Velimir Ashen – Сорок секунд. Книга 1. Слепая зона (страница 9)
– Технический отдел, Громов.
– Вельская аналитический отдел безопасности. Заявка ЗП-7 отправлена больше двух часов назад. Стандартное время исполнения составляет сорок минут.
Небольшая пауза.
– Да, вижу вашу заявку. – В голосе появилось что-то не тревожное, но предшествующее. – Большой объём данных. Серверная нагрузка…
– Нагрузка в норме. Сегодня нет планового обслуживания, я проверила технический план.
Пауза стала длиннее.
– Нет, плановых работ нет, но двухлетний период…
– Аналогичный запрос по документации СКАН-51 за восемнадцать месяцев я получила в 2049 году за тридцать восемь минут, тогда база была меньше. Когда будет готово?
– Я… уточню.
– Жду вашего звонка.
Она положила трубку. Посмотрела на три слоя бумаги на столе, на чашку с остывшим кофе.
Два с лишним часа прошло, когда стандарт составляет сорок минут.
Это не нагрузка.
Громов перезвонил незадолго после полудня.
– Ваша заявка обрабатывается, выгрузим примерно через тридцать-сорок минут.
– Хорошо. Отправьте в зашифрованном формате с полным архивным протоколом по каждому запрашиваемому файлу.
– С… с полным протоколом?
– С полным. Не только содержимое логов, но и метаданные по каждой записи: время создания, время последнего изменения, идентификатор оператора, который выгружал данные. Весь служебный слой.
Тишина секунды на три. Больше, чем нужно, чтобы записать просьбу.
– Это стандартная функция выгрузки, – добавила она спокойно. – Третий пункт снизу в меню экспорта.
– Да, я знаю, – сказал Громов. Голос снова стал нейтральным. – Хорошо.
Письмо пришло почти через час.
Тринадцать с половиной тысяч записей о доступе за два года. Больше, чем она ожидала: проект шёл восемь лет, производственных версий было несколько, документация множилась. К ней обращались конструкторы, инженеры производства, офицеры приёмки, сотрудники стандартизации, внешние аудиторы. Нормальная жизнь сложного изделия.
Она отфильтровала только файлы прошивки и программной логики. Выборка сузилась до восьмисот семи записей.
Хронология по пользователям. Самый частый был Рябов К.В., почти триста обращений. Следующий Окунев Д.С. технолог производства. Потом группа стандартизации, офицеры приёмки, двое из испытательного подразделения.
Распределение предсказуемое, пики перед сдачей партий, провалы в летние периоды. Нормальный ритм изделия.
Она дошла до середины 2049 года, это шесть месяцев до первого инцидента.
И здесь распределение изменилось.
Арина не двигалась около минуты. Не потому, что не понимала, что видит потому, что поняла с первой секунды и дала себе время убедиться, что не ошибается.
Тринадцатое апреля 2049 года. Два часа тридцать одна минута ночи.
Обращение к шести файлам прошивки, включая алгоритм верификации командного пакета и схему регистровой перезаписи при переключении режима. Именно те файлы, в которых находилось то, что Рябов назвал «технически необходимым буфером».
Источник обращения: терминал SR-14.
Не рабочее место, привязанное к сотруднику. Стационарный терминал в серверной комнате на третьем этаже. Технологический, общего доступа, для обслуживания серверной инфраструктуры. Не предназначен для работы с проектной документацией.
Учётная запись: svc_tech_maint. Служебный аккаунт технического обслуживания. Теоретически под него выданы права шестидесяти трём сотрудникам из IT-отдела и смежных подразделений.
Арина откинулась на спинку стула.
Два часа тридцать одна минута ночи. Серверная комната, вход со служебного аккаунта, у которого нет лица. И шесть файлов прошивки взрывателя, к которым в это время суток не было ни регламентного, ни технологического основания обращаться.
Шесть месяцев до первого инцидента.
Кто-то читал прошивку за шесть месяцев до того, как её применили.
Аккаунт svc_tech_maint использовал перечень сотрудников с правами на него через HR-портал и включал шестьдесят три человека. Список пришёл через четыре минуты. IT-инженеры, системные администраторы, двое из климатических систем, несколько из групп технического сопровождения. Никого из отдела разработки взрывательных систем. Ни Рябов, ни кто-либо из его подразделения.
Значит: человек, который сидел в серверной в половине третьего ночи, формально не имел отношения к МРВ-Р. Он пришёл, воспользовался техническим терминалом под чужим аккаунтом и открыл файлы, к которым по должностным обязанностям не должен был обращаться вообще.
Или кто-то с доступом к МРВ-Р воспользовался чужими правами. Вторая версия была хуже первой: она означала либо несанкционированную передачу учётных данных, либо что-то ещё менее объяснимое легальными причинами.
Системный журнал терминала SR-14 за ту ночь она просмотрела через технический интерфейс, доступ А-0 позволял смотреть напрямую.
Записи о сессии от 13 апреля были там.
Вход в 2:31, выход в 3:07. Тридцать шесть минут. Файлы прошивки открывались последовательно, не в режиме массовой выгрузки, значит, кто-то читал и изучал. Не скачивал архив, а работал с содержимым.
После этой записи ничего. Следующий вход под тем же аккаунтом с того же терминала был через восемь дней, плановая сессия обслуживания, нормальное рабочее время.
Одиночное событие ночью, без следов после.
Она записала:
Вход в контролируемую зону только по магнитному пропуску.
Она открыла систему управления физическим доступом здания.
Журнал карточек в серверную за ту ночь показал два события.
Первое: вход в 21:47, выход в 22:03. Сотрудник IT-отдела Нестеров П.Р., плановая замена модуля резервного питания. В журнале обслуживания есть соответствующая запись.
Второе: вход в 2:28, выход – пустая ячейка.
Арина перечитала.
Вход – 2:28:51, выход – пустая ячейка.
Карточка доступа имела идентификатор А-7734, который она пробила немедленно.
Карточка числилась аннулированной с сентября 2048 года. Выпущена на имя Федосов Н.К. – бывший сотрудник IT-отдела, уволен по собственному желанию за восемь месяцев до события. Карточка должна была быть деактивирована в день увольнения. Это стандартная процедура.
По документам деактивирована, а фактически рабочая.
Карточка уволенного сотрудника, которая физически открывала двери спустя восемь месяцев после деактивации, это не сбой системы. Кто-то знал, что карточка активна или кто-то сделал её активной специально.
И этот кто-то вошёл в серверную в 2:28. В 2:31 открыл терминал под служебным аккаунтом и тридцать шесть минут провёл с прошивкой МРВ-Р. А в журнале доступа не вышел потому, что либо вышел через другой вход, либо запись о выходе была удалена.
Она посмотрела на время.
Потом посмотрела на письмо с логами.
Четыре часа.
Стандарт занимал сорок минут. Четыре часа это уже не нагрузка. Она отправила запрос утром, логи получила почти в час дня. Три часа сорок семь минут подготавливали данные.
Она открыла метаданные выгрузки те самые, которые сама попросила Громова приложить. Он приложил, не мог не приложить, потому что отказ был бы слишком очевидным.
Время создания выгрузочного файла: 12:44.