными, обнаруженными в ходе расследования на серверах и компьютерах пользователей, расположенных во внутренней компьютерной сети Банка. *г. в интервале времени с 10:43 час. по 10:51 час. в Службу клиентской поддержки Банка поступили 3 звонка неустановленного лица, представившегося потенциальным клиентом – юридическим лицом, желающим разместить в Банке денежные средства на депозит. В результате чего, примерно в 10:55 час. «клиент» был соединен с начальником Отдела привлечения корпоративных клиентов Банка *Далее, в тот же день в 12:24 час. на почту * (*) с IP-адреса *поступило письмо, к которому был прикреплен защищенный паролем архивный файл, якобы содержащий необходимую информацию о потенциальном клиенте. В теле письма содержался пароль для раскрытия прикрепленного архива. В качестве адреса для ответа (поле Return-Path заголовка письма) был указан адрес: * *г. в 12:31 час. *обратился в Отдел администрирования и технической поддержки с просьбой помочь распаковать пришедший от «клиента» архивный файл. Файл был отправлен дежурному специалисту ОАТП УСИИТ *в 12:33 час. без указания пароля для открытия архива. Пароль был передан позднее – в 12:38 час. после соответствующего запроса *. В 12:40 час. этого же дня * распаковал архив и, обнаружив в нем исполняемый файл - реквизиты.doc.cpl, открыл его, запустив тем самым вредоносный код на компьютере, используемом посменно дежурными специалистами ОАТП УСИИТ. Процесс запуска вредоносного кода прошел для *незаметно, так как для сокрытия своего истинного предназначения указанный код породил файл реквизиты.doc и автоматически открыл его программой MS WORD. *сохранил файл реквизиты.doc и отправил его *в 12:42 час. Технических свидетельств того, что *открывал присланный *файл, на компьютере *не обнаружено. Вся переписка с ОАТП УСИИТ по данному вопросу, а также исходное письмо от «клиента», содержащее вредоносное вложение, на компьютере *не обнаружены. Далее, вредоносный код, запущенный на компьютере *, установил шифрованное соединение по протоколу SSL с IP-адресом *и прописал себя в профиль *как программу, автоматически запускаемую при перезагрузке компьютера. *г. в 07:01 час. во время смены *с компьютера суточного дежурного с неизвестной целью просматривался расположенный на сетевом сервере файл, содержащий IP-адреса банкоматов Банка. *г. в 11:17 час., во время следующей смены *на компьютер суточных дежурных ОАТП УСИИТ была загружена и запущена программа-взломщик паролей Windows. В результате, вероятно, были скомпрометированы пароли суточных дежурных. *г. не позднее 01:34 час. во время смены *был осуществлен вход под его именем (SmirnovMM), пароль к которому мог быть ранее скомпрометирован, на один из серверов внутренней сети Банка (сервер WEBCAM). Далее в промежуток времени с 01:34 час. до 03:05 час. с указанного сервера была проведена атака от имени SmirnovMM на компьютеры * (с возможной компрометацией их паролей с использованием программы-взломщика паролей), с дальнейшей атакой от имени * (пароль которого возможно был скомпрометирован) на сервер домена сети Windows (сервер HULL) с возможной компрометацией аналогичным образом пароля к имени «2002», используемому ОАТП УСИИТ для административного доступа к различным компьютерам внутренней сети Банка. В рамках вышеуказанной атаки, *г. в 02:27:14 на сервер HULL в профиль *была загружена и запущена программа удаленного администрирования Win32/RemoteAdmin.Ammyy.B, дающая злоумышленнику полный контроль над захваченным компьютером. Аналогичная программа была запущена *в 02:52:11 на компьютере *. Захват сервера HULL повлек за собой компрометацию паролей всех пользователей Windows в домене AVANGARD. Кроме этого, в ходе расследования аналогичная программа удаленного администрирования, датированная *г. 02:02:00, была обнаружена в двух экземплярах на компьютере суточных дежурных в профиле *. Причем, один экземпляр был найден в кэше браузера (Internet Explorer), а второй – в папке мои документы/загрузки, что внешне свидетельствует о том, что *вручную загрузил указанную программу из интернета. *г. в период с 02:47:40 по 03:35:52 предположительно через сервер HULL, имело место внешнее подключение к компьютеру *по протоколу RDP (стандартный Windows-протокол Remote Desktop) под именем *. На ранее атакованном сервере WEBCAM в каталоге «мои документы» профиля *обнаружен файл, датированный *г. 13:22:48 (смена *), содержащий журнал работы сканера сети SoftPerfect Network Scanner с результатами сканирования всех включенных рабочих станций, а также серверов и сетевых маршрутизаторов. *г. в 23:16:07 имело место удаленное подключение по протоколу RDP к компьютеру коменданта здания ЦО Банка * под именем *. Данная атака шла через ранее захваченный злоумышленниками сервер HULL. Рациональная цель данного подключения не установлена. *г. во время очередной смены *в период с 10:15:23 по 10:42:54 вновь шел удаленный сеанс работы по протоколу RDP с компьютером *под именем *и данная атака шла через ранее захваченный злоумышленниками сервер HULL. *г. после прихода на работу *обнаружили, что в течение выходных к их компьютерам и, возможно, к компьютеру суточных дежурных имел место несанкционированный доступ. Об этой ситуации *устно проинформировал своего непосредственного руководителя *Проверка компьютеров антивирусом результатов не дала. В ходе проверки *обнаружил на своем компьютере в профиле SmirnovMM неизвестный ему исполняемый файл 443.exe, но заявил, что среди запущенных и исполняемых на его компьютере процессов ничего подозрительного нет. При этом, однако, как следует из системного журнала Windows, в 10:51:54 *г. *обнаружил на своем компьютере работающую службу удаленного администрирования AmmyyAdmin и вручную остановил ее, не уведомив об этом коллег. Примерно, в это же время *обнаружил в лог-файле автоматически запускаемого антивируса за *г. (01:00:05) сообщение об обнаружении и успешном изолировании вредоносного кода на сервере WEBCAM в профиле *. Никаких действий в связи с этим *не предпринял, проверку компьютера суточных дежурных не осуществил. О произошедшем инциденте *своему руководству не сообщил. Серверы WEBCAM и HULL, а также компьютеры м и суточных дежурных остались захваченными злоумышленниками. Вследствие этого, произведенная *смена паролей оказалась бесполезной – новые пароли были мгновенно скомпрометированы, то есть стали мгновенно известны злоумышленникам. *г. в 21:36:54 имело место внешнее подключение по протоколу RDP к компьютеру *под именем *с его новым паролем. Также, *г. в 23:25:34 имело место внешнее подключение по протоколу RDP к компьютеру специалиста группы телефонии *под именем *. В ходе данного сеанса злоумышленником с сетевого диска, к которому имел доступ *, был похищен файл с инструкцией по настройке банкоматов Банка, содержавший, в том числе, сведения о паролях для удаленного управления банкоматами. Таким образом, пароли *по-прежнему оставались известными злоумышленникам, а канал доступа во внутреннюю сеть Банка – не закрытым. В течение *г. Овчинников вручную выявил у себя на компьютере вредоносный код, замаскированный под системный процесс lsass.exe, которым был изначально заражен компьютер суточных дежурных Банка и *удалил его, проинформировав об этом коллег, включая *, основываясь на информации *, также нашел и удалил со своего компьютера аналогичный вредоносный код. Пароли *и *не сменили. Руководству УСИИТ и УРПО *, ни *вновь не доложили. В результате, *г. в 22:46:24 вновь имело место внешнее подключение по протоколу RDP к компьютеру Овчинникова под именем *с его новым паролем, а *г. в 00:28:42 - внешнее подключение по протоколу RDP к компьютеру заместителя начальника УРПО *под именем *. *г. около 09:30 *обнаружила факт несанкционированных манипуляций с ее компьютером и доложила начальнику УРПО * Последний вызвал **и сообщил о выявленном * инциденте. *доложил *, что аналогичная ситуация имела место с целым рядом компьютеров, в том числе, с его компьютером еще *г. *незамедлительно поставил в известность *– заместителя начальника УСИИТ, однако в течение дня *г. задача выявления источника вредоносного кода решена не была. В том числе, не был выявлен факт захвата сервера HULL. Увидев, что проблема распространения вредоносного кода выходит из-под контроля, * дал указание *сменить пароли, а также заблокировать на предстоящие праздники выход в интернет для компьютеров, имеющих прямое (минуя прокси-сервер) подключение к интернету (в том числе – для компьютера *.). На компьютере суточных дежурных пароли не менялись, отключение указанного компьютера от сети интернет не производилось. Возможность доступа в интернет для серверов HULL и WEBCAM также не была заблокирована. *г. во время смены *в период с 20:10:16 по 20:33:24 имели место внешние подключения по протоколу RDP к компьютерам сотрудниц Банка *и *под именем «2002», обычно используемым суточными дежурными для входа на компьютеры пользователей. Далее, в период с 22:11 по 22:49 непосредственно с компьютера суточного дежурного под именем «2002» был атакован один из ключевых Linux-серверов внутренней сети Банка – сервер GHIA. Данный сервер входил в группу так называемых «доверенных серверов» имея root-сессию на данном сервере можно было без пароля получать доступ с неограниченными правами к иным Linux-серверам сети Банка, на данном сервере хранилась база данных системы TACACS (содержала логины и зашифрованные пароли для доступа к сетевым маршрутизаторам) и, кроме того, с данного сервера был открыт доступ ко всем банкоматам Банка. В ходе атаки, используя недостатки в настройках системы защиты, злоумышленники получили root-сессию на данном сервере, после чего на указанный сервер с IP-адреса *были загружены и использованы в злонамеренных целях хакерские файлы, предназначенные для подмены стандартных SSH-демонов системы Linux. Установлено, что измененный SSH-демон давал злоумышленникам возможность извне управлять пораженным сервером, а также автоматически сообщал третьим лицам пароли всех пользователей, заходящих на данный сервер из внутренней сети Банка. *г. Попова А.Ю. обратилась в ОАТП УСИИТ с просьбой восстановить отключенный *г. доступ в интернет с ее компьютера. В момент удаленного входа * на компьютер *остававшийся запущенным на ее компьютере с *г. вредоносный код попытался похитить пароль *, однако, не обнаружив соединения с интернетом, выдал на экран компьютера сообщение об ошибке, чем выдал свое присутствие. В результате сканирования на компьютере *был обнаружен вредоносный код, распознанный как Trojan.Agent, замаскированный под системный процесс lsass.exe (аналогичный коду, которым изначально был заражен компьютер суточных дежурных). *г. во время очередной смены * в 01:12:58 и в 01:20:37 был осуществлен несанкционированный внешний вход с IP-адреса *через сервер GHIA с помощью программы удаленного администрирования DMWARE на компьютер специалиста группы ремонта банкоматов *под именем «2002». В результате, компьютер *был также заражен вредоносным кодом, замаскированным под системный процесс lsass.exe. **г. в 01:00:35 злоумышленниками была успешно протестирована возможность входа с IP-адреса *через сервер GHIA с помощью программы удаленного администрирования DMWARE на компьютер зам. Начальника УСИИТ Войтеховского Д.А., на котором была постоянно запущена сессия работы с системой операционного дня Банка ABACUS. Позднее, в период времени с 20:55:53 14.05.2014 г. по 01:46:02 *г. имели место многочисленные аналогичные внешние подключения к компьютеру Войтеховского Д.А., сопровождавшиеся, в том числе, несанкционированными входами в модуль «Статистика по банкоматам» системы ABACUS, отображающий, помимо прочего, текущие остатки денежных средств в банкоматах Банка. *г. в 11:51:18, вероятно в целях создания резервного канала на случай отключения сервера GHIA, злоумышленники зашли с IP-адреса *через сервер GHIA (под пользователем root без ввода пароля) на почтовый сервер Банка RELAY1 и установили на него модифицированный SSH-демон, аналогичный тому, что был установлен на GHIA. В 12:14:00 того же дня злоумышленники зашли с IP-адреса *на сервер GHIA и установили «боевую» сессию, в рамках которой в период времени с 14:48:48 *г. по 15:52:00 18.05.2014 г. осуществлялось несанкционированное управление банкоматами Банка, повлекшее причинение Банку материального ущерба в размере 59 920 500 рублей. Параллельно с хищением денежных средств из банкоматов Банка, в течение дня *с IP-адреса *через сервер GHIA были поражены модифицированным SSH-демоном сервера Relay2, Telecomm, Ss13, Starg-proxy. *г. в 15:18:14 был осуществлен вход предположительно с сервера GHIA на компьютер начальника отдела телекоммуникаций Тамбовцева В.В. с его логином и паролем по протоколу SSH и в 15:23:24 произведено поражение модифицированным SSH-демоном. Так как сервер GHIA не являлся «доверенным сервером» для компьютера Тамбовцева, вход на его компьютер с указанного сервера под именем root без указания пароля был невозможен, а в сохранившихся на компьютере Тамбовцева журналах нет следов подбора пароля, поэтому свидетель считает, что является доказанным фактом, что его пароль был заранее известен злоумышленнику. *г. около 11:00 управляющий операционным офисом Банка в г.Орел Романов Р.В. при подготовке к инкассации банкоматов обратил внимание на необъяснимое, исходя из отраженных в системе ABACUS операций, резкое падение остатков денежных средств в банкоматах. О нештатной ситуации немедленно было доложено руководству Банка. В течение 1-2 часов продолжался разбор ситуации и просмотр видеоматериалов. В результате были выявлены явные признаки хищения денежных средств, после чего в Банк были срочно вызваны ответственные сотрудники УРПО и УСИИТ. В 14:38:45 **г. прибывший на рабочее место Войтеховский обнаружил, что его компьютер находится под внешним управлением, и отключил сетевой кабель. Одновременно с этим, сервер GHIA, с которого были установлены множественные сессии доступа к банкоматам, был отключен от компьютерной сети. В 15:19:00 сотрудники УСИИТ заблокировали на корневом маршрутизаторе соединение с IP-адресом *, с которого осуществлялось несанкционированное управление банкоматами. Все прибывшие на место сотрудники УСИИТ сменили пароли на своих рабочих компьютерах (за исключением компьютера Тамбовцева), а также на серверах. *г. в промежутке времени с 04:31:24 по 06:45:35 было установлено SSH‑соединение рабочего компьютера Тамбовцева с внешним IP-адресом *и проведена сессия работы под именем root. Вход под именем root был осуществлен сразу (без подбора пароля). В ходе указанной сессии в 06:35:10 было установлено SSH-соединение с IP-адресом *, относящимся к диапазону IP-адресов, зарегистрированных на компанию Friend IT Hosting (*), и соответствующим доменному имени varyan.ru. После того, как на дежурный компьютер Банка был закачен вредоносный файл, третьи лица получили доступ к удаленному управлению данным компьютером и далее, как третьи лица стали распространять вредоносную программу по внутренней компьютерной сети Банка, они стали получать пароли других пользователей, в том числе и системных администраторов. Это было сделано для того, чтобы маскировать свою преступную деятельность, а также получать дополнительную информацию, в частности они получили файл с инструкцией по настройке банкоматов Банка, содержащих, в том числе сведения о паролях удаленного доступа к банкоматам. В последующем третьи лица получили возможность управлять одним из серверов Банка – «GHIA». С данного сервера был открыт сетевой доступ ко всем банкоматам Банка. Используя доступ к указанному серверу, злоумышленники загрузили программное обеспечение, которое позволило в дальнейшем осуществлять удаленное управление банкоматами, в том числе, осуществлять подмену кассет (вместо выдачи купюр достоинством 100 руб. получать купюры достоинством 5 000 руб.), а также получать денежные средства в банкомате без банковской карты. Без помощи сотрудника Банка, который знает внутреннюю сетевую структуру, указанные лица не смогли бы в короткое время захватить именно данный сервер. В Банке существует более 10 серверов, которые отвечают каждый за свое направление (специфику). Из анализа данной цепочки событий сделан свидетелем вывод о том, что к совершению хищения денежных средств Банка в период с *2014 г. может быть причастен начальник отдела телекоммуникаций Тамбовцев В.В., основываясь на следующих фактах: - нанесение целого ряда точечных ударов по компьютерам внутренней сети Банка (особенно по серверу «GHIA») не могло быть осуществлено без знания инфраструктуры внутренней сети Банка, которыми обладал Тамбовцев В.В.; -удаленный вход на рабочий компьютер Тамбовцева В.В., совершенный злоумышленниками во второй половине дня *г., когда уже шла активная фаза снятия денежных средств третьими лицами, что расценивается, как попытка создать последнему видимость его непричастности к данной ситуации. Если координатором изнутри Банка выступал не Тамбовцев В.В., а другой сотрудник, то, зная о том, что Тамбовцев В.В. обладает высокой квалификацией (познаниями) в области сетевых технологий, компьютерного и программного обеспечения, он должен был понимать, что вторжение, которое произошло *г., Тамбовцевым В.В. было бы быстро выявлено. При этом, вход на рабочий компьютер Тамбовцева В.В. был осуществлен третьими лицами под его именем (логином) и с его паролем. Со слов Тамбовцева В.В. для доступа на свой рабочий компьютер он использовал не тот пароль, который он использовал для доступа к серверу «GHIA». Таким образом, его пароль не мог быть похищен с указанного сервера. Также указанный пароль не мог быть похищен с сервера «HULL», так как на указанном сервере пароль Тамбовцева В.В. не хранился. Таким образом, пароль Тамбовцева В.В. был заранее известен злоумышленнику; - владельцем доменного имени varyan.ru. является Варьян *, который являлся коллегой и начальником Тамбовцева В.В. по прежнему месту работы. Более того, Тамбовцев В.В. и *были участниками при учреждении совместного ООО «Айти Бизнес Солюшенс»; - исходя из должностных обязанностей и квалификации, Тамбовцев В.В. имел возможность и был обязан отслеживать и предотвращать вредоносный трафик между внутренней сетью Банка и «внешним» миром. Он единственный из сотрудников Банка имел доступ к настройкам сетевого оборудования, отделяющего сеть Банка от «внешнего» мира и только он мог увидеть, что в сети существует «необычный» трафик обмена информацией, который существовал с *г. Учитывая, что *г. преступники действовали в дневное время, данные свои обязанности Тамбовцев явно не исполнял. Не исключено, что Тамбовцев мог действовать, исходя из предположения, что расследование данного инцидента будет поручено в первую очередь ему и он, таким образом, сможет оказывать влияние на ход расследования и при необходимости уничтожить доказательства его причастности к указанным событиям. Кроме того, он пояснил, что 03 июня 2014 г. по его поручению *созвонился с Тамбовцевым В.В. с вопросом об используемых им паролях к серверу GHIA, учетным записям boban и root на его рабочем компьютере. По результатам разговора *составил стенограмму, которую в виде электронного письма направил ему Тамбовцев В.В. сообщил свои пороли для входа на рабочий компьютер, но в некоторых из ни он уверен не был, что ему показалось очень странным, поскольку *заходил на сервер GHIA практически ежедневно и сомневаться в пароле не мог;

-показаниями свидетеля *данные им в ходе судебного заседания, и на предварительном следствии, из которых следует, что он работает в ОАО АКБ «АВАНГАРД» в должности заместителя начальника отдела и в его обязанности входит руководство группой технической поддержки, поддержание банковских процессов, администрирование пользователей автоматизированной банковской системы «Абакус» (собственная разработка Банка), исполнение поручений руководства Банка. Его непосредственным руководителем является заместитель начальника Управления сопровождения инфраструктуры информационных технологий Банка *и отдел подчиняется начальнику Управления разработки Банка *. Кроме того, деятельность всего управления курирует Председатель Правления банка *В отделе организована круглосуточная работа специалистов, четыре человека из отдела работают в суточном режиме – сутки через трое. Это * Работой указанных сотрудников руководит он обо всех рабочих вопросах. Сервер GHIA служит для того, чтобы авторизовавшись на нем, пользователь получал доступ к остальным серверам банка, работающим в операционной системе «Unix», без дальнейшей авторизации. Сам этот сервер также работает под управлением указанной операционной системы. К данному серверу имеется доступ у всех сотрудников данного отдела, ряд сотрудников работает именно с системой «Unix» - *. При этом *и *являются универсалами при работе с серверами, так как работают, в том числе, с серверами под управлением операционной системы «Windows». У него имеется доступ к серверу GHIA, однако он им не пользуется. Он работает на других серверах под управлением операционной системы «Windows». У каждого из сотрудников имеется свой отдельный вход на сервер GHIA, но с разными правами. Администратором указанного сервера является *, у него имеется полный доступ к этому серверу, также полный доступ имеется у *, они вдвоем определяют права другим пользователям на этом сервере. Какие права имеют на этом сервере сотрудники его отдела, которые работают в суточном режиме, в том числе *, ему не известно. *года утром он пришел на работу и увидел на компьютере, что *последним заходил на его компьютер. *отрицал данный факт, о чем он сообщил *, руководителю группы информационной безопасности и продолжил работать. Сотрудники отдела сменили свои пароли, он в том числе. Никаких сбоев в работе сети при этом не было. 7 или *года *обнаружил на своем компьютере вредоносную программу и сообщил об этом ему. При этом антивирус, установленный в системе банка, не определил программу, как вредоносную. Программа была удалена на компьютерах пользователей, у которых возникли такие же проблемы, как на его компьютере. Все компьютеры не проверяли на наличие этой вредоносной программы, так как планировали сделать это позже. К тому же, все компьютеры банка один раз в неделю проверяются штатным антивирусом. Вредоносная программа имела разное название на разных компьютерах и находилась в разных местах на разных компьютерах. Он самостоятельно удалил со своего компьютера эту вредоносную программу. Все сотрудники в его отделе проверили свои компьютеры, при этом компьютер дежурных тоже проверил сотрудник, который в тот день дежурил, это был *. *года утром он пришел на работу и одни из дежурных, кто именно, не помнит, сообщил ему о том, что возникли проблемы, кто-то похитил деньги из банкоматов, незаконно получив доступ к управлению ими, точную сумму ему не сообщили;

- показаниями свидетеля *, данными им предварительном следствии, и оглашенными в судебном заседании согласно ст.281 УПК РФ, с согласия сторон следует, что он работает в ОАО АКБ «АВАНГАРД» специалистом отдела администрирования и технической поддержки Управления сопровождения инфраструктуры информационных технологий. В его обязанности входит техническая поддержка пользователей Банка, мониторинг каналов связи, поддержание их в рабочем состоянии. Его непосредственным руководителем является заместитель начальника отдела *., заместитель начальник Управления сопровождения инфраструктуры информационных технологий банка **. Также отдел подчиняется начальнику Управления автоматизации **. В отделе организована круглосуточная работа специалистов, четыре человека из отдела работают в суточном режиме – сутки через трое. График работы составляют сами сотрудники с учетом распределения отпусков. *года по сообщению *ему стало известно, что руководство Банка попросило снять его с суточных смен и перевести на работу в пятидневную рабочую неделю. Причины, по которым было принято такое решение, ему не объяснили. Он видел, что в Банке что-то происходит, все нервничали, суетились, однако, ему никто не сказал, что случилось, только мельком кто-то сказал, что мошенники сняли деньги из банкоматов Банка. На следующий день *года он пришел на работу к 9 часам утра, но примерно через 30 минут *сказал, чтобы он шел домой и ждал звонка из Банка, от работы его временно отстранили, *об этом сказал *. Причины, по которым его отстранили от работы, *не сообщил. *года с ним беседовали психологи Банка, от которых он узнал, что в его смену кто-то с рабочего компьютера дежурной смены заходил куда-то и что-то сделал. После этого он находился дома, о том, что случилось в Банке узнать не пытался. Через некоторое время ему звонили из банка и задавали разные вопросы ( т.4 л.д.55-58);

- показаниями свидетеля *, данными им в ходе судебного заседания, и на предварительном следствии, из которых следует, что он работает в ОАО АКБ «АВАНГАРД» в отделе администрирования и технической поддержки Управления сопровождения инфраструктуры информационных технологий в должности специалиста. В его обязанности входит техническая поддержка пользователей банка, мониторинг серверов. Его непосредственным руководителем является заместитель начальника отдела Кравцов Д.А., заместитель начальник Управления сопровождения инфраструктуры информационных технологий банка Войтеховский Д.А. В отделе организована круглосуточная работа специалистов, четыре человека из отдела работают в суточном режиме – сутки через трое. У него имеется доступ в компьютерную сеть банка, его логин smirnovmm в домене avangard, он служит для доступа к компьютерам сотрудников головного офиса Банка и некоторых дополнительных офисов, а также доступ к серверам банка, работающим под управлением операционной системы Windows, к серверам под управлением операционной системы Unix у него доступа нет. В отделе имеется технологический пользователь с именем «2002» под управлением Windows, имеется ли такой технологический пользователь под управлением Unix, ему не известно, никогда им не пользовался. В основном, когда сотрудникам отдела нужно зайти на сервер, они используют логин «2002». Он обычно также при необходимости зайти на сервер использовал логин «2002», под своим личным логином тоже заходил, но достаточно редко. Пароль у каждого пользователя свой, он свой пароль никому никогда не сообщал, нигде его не записывал, просто запоминал. Один раз в месяц происходила смена паролей во всем Банке, он также менял пароль раз в месяц. Пароль для пользователя «2002» не менялся. Он пароли других сотрудников Банка не знает, ему никто никогда свои пароли не сообщал. В сети Банка имеется сервер WEBCAM, он служит для сбора изображений с камер, установленных в офисах Банка на всей территории РФ и для их дальнейшей передачи на хранение в базу данных Банка. У него имеется доступ к этому серверу с правами администратора, также к нему имеется полный доступ у пользователя «2002». Ему в процессе работы приходилось заходить на диски указанного сервера под своим логином, но это было очень давно, больше года назад, когда возникали технические проблемы. Он не заходил на сервер WEBCAM в ночь с *года под своим именем. Обычно во время смены он находится возле рабочего компьютера, при этом заходит в компьютер под своим именем. Когда ему нужно временно отойти от компьютера, то он его блокирует, при этом для разблокировки необходимо ввести пароль43Ничего необычного он в рабочем компьютере никогда за время работы не замечал, в том числе, в апреле и в *года. На рабочем компьютере дежурных имеется доступ к сети Интернет, он периодически пользовался этим доступом, чтобы скачать какие-то нужные для работы программы, иногда смотрел новости. У него нет удаленного доступа к банковской сети на домашнем компьютере или на других устройствах. С рабочего компьютера у него имеется возможность под своим логином удаленно зайти на компьютер всех пользователей банка, в том числе на компьютеры коллег по отделу, при этом он увидит информацию, хранящуюся на жестких дисках компьютеров. За все время работы он ни разу удаленно не заходил на компьютер кого-либо из коллег по отделу ни под своим именем, ни под именем «2002», в том числе на рабочий компьютер *Ему известно, что в банковской сети имеется сервер с названием GHIA. Он работает под управлением операционной системы Unix, поэтому у него нет к нему доступа, т.к. имеется логин только в операционной системе Windows. За время работы он ни разу не заходил на этот сервер ни под своим, ни под каким-либо другим именем. За время работы ему приходилось перезагружать банкоматы, если при работе на них возникали какие-либо проблемы. У него есть права доступа к подсети банкоматов, при этом, чтобы получить доступ к конкретному банкомату, необходимо ввести еще один пароль, он единый для всех банкоматов Банка, ему он известен, т.к. периодически необходим по работе. У него имеются права администратора при подключении к конкретному банкомату, но он никогда ничего не пробовал устанавливать на банкоматы, т.к. этим занимается специальный отдел. Не со всех компьютеров Банка можно получить доступ к подсети банкоматов, имеется список IP-адресов компьютеров, с которых имеется такой доступ. С рабочего компьютера дежурных технической поддержки имеется такой доступ, с компьютеров остальных сотрудников отдела также имеется доступ к подсети банкоматов. *года он находился на дежурстве. Днем ему позвонил управляющий какого-то офиса, какого именно, не помнит, и сообщил, что в одном из банкоматов имеется крупная недостача. Он сообщил об этом кому-то из сотрудников отдела банкоматов, скорее всего это был *. Затем на работу приехала часть сотрудников отдела, сотрудники отдела банкоматов. Кто-то из сотрудников пояснил ему, что злоумышленники при помощи вредоносной программы получили доступ к банкоматам и похитили из них деньги;