Справа № 761/7170/25
Провадження № 1-кс/761/5359/2025
21 лютого 2025 року слідчий суддя Шевченківського районного суду м. Києва ОСОБА_1 , за участю секретаря ОСОБА_2 , розглянувши у відкритому судовому засіданні клопотання старшого слідчого в ОВС 4 відділу 3 управління досудового розслідування Головного слідчого управління СБ України майора юстиції ОСОБА_3 , у кримінальному провадженні, внесеному до Єдиного реєстру досудових розслідувань за № 22024000000001178 від 20.12.2024, за фактом вчинення кримінального правопорушення, передбаченого ч. 1 ст. 438КК України, про тимчасовий доступ до речей та документів,
До Шевченківського районного суду м. Києва надійшло погоджене прокурором ОСОБА_4 , у встановленому законом порядку, клопотання старшого слідчого в ОВС 4 відділу 3 управління досудового розслідування Головного слідчого управління СБ України майора юстиції ОСОБА_3 , у кримінальному провадженні, внесеному до Єдиного реєстру досудових розслідувань за № 22024000000001178 від 20.12.2024, про тимчасовий доступ до речей і документів, які перебувають у володінні ДП « ІНФОРМАЦІЯ_1 » (адреса: АДРЕСА_1 ).
Своє клопотання обґрунтовує тим, що Головним слідчим управлінням СБ України, за процесуального керівництва Офісу Генерального прокурора, здійснюється досудове розслідування у кримінальному провадженні № 22024000000001178 від 20.12.2024, внесеному до ЄРДР за ознаками вчинення кримінального правопорушення, передбаченогоч. 1 ст. 438 КК України.
Досудовим розслідуванням встановлено, що 19.12.2024, ймовірно представниками спеціальних служб РФ, а також учасниками підконтрольних ним хакерських угруповань, вчинено несанкціоноване втручання в роботу інформаційно-комунікаційних систем (далі - ІКС) державного підприємства « ІНФОРМАЦІЯ_1 » Міністерства юстиції України (далі - ДП « ІНФОРМАЦІЯ_2 »), що призвело до порушення сталого функціонування ІКС та знищення баз даних Єдиних та Державних реєстрів ІНФОРМАЦІЯ_3 , що є порушенням законів та звичаїв війни, які передбачені міжнародними договорами, згода на обов'язковість яких надана Верховною Радою України, а саме: ст. 52 Додаткового протоколу І Женевської конвенції від 12 серпня 1949 року, що стосується захисту жертв міжнародних збройних конфліктів «напад на цивільні об'єкти», та пункту «g» статті 23 IV Гаазької Конвенції від 18.10.1907 про закони і звичаї війни на суходолі та додатку до неї - Положення про закони і звичаї війни на суходолі «Крім заборон, передбачених спеціальними конвенціями, особливо забороняється знищувати або захоплювати власність ворога, крім випадків, коли таке знищення або захоплення настійно вимагається військовою необхідністю», тобто воєнним злочином.
Так, згідно відповіді ІНФОРМАЦІЯ_4 №6/14056-с від 20.12.2024 на доручення слідчого встановлено, що при проведенні невстановленими особами несанкціонованого втручання в ІКС ДП « ІНФОРМАЦІЯ_2 » було використано програмне забезпечення (ПЗ) «Toad», яке є аналогом ПЗ, що використовується адміністраторами баз даних ДП « ІНФОРМАЦІЯ_2 », а отже, на даний час, унеможливлює подальше встановлення фактичних обставин отримання зловмисниками доступу до баз даних та подальших несанкціонованих дій, з урахуванням наявних в матеріалах кримінального провадження відомостей та доказів.
Також встановлено, що в ході несанкціонованого доступу зловмисниками здійснено вивантаження вмісту серверів баз даних Єдиних та Державних реєстрів з ІКС ДП « ІНФОРМАЦІЯ_2 ».
Так, в ході огляду встановлено, що на сервері ДП « ІНФОРМАЦІЯ_2 » «Oradb-askod-prom» зловмисниками було створено 4 архіви «7z» об'ємом 16 Гб, 16 Гб, 591 Мб та 87 Мб, з файлами в форматі «.txt», вміст яких за попередньою оцінкою відповідає вмісту «Державного реєстру актів цивільного стану», в загальній кількості 477 000 705 унікальних рядків записів.
При цьому, система моніторингу запитів баз даних, їх логування та аудиту - «Imperva DAM», що використовується ДП « ІНФОРМАЦІЯ_2 », не зафіксувала дії з базою даних «Державного реєстру актів цивільного стану».
Також виявлено нелегітимні звернення до баз даних, розміщених на віртуальних серверах «ERC», «exchg-02», «etrb01», що містили в собі інформацію з Єдиних та Державних реєстрів.
В той же час, в ході огляду технічних засобів ДП « ІНФОРМАЦІЯ_2 », а саме середовищ віртуалізації «vCenter» (VC67-01)» та «UAKGC-VCENTER-103» встановлено «standby» (дзеркала) копії віртуальних серверів баз даних Єдиних та Державних реєстрів, які залишились функціонувати та зберегли цілісність станом на 18.12.2024, після знищення зловмисниками частини ІКС ДП « ІНФОРМАЦІЯ_2 » 19.12.2024, з наступними ідентифікаторами: «Prom-ASBN-02»; «PROM-EDR-03»; «Prom-ERC-02»; «PROM-ERZO-02»; «Prom-ETRB-01»; «Prom-ETRB-02»; «Prom-EXCHG-02»; «Prom-HOPE-02»; «Prom-JP-02»; «Prom-ORM-02»; «Prom-Publinfo-02»; «Prom-RDRAC-02»; «Prom-RDRAC-EA-02»; «PROM-VP-02».
У органу досудового розслідування є достатні підстави вважати, що на вказаних «standby» копіях віртуальних серверів баз даних Єдиних та Державних реєстрів містяться відомості щодо: часу та способу несанкціонованого доступу; ідентифікаторів, які використовували зловмисники; використане шкідливе програмне забезпечення; руху зловмисників в середині ІКС; використані скомпрометовані облікові записи; вивантаженої інформації, тощо, що можуть бути використані як доказ факту чи обставин, що встановлюються під час кримінального провадження, а отже є речовими доказами у кримінальному провадженні.
Крім того, під час дослідження вказаних «standby» копій віртуальних серверів можливо встановити відповідність виявленої інформації, що вивантажена з серверів БД, їх вмісту в базах даних до фактичного їх знищення, станом на 18.12.2024, а також отримання їх копій необхідне для призначення та проведення експертиз, зокрема, комп'ютерно-технічної експертизи, з метою належного процесуального встановлення факту несанкціонованого втручання в роботу ІКС ДП « ІНФОРМАЦІЯ_2 » та його наслідків - нападу на цивільний об'єкт та знищення майна, що не викликане військовою необхідністю.
Таким чином, на даний час, з метою встановлення фактичних обставин вчиненого кримінального правопорушення, всебічного та повного аналізу інформації, в якій зафіксовані дії зловмисників з базами даних Єдиних та Державних реєстрів в ІКС ДП « ІНФОРМАЦІЯ_2 », необхідно отримати (зняти копії) з вищевказаних «standby» копій віртуальних серверів баз даних Єдиних та Державних реєстрів, станом на 18.12.2024 року.
Слід зауважити, що вилучення частин або окремо інформації з вказаних «standby» копій віртуальних серверів є не доцільним, оскільки це унеможливить: швидке, оперативне та безпосереднє дослідження інформації, що знаходиться на них; встановлення взаємозв'язків між діями зловмисників та побудову цілісної картини втручання в ІКС та її знищення, а також вплине на строки досудового розслідування і можливість отримання доказів у зв'язку з подальшою необхідністю постійно отримувати дозвіл на тимчасовий доступ до речей і документів, а саме до інформації, що міститься на вказаних «standby» копіях віртуальних серверів, що викликано аналізом та встановлення взаємозв'язків під час огляду потенційно отриманих їх частин.
Володільцем зазначеної інформації є ДП « ІНФОРМАЦІЯ_2 », метою та предметом діяльності якого згідно з Статутом (п.п. 2.1.) є створення, розробка, підтримка, супроводження, удосконалення, модернізація та технічне супроводження Єдиних та Державних реєстрів. В ході здійснення вищевказаних функцій ДП « ІНФОРМАЦІЯ_2 », згідно з атестатом відповідності № 788В передбачено створення та зберігання резервних копій баз даних Єдиних та Державних реєстрів.
Під час здійснення досудового розслідування у кримінальному провадженні з метою повного, всебічного та об'єктивного дослідження всіх обставин вчинених кримінальних правопорушень, виникла необхідність у отриманні тимчасового доступу до речей і документів, які містять відомості про обставини вчинення кримінального правопорушення та мають значення для досудового розслідування як докази, що перебувають у фактичному володінні ДЕРЖАВНОГО ПІДПРИЄМСТВА « ІНФОРМАЦІЯ_1 » (код за ЄДРПОУ НОМЕР_1 ), адреса: АДРЕСА_1 .
В судове засідання слідчий не з'явився, подав до суду заяву, відповідно до якої просив розглядати клопотання за його відсутності, клопотання підтримав в повному обсязі, просив його задовольнити.
Розгляд клопотання проводиться за відсутності володільця документів на підставі ч.2 ст.163 КПК України.
Суд, дослідивши матеріали клопотання, приходить до наступного висновку.
Відповідно до ч. 1 ст. 159 КПК України тимчасовий доступ до речей і документів полягає у наданні стороні кримінального провадження особою, у володінні якої знаходяться такі речі і документи, можливості ознайомитися з ними, зробити їх копії та вилучити їх (здійснити їх виїмку). Тимчасовий доступ до електронних інформаційних систем або їх частин, мобільних терміналів систем зв'язку здійснюється шляхом зняття копії інформації, що міститься в таких електронних інформаційних системах або їх частинах, мобільних терміналах систем зв'язку, без їх вилучення .
Відповідно до ч. 2 ст. 159 КПК України тимчасовий доступ до речей і документів здійснюється на підставі ухвали слідчого судді, суду.
Відповідно до положень ч. 5 ст. 163 КПК України слідчий суддя, суд постановляє ухвалу про надання тимчасового доступу до речей і документів, якщо сторона кримінального провадження у своєму клопотанні доведе наявність достатніх підстав вважати, що ці речі або документи: перебувають або можуть перебувати у володінні відповідної фізичної або юридичної особи; самі по собі або в сукупності з іншими речами і документами кримінального провадження, у зв'язку з яким подається клопотання, мають суттєве значення для встановлення важливих обставин у кримінальному провадженні; не становлять собою або не включають речей і документів, які містять охоронювану законом таємницю.
У відповідності з вимогами ч.6, 7 ст. 163 КПК України слідчий суддя, суд постановляє ухвалу про надання тимчасового доступу до речей і документів, які містять охоронювану законом таємницю, якщо сторона кримінального провадження, крім обставин, передбачених частиною п'ятою цієї статті, доведе можливість використання як доказів відомостей, що містяться в цих речах і документах, та неможливість іншими способами довести обставини, які передбачається довести за допомогою цих речей і документів.
Так, подане до суду клопотання слідчого відповідає вимогам, регламентованим ч.2 ст.160 КПК України.
При цьому, враховуючи зміст клопотання та додані до нього матеріали, слідчий суддя вважає, що слідчим доведено наявність достатніх підстав вважати, що документи, до яких слідчий просить надати тимчасовий доступ та які перебувають у володінні ДП « ІНФОРМАЦІЯ_1 » (адреса: АДРЕСА_1 ), мають суттєве значення для всебічного, повного та неупередженого дослідження обставин указаного кримінального провадження.
Враховуючи викладене та керуючись ст. 159-164, 166 КПК України, слідчий суддя, -
Клопотання задовольнити.
Надати дозвіл слідчим слідчої групи у кримінальному провадженні № 22024000000001178 від 20.12.2024, а саме: начальнику 2 відділення 4 відділу 3 управління досудового розслідування Головного слідчого управління СБ України майору юстиції ОСОБА_5 ; старшому слідчому в ОВС 4 відділу 3 управління досудового розслідування Головного слідчого управління СБ України підполковнику юстиції ОСОБА_6 ; слідчому в ОВС 4 відділу 3 управління досудового розслідування Головного слідчого управління СБ України підполковнику юстиції ОСОБА_7 ; старшому слідчому в ОВС 4 відділу 3 управління досудового розслідування Головного слідчого управління СБ України майору юстиції ОСОБА_3 ; старшому слідчому в ОВС 4 відділу 3 управління досудового розслідування Головного слідчого управління СБ України майору юстиції ОСОБА_8 ; старшому слідчому в ОВС 4 відділу 3 управління досудового розслідування Головного слідчого управління СБ України полковнику юстиції ОСОБА_9 ; слідчому в ОВС 4 відділу 3 управління досудового розслідування Головного слідчого управління СБ України старшому лейтенанту юстиції ОСОБА_10 ;старшому слідчому 4 відділу 3 управління досудового розслідування Головного слідчого управління СБ України старшому лейтенанту юстиції ОСОБА_11 ;старшому слідчому в ОВС 4 відділу 3 управління досудового розслідування Головного слідчого управління СБ України полковнику юстиції ОСОБА_12 ; старшому слідчому 4 відділу 3 управління досудового розслідування Головного слідчого управління СБ України старшому лейтенанту юстиції ОСОБА_13 ; старшому слідчому в ОВС 4 відділу 3 управління досудового розслідування Головного слідчого управління СБ України майору юстиції ОСОБА_14 ;слідчому в ОВС 4 відділу 3 управління досудового розслідування Головного слідчого управління СБ України капітану юстиції ОСОБА_15 ; слідчому 4 відділу 3 управління досудового розслідування Головного слідчого управління СБ України лейтенанту юстиції ОСОБА_16 , на тимчасовий доступ до частин електронної інформаційної системи, а саме віртуальних серверів, які є «standby» (стендбай) копіями серверів баз даних Єдиних та Державних реєстрів станом на 18.12.2024 року, що створені та зберігаються в ДП « ІНФОРМАЦІЯ_1 » (адреса: АДРЕСА_1 ), та мають наступні ідентифікатори: «Prom-ASBN-02»; «PROM-EDR-03»; «Prom-ERC-02»; «PROM-ERZO-02»; «Prom-ETRB-01»; «Prom-ETRB-02»; «Prom-EXCHG-02»; «Prom-HOPE-02»; «Prom-JP-02»; «Prom-ORM-02»; «Prom-Publinfo-02»; «Prom-RDRAC-02»; «Prom-RDRAC-EA-02»; «PROM-VP-02» з можливістю зняття їх копій.
Строк дії ухвали встановити 1 місяць з дня її постановлення.
Роз'яснити посадовим особам ДП « ІНФОРМАЦІЯ_1 » (адреса: АДРЕСА_1 ), що у відповідності до вимог ч. 1 ст. 166 КПК України у разі невиконання ухвали про тимчасовий доступ до речей і документів слідчий суддя, суд за клопотанням сторони кримінального провадження, якій надано право на доступ до речей і документів на підставі ухвали, має право постановити ухвалу про дозвіл на проведення обшуку згідно з положеннями цього Кодексу з метою відшукання та вилучення зазначених речей і документів.
Ухвала оскарженню не підлягає.
Слідчий суддя: ОСОБА_1