Экспертные методы и практика доказывания КИС в суде
Глава 1. Введение: КИС как объект экспертного исследования 🏢🔬
Корпоративные информационные системы (КИС) — ERP (SAP, Oracle, 1С, Microsoft Dynamics), CRM (Salesforce, HubSpot, AmoCRM), BI (Power BI, Tableau), SCM, HRM и другие — являются цифровым ядром современного предприятия. Они аккумулируют финансовые, логистические, производственные и управленческие данные. Когда возникает спор — о некачественном внедрении, о невыплаченных комиссионных, о хищении базы клиентов, о манипуляции с отчётностью — данные из КИС превращаются в ключевые доказательства. Однако судья, не обладающий специальными познаниями, не может самостоятельно отделить истину от вымысла. Компьютерная экспертиза корпоративных информационных систем (КИС) для подачи иска в суд — это комплексное исследование, проводимое независимыми экспертами, позволяющее установить фактические обстоятельства, имеющие значение для судебного разбирательства. Союз «Федерация судебных экспертов» (сайт: https://kompexp.ru/) предлагает услуги по проведению такой экспертизы на высочайшем профессиональном уровне. 🎯
Глава 2. Экспертная классификация КИС как объектов исследования 📊🔬
2.1. По способу развёртывания:
Локальные КИС (on-premise): Серверы и базы данных на территории организации. Эксперт работает с образами дисков, базами данных, логами ОС. 🖥️
Облачные КИС (SaaS): Данные у провайдера (Salesforce, HubSpot, AmoCRM, Power BI Service). Эксперт работает через API, логи аудита, экспорт метаданных. ☁️
Гибридные. Часть данных локально, часть в облаке. 🔄
2.2. По типу СУБД:
Реляционные СУБД (MS SQL, Oracle, PostgreSQL, MySQL). Транзакционные логи (LDF, redo logs, WAL, BInlog) фиксируют каждое изменение. 🗄️
NoSQL (MongoDB, Cassandra). Специфические механизмы аудита.
Файловые базы (1С файловый вариант,.1CD). Carving, анализ структуры файла. 📁
2.3. По архитектуре приложения:
Модульные КИС (SAP, Dynamics). Разные модули (FI, CO, MM, SD) — разные источники следов.
CRM-системы (Salesforce, HubSpot, AmoCRM). Журналы аудита, API-логи, Connected Apps.
BI-системы (Power BI, Tableau)..BIm, M-код, DAX, RLS.
Экспертное правило: Способ развёртывания, тип СУБД и архитектура определяют набор доступных источников цифровых следов. 🧩
Глава 3. Экспертная идентификация источников цифровых следов в КИС 🔍📋
3.1. Журналы аудита прикладного уровня:
SAP: CDHDR/CDPOS (журнал изменений документов), SM21 (системный журнал), STAD. 🗒️
Microsoft Dynamics 365: AudIT Logs (Dataverse), Power Automate Run History. 📊
1С: Журнал регистрации (1Cv8.lgd), таблицы аудита в SQL.
CRM (Salesforce, HubSpot, AmoCRM): AudIT Log, API Logs, Connected Apps.
BI (Power BI, Tableau): AudIT Logs, Refresh History, Version History.
3.2. Транзакционные логи СУБД (для on-premise):
MS SQL: .ldf — читаются через fn_dblog, ApexSQL Log. 🗄️
Oracle: Redo logs, archived logs — читаются через LogMiner. 🔐
PostgreSQL: WAL — pg_waldump. 📁
MySQL: BInlog — mysqlBInlog. 📊
3.3. Системные журналы ОС и веб—серверов:
Windows: Event Logs (SecurITy, Application, System), логи IIS. 💻
Linux: syslog, auth.log, логи Nginx/Apache. 🐧
3.4. Файлы метаданных и конфигурации:
Power BI: .pBIx →.zip →.BIm (JSON), M-код. 📐
Tableau: .twb (XML). 📁
1С: .cf,.dt,.1CD. 🗂️
SAP: транспортные запросы (TMS), настройки транзакций.
3.5. Клиентские устройства (компьютеры пользователей): История браузера, загруженные файлы, pagefile.sys, hiberfil.sys. 💾
Экспертное правило: Используется максимальное количество независимых источников для перекрёстной верификации выводов. 🔄
Глава 4. Кейс первый: Некачественное внедрение SAP — взыскание убытков с интегратора 💼💔
Фабула дела: АО «СтройГигант» заключило договор с интегратором «ИТ-Решения» на внедрение SAP S/4HANA (модули FI, CO, MM). Стоимость контракта — 30 млн рублей. По ТЗ система должна была автоматически рассчитывать себестоимость продукции. После внедрения себестоимость рассчитывалась с ошибками — завышение на 40%. Ущерб — 50 млн рублей. Интегратор: «Настройки соответствуют ТЗ. Клиент сам изменил параметры». Суд назначил компьютерная экспертиза корпоративных информационных систем (КИС) для подачи иска в суд. 🧐
Экспертное исследование (Союз «Федерация судебных экспертов»):
Анализ настроек SAP (транзакции OKB9, KEPH, KALC). Эксперт получил доступ к системе (по определению суда). Выгрузил настройки контроллинга. Вместо метода «Standard cost» (по ТЗ) установлен метод «FIFO» — завышение себестоимости. 📊
Анализ журнала изменений (CDHDR/CDPOS). Настройки изменены пользователем INTEGRATOR_ADMIN после подписания акта. Время — 23: 47, IP — домашний. 📅
Анализ SM21. Журнал показал: ошибка не в коде, а в настройках. 🕵️
Анализ действий пользователей (SUIM). Истец не вносил изменения после приёмки. ✅
Выводы эксперта: 🎯
Настройки не соответствуют ТЗ (FIFO вместо Standard).
Изменения внесены интегратором после акта.
Истец не вмешивался.
Результат: Взыскано 30 млн (контракт) + 50 млн (ущерб) + расходы. 🏆
Экспертный вывод: Анализ настроек и журналов изменений доказывает некачественное внедрение. 🔑
Глава 5. Экспертная методология анализа журналов аудита 📊🔬
Журнал аудита — центральный источник для компьютерная экспертиза корпоративных информационных систем (КИС) для подачи иска в суд. Методология:
5.1. Проверка включения аудита. Если аудит отключен — фиксируется в системных журналах (кто, когда). 🔧
5.2. Выгрузка аудита. Через API, встроенные отчёты, SQL-запросы к таблицам аудита. 📁
5.3. Экспертная структура записи аудита: пользователь, время, действие, объект, старое/новое значение, IP-адрес. 📊
5.4. Экспертный поиск аномалий: массовые экспорты/удаления в нерабочее время, изменения критических полей, входы с необычных IP. 🔍
5.5. Экспертная верификация: хеш-суммы (SHA-256) выгруженных файлов аудита. 🔐
Глава 6. Кейс второй: Хищение базы клиентов из CRM — взыскание ущерба 🗂️👨💼
Фабула дела: ООО «ТоргСервис» уволило менеджера Иванова. Через месяц крупный клиент перешёл к конкуренту — новому работодателю Иванова. Ущерб — 25 млн. Иванов отрицал копирование базы. Суд назначил компьютерная экспертиза корпоративных информационных систем (КИС) для подачи иска в суд. 🧐
Экспертное исследование (Союз «Федерация судебных экспертов»):
Выгрузка аудита AmoCRM. 15 марта в 23: 30-02: 00 пользователь Ivanov экспортировал 150 контактов. 📊
Анализ API-логов. Вызовы /api/v4/contacts/export с IP-адреса — домашнего Иванова. 🌐
Анализ компьютера Иванова (изъят). Файл clients_export_ivanov.csv. Хеш-сумма совпадает с эталонным экспортом. 🔐
История браузера. Страница экспорта AmoCRM в ту же ночь. 🌍
Выводы эксперта: 🎯
Иванов произвёл массовый экспорт контактов.
Файл экспорта на его компьютере.
Связь с переходом клиента доказана.
Результат: Взыскано 25 млн. Возбуждено уголовное дело по ст. 183 УК РФ. 🚔
Экспертный вывод: Анализ аудита, API-логов и компьютера доказывает копирование базы. 🔑
Глава 7. Экспертная методология анализа API-логов 🔗🔍
7.1. Источники API-логов: встроенные инструменты CRM (Salesforce Event MonIToring, HubSpot API Logs, AmoCRM API Logs). 📁
7.2. Структура записи: timestamp, user_id/app_id, ip_address, method, endpoint, query, response_size. 📊
7.3. Экспертный поиск аномалий: массовые SELECT-запросы в нерабочее время, передача больших объёмов данных, IP-адреса не принадлежащие компании. 🔍
7.4. Установление авторства Connected Apps. Метаданные приложения + аудит. 🧑💻
Глава 8. Кейс третий: Логическая бомба в 1С — взыскание ущерба 💣👨💻
Фабула дела: ООО «ПромТех» после увольнения программиста Орлова через 3 недели пропали счета на 50 млн. Орлов отрицал. Суд назначил компьютерная экспертиза корпоративных информационных систем (КИС) для подачи иска в суд. 🧐
Экспертное исследование (Союз «Федерация судебных экспертов»):
Сравнение конфигурации 1С (до и после увольнения). В текущей базе в модуле «Реализация» найден код:
1c
Если ТекущаяДата() > Дата(2023,10,15) и Пользователь <> «Администратор» Тогда
СуммаДокумента = 0;
Отказ = Истина;
КонецЕсли;
Активация после 15 октября (увольнение + 3 дня) для всех, кроме администратора. 💣
Анализ журнала регистрации 1С. Восстановлены удалённые записи. Изменение внесено ORLOV_DEV 12 октября в 19: 30. 🧬
Анализ компьютера Орлова (изъят). В дампе памяти — открытый модуль с кодом. Файл notes.txt: «Активация 15.10». 🗒️
Восстановление счетов из резервной копии. Ущерб — 50 млн. 🔄
Выводы эксперта: 🎯
В конфигурацию 1С внесена «логическая бомба».
Код внедрён Орловым за 3 дня до увольнения.
Ущерб — 50 млн.
Результат: Взыскано 50 млн. Возбуждено уголовное дело по ст. 273 УК РФ. 🚔
Экспертный вывод: Анализ кода, журнала регистрации и компьютера доказывает внедрение «логической бомбы». 🔐
Глава 9. Экспертная методология анализа кода и «логических бомб» 💻🔧
9.1. Сравнение резервных копий. WinMerge, Beyond Compare. Выявление изменённых модулей, автора («modifiedBy»), времени. 🔄
9.2. Поиск подозрительных паттернов:
Проверки на дату: if sy-datum > ‘20250101’ (SAP), if ТекущаяДата() > Дата(…) (1С).
Проверки на пользователя: if sy-uname NE ‘ADMIN’.
Скрытые DELETE, UPDATE, MODIFY.
9.3. Анализ журналов выполнения (Plug-in Trace Log для Dynamics, журнал регистрации для 1С, SM21 для SAP). 📊
9.4. Восстановление удалённых версий из резервных копий и теневых копий. 💾
Глава 10. Типовые экспертные вопросы суда к эксперту по КИС 📝❓
Группа 1. Соответствие функционала договору и ТЗ: ⚙️
Соответствует ли реализованный функционал требованиям ТЗ? Если нет, то какие требования не выполнены?
Имеются ли критические ошибки? Какова их причина (настройки, код)?
Группа 2. Анализ данных и фальсификация: 🔍
3. Имеются ли признаки внесения изменений задним числом? Если да, то какие изменения, когда, с какой учётной записи, с какого IP?
4. Были ли удалены записи? Возможно ли восстановление?
Группа 3. Идентификация пользователей: 🧑💻
5. С какой учётной записи, IP-адреса, в какое время выполнены спорные действия?
Группа 4. Логические бомбы: 💣
6. Имеются ли в коде недокументированные фрагменты, искажающие данные при определённых условиях (дата, пользователь)?
Группа 5. Нарушения SLA: 🕒
7. Соответствует ли время реакции и восстановления условиям SLA?
Глава 11. Экспертные ограничения и пути их преодоления 🚧🧠
11.1. Отключенный аудит. Анализ системных журналов (кто отключил, когда). Если отключен до спорного периода — транзакционные логи СУБД. 📝
11.2. Удаление логов / истории версий. Carving из нераспределённого пространства, анализ резервных копий. 💾
11.3. Отсутствие доступа к КИС ответчика. Ходатайство об истребовании доказательств (ст. 66 АПК). 📜
11.4. Шифрование базы данных. Запрос ключей через суд. Анализ дампов памяти. 🔐
11.5. Облачная среда (нет прямого доступа). Удалённая экспертиза через API. Судебный запрос к провайдеру. ☁️
Глава 12. Инструментарий эксперта-криминалиста по КИС 🛠️💻
Штатные инструменты КИС (на предоставленном доступе): 🟢
SAP: SE16N, SM21, CDHDR/CDPOS, SUIM, DBACOCKPIT.
1С: Конфигуратор, журнал регистрации, выгрузка.dt.
Microsoft Dynamics 365: AudIT Logs (Dataverse), Power Automate Run History.
CRM (Salesforce, HubSpot, AmoCRM): AudIT Log, API Logs.
BI (Power BI, Tableau): .pBIx,.BIm, M-код, AudIT Logs.
Внешние инструменты: 🔵
X-Ways Forensics / EnCase — анализ образов дисков, carving.
VolatilITy Framework — анализ дампов оперативной памяти.
WinMerge / Beyond Compare — сравнение кода.
ApexSQL Log / LogMiner / pg_waldump / mysqlBInlog — анализ транзакционных логов.
Python (pandas, requests) — массовый анализ выгрузок.
Экспертные принципы: 🔒
Неразрушающий контроль: работа с образами, копиями.
Chain of Custody.
SHA-256 хеш-суммы.
Глава 13. Обеспечение допустимости экспертных доказательств 🔒⚖️
13.1. Лицензионное ПО. Никаких «пираток». 🚫
13.2. Chain of Custody. Фиксация: когда, у кого, в каком состоянии получены объекты. Хеш-суммы в протоколе. 🔐
13.3. Документирование методики. Каждый шаг описан для повторяемости. 📄
13.4. Изолированная среда. Для on-premise — работа с образами в виртуальной среде. 🛡️
13.5. Эксперт предупреждён по ст. 307 УК РФ. Уголовная ответственность за ложное заключение. ⚖️
Глава 14. Экспертное заключение по КИС: структура и требования 📄✍️
14.1. Вводная часть: наименование, номер дела, сведения об эксперте, перечень объектов, вопросы. 📋
14.2. Исследовательская часть: методы, ход исследования, промежуточные результаты, артефакты. 🔬
14.3. Синтезирующая часть: анализ, сопоставление, объяснение. 🧠
14.4. Выводы: чёткие ответы «Установлено»/«Не установлено», каждый обоснован. 🎯
14.5. Приложения: копия определения, подписка, диск, скриншоты. 📎
Глава 15. Заключение: экспертная независимость как гарантия объективности 🏁📚
Уважаемые юристы, специалисты, руководители! Мы представили экспертные методы компьютерная экспертиза корпоративных информационных систем (КИС) для подачи иска в суд: анализ настроек, аудита, API-логов, кода, транзакционных логов, клиентских устройств. Три кейса:
✅ Кейс 1 (SAP) — настройки + журналы изменений.
✅ Кейс 2 (CRM) — аудит + API-логи + компьютер.
✅ Кейс 3 (1С) — код + журнал регистрации + компьютер.
Экспертные принципы: 🏆
Несколько независимых источников.
Работа с низкоуровневыми данными.
Chain of Custody.
Независимость и ст. 307 УК РФ.
Почему Союз «Федерация судебных экспертов»: 🎯
Сертифицированные эксперты по SAP, 1С, Dynamics, CRM, BI.
100+ экспертиз КИС.
Рецензированные методики.
Лицензионное ПО.
Независимость и ответственность.
Как заказать экспертизу КИС: 📝 https://kompexp.ru/. Бесплатная консультация. Поможем сформулировать вопросы и подготовить ходатайство.
Компьютерная экспертиза корпоративных информационных систем (КИС) для подачи иска в суд — это единственный способ превратить данные КИС в бесспорные судебные доказательства. 🦾
🟩 Союз «Федерация судебных экспертов» — экспертная истина в КИС. 🟩
Задавайте любые вопросы