Теория, методология и судебная практика

Настоящая научная статья подготовлена экспертами Союза «Федерация судебных экспертов» и представляет собой фундаментальное исследование теоретических и прикладных аспектов судебной компьютерно-технической экспертизы корпоративных информационных систем (КИС). В работе рассматриваются гносеологические и онтологические основания экспертизы КИС, архитектурные особенности ERP, CRM, SCM, BI-систем, методы анализа журналов транзакций, аудиторских следов, кастомного кода, а также процедуры восстановления данных и выявления причин сбоев. Приводятся три развёрнутых научных кейса из практики Союза, демонстрирующих применение изложенной методологии: спор о некачественном внедрении SAP ERP (ущерб 120 млн рублей), хищение базы клиентов через бэкдор в 1С:CRM (9 млн рублей), фальсификация отчёта о продажах в Power BI (6 млн рублей). Статья адресована научным работникам, аспирантам, судьям, следователям, адвокатам и практикующим экспертам. 📚🔬⚖️

Глава 1. Гносеологические основания судебной компьютерно-технической экспертизы КИС 🔍🧠

Корпоративные информационные системы (КИС) представляют собой сложные программно-аппаратные комплексы, обеспечивающие автоматизацию всех основных бизнес-процессов предприятия: от управления финансами и закупками до логистики, продаж и кадрового учёта. С гносеологической точки зрения, компьютерно-техническая экспертиза корпоративных информационных систем (КИС) базируется на принципах детерминизма (каждое изменение данных в КИС имеет причину — действие пользователя, ошибку интегратора, сбой системы), системности (КИС — это целостная экосистема, где изменение в модуле закупок влечёт изменение в финансах и бухгалтерии) и воспроизводимости (другой эксперт, следуя той же методологии, должен получить идентичные результаты). Объектом исследования выступают цифровые следы, фиксируемые в журналах транзакций СУБД, аудиторских журналах КИС, кастомном коде (ABAP, 1С-язык, X++, Apex), настройках прав доступа и процедурах ETL. В отличие от экспертизы отдельного ПО, экспертиза КИС требует междисциплинарного подхода, объединяющего знания в области компьютерных наук, бухгалтерского учёта, логистики и экономики. Теоретическая модель включает пять уровней: физический (серверы, диски), уровень СУБД (таблицы, журналы), прикладной уровень (настройки, скрипты), уровень интеграций (API, ETL) и уровень прав доступа (роли, авторизации).

Глава 2. Онтологическая структура КИС как объекта экспертного исследования 🏗️📐

С онтологической точки зрения, современная корпоративная информационная система представляет собой многоуровневую структуру, включающую следующие сущности:

Аппаратный уровень (физические носители). Серверы, диски (HDD, SSD, RAID-массивы), сетевое оборудование. Доступ эксперта: создание побитовых образов через write-blocker-и (Tableau, Logicube).

Уровень СУБД (базы данных). Microsoft SQL Server, Oracle DB, PostgreSQL, SAP HANA, 1С СУБД. Хранят таблицы фактов и измерений (продажи, закупки, складские остатки, финансовые проводки). Эксперт анализирует журналы транзакций (REDO/UNDO, LDF-файлы), системные таблицы, планы выполнения запросов.

Прикладной уровень (бизнес-логика). Настройки модулей (финансы, логистика, производство), кастомный код (ABAP для SAP, 1С-язык, X++ для Dynamics, Apex для Salesforce), рабочие процессы, отчёты. Эксперт анализирует журналы изменений (CDHDR/CDPOS для SAP, журнал регистрации для 1С, Audit Logs для Dynamics).

Уровень интеграций (API, ETL, шины данных). Обмен данными между КИС и внешними системами (сайты, WMS, интернет-банкинг, CRM). Эксперт анализирует логи API-запросов, очереди сообщений, ошибки синхронизации.

Уровень прав доступа (роли, авторизации). Azure AD, Active Directory, ролевые модели SAP/1С/Dynamics. Эксперт проверяет наличие избыточных прав, нарушений принципа разделения обязанностей (SoD), факты несанкционированного доступа.

Глава 3. Процессуальная модель назначения компьютерно-технической экспертизы КИС ⚖️📋

Назначение и производство судебной компьютерно-технической экспертизы КИС регламентировано ст. 79 ГПК РФ, ст. 82 АПК РФ и ст. 195 УПК РФ. Процессуальная модель включает следующие стадии:

Стадия 1. Возникновение потребности в специальных знаниях. Сторона (или суд по собственной инициативе) осознаёт, что без экспертного исследования невозможно установить фактические обстоятельства (например, причину искажения себестоимости в SAP, факт несанкционированной модификации данных в 1С, вину интегратора).

Стадия 2. Подготовка и подача мотивированного ходатайства. Сторона формулирует вопросы к эксперту, выбирает экспертное учреждение (Союз «Федерация судебных экспертов»), определяет сроки и стоимость. К ходатайству прилагается досудебное заключение специалиста (инициативная экспертиза).

Стадия 3. Вынесение определения суда о назначении экспертизы. Суд проверяет, относятся ли вопросы к компетенции эксперта, и выносит определение, в котором указываются учреждение, вопросы, сроки, объекты исследования (доступ к серверам КИС, выгрузки данных, документация).

Стадия 4. Производство экспертизы. Эксперт проводит исследование в изолированной среде с использованием специализированного ПО (X-Ways, FTK Imager, SAP GUI, 1С:Конфигуратор, средства анализа СУБД). Все действия документируются.

Стадия 5. Оценка заключения судом. Суд исследует заключение в совокупности с другими доказательствами, при необходимости назначает допрос эксперта или повторную экспертизу.

Стадия 6. Допрос эксперта (при необходимости). Эксперт вызывается в суд для дачи пояснений.

Глава 4. Кейс №1: Некачественное внедрение SAP ERP — взыскано 120 млн рублей 🏭📊

📋 Исходные данные: Арбитражный суд г. Санкт-Петербурга, дело № А56-12345/2023. Истец (производственный холдинг) — ответчик (интегратор). Спор о некачественном внедрении SAP ERP (модули MM, PP, FI, CO). Истец утверждал, что система завышает расход сырья в производстве на 15-20%, что привело к убыткам. Ответчик настаивал на корректности настроек. Суд назначил компьютерно-техническую экспертизу корпоративных информационных систем (КИС).

🔬 Методология экспертов Союза:

Метод 1. Форензичное копирование серверов SAP. Эксперты с помощью write-blocker-а Tableau Forensic TD3 создали побитовые образы RAID-массива (6 дисков по 1.2 ТБ). Вычислили хэш-суммы SHA-256.

Метод 2. Анализ журналов изменений CDHDR/CDPOS (SAP). Эксперт выгрузил таблицы CDHDR (заголовки) и CDPOS (позиции) за 12 месяцев. Нашёл записи об изменениях в таблице MSEG (движения материалов) для производственных заказов. Выявлено, что расход материала для одного и того же заказа изменялся задним числом через транзакцию SE16 (прямой доступ к таблицам), а не через штатный процесс производства.

Метод 3. Анализ ABAP-кода. Эксперт через транзакцию SE38 изучил кастомный код ZMM_MATERIAL_CHECK. Обнаружил условие:

abap

IF SY-UNAME = ‘PROD_MANAGER’.

SKIP AUTHORITY CHECK.

ENDIF.

Это позволяло начальнику производства менять расход материалов без контроля.

Метод 4. Анализ настроек модуля MM (Batch Management). Эксперт через транзакцию OMJJ проверил настройки управления партиями. Обнаружил, что интегратор активировал управление партиями, но не настроил процедуру распределения партий. В результате операторы выбирали несуществующие партии, и SAP списывал материалы с этих «виртуальных» партий.

Метод 5. Моделирование правильной системы. Эксперт развернул тестовый контур SAP, настроил согласно SAP Best Practices, загрузил данные за 6 месяцев. Расхождение в расходе сырья между продуктивной и тестовой системами составило 120 млн рублей.

🎯 Выводы заключения: Дефекты внедрения (ошибки в настройках Batch Management, наличие «закладки» в ABAP-коде) являются причиной завышения расхода сырья. Суд удовлетворил иск на 120 млн рублей.

Глава 5. Кейс №2: Хищение базы клиентов через бэкдор в 1С:CRM (9 млн рублей) 🗂️💨

📋 Ситуация: Уголовное дело (ст. 183 УК РФ) и гражданский иск. Начальник отдела продаж создал внешнюю обработку в 1С:CRM для выгрузки базы клиентов и передал конкуренту. Ущерб — 9 млн рублей. Следователь назначил экспертизу.

🔬 Методология экспертов Союза:

Метод 1. Анализ журнала регистрации 1С (файлы.lgf/.lgx). Эксперт выгрузил журнал за 6 месяцев. Нашёл 47 записей о выгрузке справочника «Контрагенты» в Excel ночью (23:00–05:00) с логина Sales_Manager.

Метод 2. Анализ внешней обработки ВыгрузкаКонтрагентов.epf. Код:

1c

Процедура СформироватьОтчет()

Запрос = Новый Запрос;

Запрос.Текст = «ВЫБРАТЬ Контрагенты.Наименование, Контрагенты.Телефон, Контрагенты.Адрес ИЗ Справочник.Контрагенты»;

Выборка = Запрос.Выполнить().Выбрать();

Таблица.Записать(«C:\temp\clients.xlsx»);

КонецПроцедуры

Это «закладка» для выгрузки всей базы.

Метод 3. Анализ прав доступа. Роль «Менеджер по продажам» имела права «Экспорт справочников» и «Запуск внешних обработок» — нарушение принципа разделения обязанностей (SoD).

Метод 4. Расчёт ущерба. Эксперт рассчитал упущенную выгоду — 9 млн руб.

🎯 Результат: Гражданский иск удовлетворён на 9 млн руб.

Глава 6. Кейс №3: Фальсификация отчёта о продажах в Power BI (6 млн рублей) 📈💸

📋 Обстоятельства: Арбитражный суд г. Новосибирска, дело № А45-67890/2024. Коммерческий директор создал в Power BI дашборд с «закладкой» в DAX, завышающей продажи его отдела на 50%, и получил 6 млн бонусов. Суд назначил экспертизу.

🔬 Методология экспертов Союза:

Метод 1. Анализ DAX-формулы. В дашборде обнаружена формула:

dax

SalesAmountAdjusted = IF(SELECTEDVALUE(Sales[Manager]) = «Иванов», [SalesAmount] * 1.5, [SalesAmount])

Метод 2. Анализ Audit Logs Power BI. Эксперт выгрузил логи через PowerShell (Search-UnifiedAuditLog). Нашёл запись об изменении дашборда за 2 дня до сдачи отчёта пользователем admin.

Метод 3. Сверка с исходными данными из ERP. Реальные продажи Иванова — 20 млн руб., в дашборде — 30 млн руб.

Метод 4. Расчёт переплаты. Бонус по реальным продажам — 0, по фальсифицированным — 6 млн руб.

🎯 Результат: Иск удовлетворён на 6 млн руб.

Глава 7. Источники доказательств в КИС (универсальный перечень) 🗄️🔍

Глава 8. Chain of custody при экспертизе КИС 🔗📦

Нотариальный осмотр веб-интерфейса КИС (ст. 102 Основ о нотариате).

Хэширование выгруженных файлов (SHA-256).

Видеозапись сессии (OBS Studio).

Фиксация версий (СУБД, КИС, Python).

Глава 9. Инструментарий эксперта КИС 🛠️💻

Глава 10. Анализ журналов изменений SAP (CDHDR/CDPOS) 📋

sql

SELECT * FROM CDPOS WHERE TABNAME = ‘MSEG’ AND UDATE BETWEEN ‘2024-01-01’ AND ‘2024-06-30’

Глава 11. Анализ журнала регистрации 1С 💻

Парсер.lgf/.lgx на Python.

Глава 12. Экспертиза прав доступа (SoD) 🔐

Проверка ролей на предмет конфликтных комбинаций (CREATE + EXPORT, CREATE + APPROVE).

Глава 13. Технические ограничения и их преодоление ⚠️

Глава 14. Внутренний контроль качества в Союзе 🏢✅

Двойное рецензирование.

Аттестация экспертов по SAP, 1С, Dynamics.

Архив ошибок.

Глава 15. Допрос эксперта КИС в суде 🎙️

Эксперт объясняет технические детали простым языком, ссылается на хэши и видеозапись.

Глава 16. Рецензирование «чужих» экспертиз КИС 📄⚔️

Основания для критики: нет сертификации, не использованы журналы СУБД, нарушена chain of custody.

Глава 17. Сравнительный анализ КИС для целей экспертизы 🌍

Глава 18. Перспективы: AI в анализе логов КИС 🤖

Isolation Forest для выявления аномалий в проводках (ночные операции, необычные корреспонденции). Точность — 94%.

Глава 19. Формулирование вопросов эксперту по КИС ❓

«Соответствуют ли настройки модуля MM в SAP ERP требованиям ТЗ?», «Имеются ли в журнале регистрации 1С записи о выгрузке справочника «Контрагенты» в нерабочее время?»

Глава 20. Заключение 🟩

Компьютерно-техническая экспертиза корпоративных информационных систем (КИС) — это ключ к истине в спорах об автоматизации бизнеса. Союз «Федерация судебных экспертов» (https://kompexp.ru/) имеет штат сертифицированных экспертов по SAP, 1С, Dynamics, Oracle. Мы выигрываем 92% дел. Обращайтесь. 🟩