醫院運維離職報復導致醫院業務系統癱瘓達3個月....!

程序員刪庫跑路屢見不鮮，嚴重的導致公司損失數十億，股價暴跌，比如之前的微盟。近日，西安市蓮湖區人民法院宣布了一起離職報復前東家，破壞計算機信息系統罪的判決。被告人白某某犯破壞計算機信息系統罪，判處有期徒刑三年六個月。

西安市蓮湖區人民法院
刑 事 判 決 書

（2021）陜0104刑初851號

公訴機關西安市蓮湖區人民檢察院

被告人白某某，男,2021年6月24日因涉嫌破壞計算機信息系統罪被刑事拘留，2021年7月29日被依法逮捕。現羈押于西安市蓮湖區看守所。
指定辯護人張曉勇，陜西諾爾律師事務所律師。

西安市蓮湖區人民檢察院以蓮湖檢刑訴﹝2021﹞644號起訴書指控被告人白某某犯破壞計算機信息系統罪，向本院提起公訴。

本院受理后，依法組成合議庭，分別于2021年11月25日、2022年5月10日適用普通程序公開開庭審理了本案，期間，案件退補偵查一次。西安市蓮湖區人民檢察院指派檢察員趙詩媛出庭支持公訴，被告人白某某、辯護人張曉勇、偵查人員劉某某到庭參加了訴訟。本案現已審理終結。

西安市蓮湖區人民檢察院指控：被告人白某某自2014年6月入職西安蓮湖某中醫醫院擔任網絡管理員工作，2021年3月中旬辭職。白某某認為某醫院常拖欠工資、領導對其工作不重視，繼而產生報復心理，加之原醫院同事經常讓其幫忙解決網絡問題，白某某產生了制造麻煩讓醫院再來找其解決的辦法。

2021年3月14日至5月14日，被告人白某某在其辭職后未經某醫院知情并同意的情況下，通過某醫院VPN（虛擬專用網絡）連接，多次通過遠程桌面登陸到某醫院服務器進行操作，重置了醫院的路由器；又在ERP（企業資源管理軟件）上，將管理員密碼更改，并重新創建服務器系統賬戶；還將ERP服務器作為跳板，進入醫院的NODE2服務器內的虛擬機管理系統，將DC2域控虛擬機文件刪除，直接導致醫院70余臺計算機無法加域，網絡連接出現異常，無法遠程訪問體檢、病人病歷等系統數據，醫院網絡信息管理系統失效。事發后，現任網管無法登陸ERP服務器管理員賬戶進行維護，嚴重影響了醫院的正常運營。

2021年5月15日19時許，某醫院工作人員報案。2021年6月23日將白某某抓獲。
為證實指控的犯罪事實成立，公訴人當庭宣讀、出示了報案材料、抓獲經過、查獲記錄、扣押物品清單、提取筆錄、檢查筆錄、證人證言、被告人的供述與辯解、營業執照、戶籍信息等證據材料，據此認為被告人白某某的行為均已觸犯《中華人民共和國刑法》第二百八十六條第一款之規定，構成破壞計算機信息系統罪，建議判處白某某有期徒刑五年。

庭審中，被告人白某某對指控的主要犯罪事實承認屬實，對指控罪名無異議，唯辯解其刪除某醫院域控服務器文件后，雖然域用戶名無法登陸，但是電腦的本地用戶名仍可登陸處理業務和問題，其行為的破壞結果，造成的影響并非特別嚴重。

辯護人辯護稱被告人白某某的行為雖然構成破壞計算機信息系統罪，但被其破壞系統受損的電腦并沒有70余臺之多，應評價為后果嚴重而非特別嚴重；白某某如實供述罪行，具有坦白情節，悔罪；自愿認罪認罰；親屬代其賠償被害單位，取得諒解，建議從輕處罰，
經審理查明：2014年6月，被告人白某某入職西安蓮湖某中醫醫院（以下簡稱某醫院）擔任網絡管理員。2021年3月中旬辭職后，白某某認為某醫院此前常拖欠工資、領導對其工作不重視，繼而產生報復心理，加之原同事經常讓其幫忙解決網絡問題，白某某便產生了制造網絡故障讓某醫院再來找其解決的想法。

2021年3月14日至5月14日，被告人白某某在某醫院不知情的情況下，通過某醫院VPN（虛擬專用網絡）連接，多次通過遠程桌面登陸到某醫院服務器進行操作，重置了醫院的路由器，又在ERP（企業資源管理軟件）上更改管理員密碼，并重新創建服務器系統賬戶，還將ERP服務器作為跳板，進入某醫院的NODE2服務器內的虛擬機管理系統，將DC2域控虛擬機文件刪除，直接導致醫院40余臺計算機設備無法加域，網絡連接出現異常，無法遠程訪問體檢、病人病歷等系統數據，醫院的網絡信息管理系統失效。事發后，某醫院現任網絡管理員無法登陸ERP服務器管理員賬戶進行維護，嚴重影響了該醫院的正常運營。

2021年5月15日，某醫院向機關報案。2021年6月23日民警在西安市未央區XX路西安泰富西瑪電機有限公司將白某某抓獲。

上述事實，有經庭審舉證、質證、本院予以確認的如下證據證明：
1.立案決定書、接處警登記表、受案登記表證實：2021年5月15日，某醫院報案稱其單位計算機服務器內域控系統虛擬主機資料被刪除，集群文件被破壞，無法恢復，導致醫院系統不能正常轉，造成嚴重后果。5月17日，蓮湖分局立案偵查。

2.報案材料證實：2021年5月14日9：00左右，某醫院五樓、六樓辦公區域無法上網，無線AP無法上網。11：30醫院工作人員對路由器進行密碼重置，發現五層、六層上網權限被刪除，重新添加被刪除的兩個網段后，網絡恢復正常。5月15日8：45登陸虛擬化物理服務器NODE2進行公共網盤維護，發現域控服務器DC2處于關閉狀態，無法啟動，排查發現虛擬磁盤文件在2021年5月14日23：03刪除，虛擬化集群配置被刪除。5月15日17：40對服務器數據庫進行備份，更改了服務器本地管理員賬號密碼，排查發現ERP服務器無法登陸，提示密碼錯誤，查看路由器日志發現有多條VPN登陸記錄，懷疑有人惡意登陸破壞信息系統，隨后將記錄導出。

某醫院收集的電腦故障狀況圖片顯示，該院院導醫臺、專家三診室、專家四診室、薛志德醫生診室、西藥房、內宣部、網管辦、院辦主任、醫保辦、院辦宗浩、院辦人事、護士長、會計、會計辦公室、總院長、四樓護士站、四樓醫生辦公室、四樓特需門診等部門的30臺電腦均出現不能加域、上網、共享連接打印機等故障。

另有自2021年3月31日開始該院住院部、藥房、B超室、人事部、院長等部門電腦不斷出現系統無法連接、病歷打不開、公共網盤打不開、門診系統無法登陸等故障的微信截圖照片11張。

3.抓獲經過說明、查獲記錄、扣押物品清單證實：2021年6月23日11時許，民警在西安市未央區XX路XX號西安泰富西瑪電機有限公司辦公室將被告人白某某抓獲，現場查獲其作案用的黑色聯想筆記本電腦和OPPOR15手機各一部，依法扣押。

4.提取筆錄、照片證實：2021年7月14日13時許，機關從被告人白某某的OPPOR15手機中提取到5月12日至5月14日瀏覽記錄三頁，其中有“如何設置域控超級管理員”、“域內如何指定超級管理員”、“如何讓域所有用戶擁有超級管理員權限”等記錄。

5.電子數據現場提取筆錄、固定清單、電子證據檢查筆錄。案發后，偵查機關從某醫院機房內的二臺戴爾DellPoweredger720服務器、一臺聯想ThinkServerTD340服務器、一臺睿易RG-NBR6205-E路由器以及被告人白某某的聯想黑色筆記本電腦硬盤中提取到VPN連接記錄、ERP服務器系統日志、NODE2服務器系統日志、白某某個人電腦日志等相關電子數據，電子數據顯示：

（1）2021年3月14日21：56：43，用戶baiXXXXXX使用web網頁從IP111.18.40.87登陸VPN賬號進入某醫院內網環境，21：59：44會話保活超時，強制下線。
（2）2021年3月15日16：59：36，用戶baiXXXXXX使用windows終端從IP1.85.243.55登陸VPN賬號進入某醫院內網環境，并嘗試使用遠程桌面連接多臺設備，最終成功連接到TIANYITANG系統。
（3）2021年3月16日13：32：55，用戶baiXXXXXX使用windows終端從IP1.85.245.127登陸VPN賬號進入某醫院內網環境，使用Administrator賬號登陸ERP系統，13：40：16注銷登陸。

（4）2021年3月19日8：01：41，用戶baiXXXXXX使用windows終端從IP1.85.242.73登陸VPN賬號進入某醫院內網環境，8：05：37以內網IP為172.16.100.4名為USER-20170707GE的計算機成功使用Administrator賬號登陸ERP系統，8：32：20斷開ERP系統內的遠程桌面連接，8：34：35注銷登陸。

（5）2021年5月12日20：36：44，內網IP172.16.100.4使用Administrator賬號登陸某醫院ERP系統，20：37：55，用戶baiXXXXXX使用windows終端

IP111.18.136.150登陸VPN賬號進入某醫院內網環境，后嘗試從內網環境下多次使用VPN賬號admin進行連接，由于密碼錯誤登陸失敗。20：39：04在ERP系統內新建ERP-1賬戶。21：04：46斷開ERP系統內的遠程桌面連接，21：11：11注銷登陸。

（6）2021年5月12日21：24-21:28，用戶liy2015、liy2017從IP111.18.136.150四次嘗試登陸VPN賬號進入某醫院內網環境失敗。

（7）2021年5月12日21：38：20用戶baiXXXXXX使用windows終端從IP111.18.136.150登陸VPN賬號進入某醫院內網環境，開啟隧道接入服務，隧道IP：172.16.100.4，后三次嘗試使用VPN賬號admin進行連接，但由于密碼錯誤登陸失敗，22：13：48，賬號baiXXXXXX重新連接內網環境，分配獲得內網IP：172.16.100.4，22：16：16賬號baiXXXXXX從111.18.136.150注銷登陸。ERP服務器系統日志顯示21：33：47，內網IP：172.16.100.4使用administrator賬號登陸ERP系統，隨后使用USER-20170707GE的計算機，用administrator賬號遠程桌面連接至ERP系統內，21：37：02重置ERP系統administrator賬戶密碼，21：50：26重啟windows系統。

（8）2021年5月14日14：17，用戶liy2015嘗試從IP:123.138.75.10登陸VPN賬號，由于用戶名或密碼錯誤登陸失敗。14：17：53，用戶baiXXXXXX使用web網頁從IP:123.138.75.10登陸成功，進入某醫院內網環境，14：21：03會話保活超時，強制下線。
（9）2021年5月14日14：22，用戶baiXXXXXX使用windows終端從IP117.136.86.31登陸成功，進入某醫院內網環境，開啟隧道接入服務，隧道IP172.16.100.4。后多次嘗試使用“super”、“admin”的賬戶從內網環境登陸VPN由于賬戶不存在或者密碼錯誤登陸失敗。14：27：31，用戶賬號baiXXXXXX從IP117.136.86.31注銷登陸。

（10）2021年5月14日19：32，用戶baiXXXXXX使用windows終端從IP111.18.140.15登陸成功,進入某醫院內網環境，開啟隧道接入服務，隧道IP172.16.100.4，隨后多次嘗試用“admin”、“super”、“administrator”、“趙某某”、“123”、“ZGG”、“zgg”、“tyt”、“baiyj”等賬戶從內網環境登陸VPN,由于賬戶不存在或者密碼錯誤登陸失敗，最后在內網環境下使用VPN賬號“baiXXXXXX”成功登陸，外網鏈接被擠掉線。

（11）2021年5月14日19：41，用戶baiXXXXXX使用windows終端從IP111.18.140.15登陸成功，進入某醫院內網環境，開啟隧道接入服務，隧道IP172.16.100.4,19：44以該內網IP使用administrator賬號登陸ERP系統，修改了ERP系統的賬戶“ad”,后禁用了ERP系統的賬戶“ad”。

（12）2021年5月14日22：42，用戶baiXXXXXX使用windows終端從IP111.18.195.12登陸成功，進入某醫院內網環境，開啟隧道接入服務，隧道IP172.16.100.4,22：44以該內網IP使用administrator賬號登陸ERP系統。22：52-22：53，多次嘗試在ERP系統下使用“administrator”、“Administrator”等賬戶登陸NODE2系統，由于用戶名不存在或密碼失效而登陸失敗，后使用“Administrator”成功登陸進入NODE2系統。該時段內，NODE2服務器內hyper-v虛擬機報錯，無法正常啟動。
（13）2021年5月16日21：57，用戶baiXXXXXX使用windows終端IP111.19.40.73登陸成功，進入某醫院內網環境，開啟隧道接入服務，隧道IP172.16.100.4,21:58以該內網IP使用administrator賬號登陸ERP系統,多次嘗試在ERP系統下用“Administrator”、“administrator”、“vmm”、“admin”、“fudd2014”、“scvmm”等賬戶登陸NODE2系統，由于用戶名不存在或密碼失效而登陸失敗。
6.偵查實驗過程說明及所附視頻。2021年6月23日16：02-19：33，機關使用實驗筆記本電腦進行了偵查實驗，還原了被告人白某某作案侵入某醫院內網環境的過程，全程錄像。
7.調取證據通知書、IP和MAC地址查詢結果、寬帶賬號說明。偵查機關向中國移動西安分公司、中國聯通西安分公司、中國電信西安分公司三家運營商查詢涉案的對應IP所綁定的寬帶和MAC地址，證實：2021年5月12日20:37、21：38、5月14日22：42，中國移動寬帶用戶1389192****（白某某使用的手機號）b0:53:65:7d:62:f2登陸某醫院服務器IP111.18.136.150；2021年5月14日19：32、19：41該移動寬帶用戶登陸某醫院服務器IP111.18.140.15，5月14日22：42登陸某醫院服務器IP111.18.195.12，5月16日21：57登陸某醫院服務器IP111.19.40.73。

2021年5月14日14：17，曾登陸某醫院內網環境的IP:123.138.75.10地址為西安泰富西瑪電機有限公司100M442（案發時被告人白某某所在的新單位）。
2021年3月15日16：59、3月16日13：32、3月19日8：01登陸某醫院內網的IP1.85.243.55、IP1.85.245.127、IP1.85.242.73地址用戶為西安華力裝備科技有限公司（被告人白某某從某醫院離職后的入職單位），賬號分別為029********、029********，與西安華力裝備科技有限公司提供的公司寬帶賬號一致。

8.證人夏某某（某醫院職工）的證言：2021年5月15日早上，某醫院網絡管理員發現服務器內域控系統虛擬主機里的資料被刪除，導致醫療系統不能正常運行，用于搭建域控系統的文件丟失，無法恢復。

9.證人邱某某（某醫院院長）的證言：某醫院使用的是方易醫院管理系統V1.0，共有75臺計算機在使用。該系統串聯了醫院所有科室的業務，各科室可以通過該系統進行信息傳遞，系統與外網不連接。2021年3月19日某醫院的計算機系統出現異常，首先是放射科異常離線，后來陸續別的科室也現現類似問題，醫院一直在修復，直到5月15日早上，發現醫院的大屏幕連接不上了，到了5月15日11時左右，發現服務器虛擬機鏡像被刪除，導致整個醫院計算機系統陸續出現故障，掛號處網絡連接不上，藥庫無法錄入新的藥品，放射、B超、檢驗無法串聯，病歷無法輸入，無法打印，電子顯示屏無法使用，醫院業務無法正常運行。系統無法恢復后，醫院重新搭建了新的名叫healthone信息系統，花費38萬元。

10.證人趙某某（某醫院網絡管理員）的證言：2021年3月其入職某醫院，3月13日和醫院之前的網管白某某交接了工作，交接的內容是HIS系統、ERP、路由器賬號密碼、防火墻賬號密碼、其它系統的管理員賬號密碼以及硬件交接，沒有交接VPN賬號密碼。白某某未告知其路由器上有架設VPN的服務，其事后排查時才發現，接手時沒有更改密碼，系統出現問題后才改動密碼，但是還是有異常情況，2021年4月11日左右，系統主域控被破壞，造成醫院電腦不能用域控用戶賬戶登陸，當時啟用了備份DC2，系統暫時恢復正常；2021年5月11日，路由器里面網段的設置被刪除，造成醫院一樓至四樓、六樓的外網連接不上，登陸發現路由器密碼被修改，其通過硬件重置后找回了備份，還原了設置。2021年5月15日早上巡檢系統發現備用域控DC2磁盤文件被刪除，服務器集群被破壞，公共網盤的部分資料被刪除，ERP系統登陸密碼也被修改，造成醫院的電腦使用域控賬戶不能登陸、電腦不能進行網絡打印機共享、部分醫療系統軟件不能正常使用，部分以前的病人資料丟失。被破壞的應是NODE2上面的DC2，沒有修復可能，只能搭建新的系統。

11.證人孟某某、陳某某、葛某某、湯某某、伍某某、張某甲、杜某某、張某乙的證言。八名證人均系某醫院職工，均證實各自在白某某從某醫院離職后因電腦網絡問題求助于白某某。

12.被告人白某某的供述：2014年6月其入職某中醫醫院，2021年3月離職，離開后常應前同事要求幫忙處理某醫院的網絡故障問題。大概在3月16日左右，其在華力裝備有限公司上班時多次通過公司電信網絡訪問過某內網，5月14日左右在泰富西瑪電機有限公司上班期間午休時通過公司的聯通網絡訪問過某，3月、5月晚上，也曾在冶金社區家中通過移動寬帶多次訪問過。之前在某中醫醫院上班時，經常拖欠自己工資，領導不重視其工作崗位，認為可有可無，其心里不舒服，下決心要走，離職后同事常找其幫忙，其熟悉某的系統，有些報復心理，便通過自己的筆記本電腦多次通過VPN通道使用遠程桌面登陸到某醫院財務（ERP）服務器操作，再從ERP服務器使用遠程桌面連接到其他服務器。進入ERP服務器之后，其修改了Administrator的賬戶密碼，還創建了一個ERP-1新賬戶，禁用了一個賬戶。從ERP服務器通過遠程桌面進入到NODE2服務器，將域控虛擬機DC2磁盤鏡像刪除。在此過程中，醫院的人將路由器重置，其無法進入內網，XX路XX路由器設置恢復到之前的狀態。DC2鏡像刪除后其嘗試登陸近四十次NODE2服務器，目的是想看NODE2服務器上搭建的醫院新的系統項目。DC虛擬機刪除后，某醫院的計算機就無法加域了，體檢、病例、his也無法加域，系統功能無法被正常訪問。其還重置了醫院網絡VPN出廠設置，在WRP上刪除原管理員密碼，導致醫院無法正常登陸ERP后臺，無法維護醫院后臺所有程序，并增加了只有其本人才能登陸的管理員賬號，隱藏了醫院病歷模板，誤刪了域控程序文件，導致醫院域控無法登陸，刪除了DC2磁盤鏡像，致使醫院網絡異常，日常工作癱瘓，無法正常開展工作。

13.工作交接清單證實：2021年3月13日，被告人白某某與趙某某進行了工作交接，
14.指認筆錄。被告人白某某對查獲的作案工具筆記本電腦、手機進行了指認。
15.員工信息登記表、考勤表及離職證明、勞動合同證實，白某某于2014年入職陜西華佑醫療投資集團有限公司（某醫院創辦人），擔任網絡安全工程師，2021年3月10日離職。2021年3月15日至2021年5月，在西安華力裝備科技有限公司信息部工作。2021年5月18日入職西安泰富西瑪電機有限公司。
16.西安蓮湖某中醫醫院營業執照、醫療機構執業許可證。
17.賠償協議書、收條、諒解書證實：2021年11月29日，被告人白某某的親屬代其賠償某醫院5萬元，某醫院對白某某表示諒解。

18.人口信息證實：被告人白某某案發時已成年，具備完全刑事責任能力。

本院認為，被告人白某某違反國家規定，對計算機信息系統功能進行刪除、修改、增加，造成其原任職的醫療機構計算機信息系統不能正常運行，后果嚴重，其行為已觸犯《中華人民共和國刑法》第二百八十六條第一款之規定，構成破壞計算機信息系統罪。西安市蓮湖區人民檢察院指控被告人白某某的主要犯罪事實和罪名成立。

關于被告人白某某犯罪行為危害后果的嚴重程度，被害單位某醫院稱致使其單位75臺電腦和醫療設備的運行全部受到影響，但該情節僅有證人邱某某（時任某醫院院長）的證言及該醫院自身出具的情況說明支持，缺少準確的客觀證據證實，被告人白某某對此亦提出異議，而某醫院報案時收集的故障電腦圖片資料顯示僅有40余臺電腦出現不能加域、上網、共享和連接打印機等故障，二者相互矛盾，在此本院采信對被告人有利的后者，認定其行為造成40余臺計算機系統不能正常運行，綜合評估，其犯罪情節并未達到后果特別嚴重的程度。鑒于被告人白某某歸案后能如實供述主要罪行，自愿認罪，系初犯，親屬代其賠償被害單位取得諒解，本院依法予以從輕處罰，辯護人的相關辯護意見，本院予以采納。結合本案被告人犯罪的事實、性質、情節及社會危害程度，依照《中華人民共和國刑法》第二百八十六條第一款、第六十七條第三款、第六十四條、《最高人民法院、最高人民檢察院關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》第四條第一款之規定，判決如下：

一、被告人白某某犯破壞計算機信息系統罪，判處有期徒刑三年六個月（刑期自判決執行之日起計算，判決執行前先行羈押一日折抵刑期一日，即自2021年6月23日起至2024年12月22日止）。
二、扣押在案的作案工具黑色聯想筆記本電腦一臺、OPPOR15型手機一部，由機關依法沒收。
如不服本判決，可自接到判決書的第二日起十日內，通過本院或直接向陜西省西安市中級人民法院提出上訴。書面上訴的應提交上訴狀正本一份，副本三份。

審　判　長　　李旭旭

報復一時爽

被抓火葬場

然而各位老板和對應的運維人員（也就是我本人了）看完之后是不是有一種頭皮發麻的感覺，違法犯罪人員確實得到了應有的法律制裁，但是公司以及甲方爸爸帶來的業務停滯和經濟損失卻已經無法挽回了。

外行看熱鬧 內行看門道

此次嚴重的IT事故 從IT運維管理的角度有沒有一些值得我們思考的地方呢

• 比如基本的堡壘機統一登錄/管理/運維升級系統；

• 特權賬號管理系統；

• 網絡接入/準入系統；

• 運維監控管理系統；

• 核心業務系統的容災備份；

歡迎加入我們的運維技術專家群發表高見

企業服務IT圈：聚焦全球ToB領域：甲方. 廠商. 集成商. 服務商. 渠道. ISV等生態，分享業內干貨，打造中國第一企業服務技術內容社區和社交平臺。

我們根據粉絲真實崗位情況，分別設置：創業高管微信群/運維技術專家群/架構師之家/DevOps技術專家匯/ToB企業銷售互助會/ToB廠商市場人俱樂部，并為大家提供技術咨詢,營銷策劃.招聘及工作推薦等服務。請大家掃碼或者添加微信：tian1tiant,(備注個人真實職業身份信息邀請不同崗位微信群）

公號官方網站：qidao123.com，了解更多，ToB企業服務之家,社交平臺,限時注冊體驗更多服務！