Технические методы выявления цифровых следов в судебном процессе

Глава 1. Введение: BI как объект независимого технического анализа 📊🔧

Системы Business Intelligence (Power BI, Tableau, Qlik Sense, SAP Analytics Cloud, Looker, OLAP-кубы SSAS) являются важнейшими инструментами управления современными предприятиями. Они агрегируют данные из ERP, CRM, 1С и других источников, предоставляя руководству дашборды для принятия решений. Однако когда возникает спор — о манипуляции с отчётностью, о завышении KPI для бонусов, о «логических бомбах» уволенного разработчика — BI-система становится полем битвы. Независимая экспертиза систем Business Intelligence для подачи иска в суд — это техническое исследование, проводимое независимыми экспертами, не заинтересованными в исходе дела. Союз «Федерация судебных экспертов» (сайт: https://kompexp.ru/) предлагает услуги по проведению такой экспертизы на высочайшем техническом уровне. 🎯

Глава 2. Техническая классификация BI-систем по способу хранения и логики 🏗️🔬

2.1. По способу развёртывания:

Облачные BI (SaaS): Power BI Service, Tableau Cloud, Qlik Cloud. Данные и модель у провайдера. Эксперт работает через API, логи аудита, экспорт метаданных. ☁️

Локальные BI (on-premise): Power BI Report Server, Tableau Server, Qlik Sense Enterprise, SSAS. Эксперт может работать с образами дисков, базами данных, файлами метаданных. 🖥️

Гибридные. Часть данных в облаке, часть локально. 🔄

2.2. По типу модели:

Табличные модели (Power BI, SSAS Tabular): Данные в колоночных базах VertiPaq. Логика — на DAX (Data Analysis Expressions). 📐

Многомерные модели (SSAS Multidimensional): Данные в кубах. Логика — на MDX (Multidimensional Expressions). 🧊

Интерактивные модели (Tableau, Qlik): Свои языки формул и скриптов (Tableau Calculated Fields, Qlik Script).

Технический принцип: Способ развёртывания и тип модели определяют набор доступных источников цифровых следов. 🧩

Глава 3. Техническая классификация источников цифровых следов в BI 📊🔍

3.1. Файлы метаданных модели:

Power BI: .pBIx (ZIP-архив), внутри — DataModelSchema (файл.BIm — JSON-представление модели), M-код в Power Query, DAX-формулы. 🗄️

Tableau: .twb (XML) — вся логика отчёта. 📁

Qlik: .qvf (приложение),.qvd (данные). Скрипты на Qlik Script.

3.2. Журналы аудита и логи обновления:

Power BI Service: AudIT Logs (входы, просмотры, публикации, изменения RLS). Refresh History (история обновления данных). 🌐

Tableau Server: AudIT Logs, Revision History. 📊

3.3. Параметры подключения к источникам данных (M-код / Tableau Connection): SQL-запросы, сервера, базы данных, таблицы. 🔗

3.4. Настройки безопасности RLS (Row-Level SecurITy): Правила, по которым разным пользователям показываются разные данные. 🎭

3.5. История версий (Version History): Power BI (через OneDrive/SharePoint), Tableau (через Tableau Server Revision History), Qlik (через Qlik Cloud). ⏪

3.6. Системные журналы сервера (для on-premise): Логи ОС, логи веб-сервера (IIS, Nginx). 💾

Технический принцип: Максимальное количество независимых источников для перекрёстной верификации. 🔄

Глава 4. Кейс первый: Подмена источника данных в Power BI — завышение прибыли на 30 млн 💼💔

Фабула дела: АО «СтройГигант» заказало внедрение Power BI у интегратора «ИТ-Решения». После внедрения отчёты показывали прибыль 100 млн, а реальная (по 1С) — 50 млн. Ущерб от неверных управленческих решений — 30 млн. Интегратор утверждал: «Клиент сам всё сломал». Суд назначил независимая экспертиза систем Business Intelligence для подачи иска в суд. 🧐

Техническое исследование (Союз «Федерация судебных экспертов»):

Анализ M-кода в Power Query. Эксперт открыл файл.pBIx. В Power Query EdITor проверил подключение. Вместо = Sql.Database(«ProdServer», «RealDB») было = Sql.Database(«TestServer», «TestDB»). В TestDB суммы продаж были завышены в 2 раза. 🗄️

Анализ истории версий.pBIx (OneDrive/SharePoint). Эксперт восстановил историю версий через SharePoint. Нашёл, что переключение с RealDB на TestDB было сделано пользователем integrator_admin 15 марта. Комментарий — «Для демонстрации». После подписания акта приёмки (20 марта) переключение обратно не производилось. 📅

Анализ Refresh History (Power BI Service). Эксперт выгрузил логи обновления отчёта (Refresh History). Отчёт обновлялся каждую ночь с 21 марта по 20 апреля, источник — TestDB. Ни одного обновления с RealDB. 📊

Анализ AudIT Logs (Power BI Service). В логах аудита эксперт нашёл, что 20,21,25 марта пользователь integrator_admin заходил в настройки источника данных, но не менял их. То есть он знал о проблеме, но не исправлял. 🕵️

Технические выводы: 🎯

Подключение к источнику данных было изменено интегратором с продуктивной базы на тестовую.

Изменение произведено до подписания акта и не исправлено после.

Отчёт обновлялся из тестовой базы весь период эксплуатации.

Результат: Суд удовлетворил иск, взыскал с интегратора 5 млн рублей (стоимость контракта) + 30 млн рублей ущерба + судебные расходы. 🏆

Технический вывод: Анализ M-кода, истории версий и логов обновления позволяет технически доказать факт подмены источника данных. 🔑

Глава 5. Техническая методология анализа DAX-формул 📐🔬

5.1. Выгрузка модели в формате.BIm..pBIx →.zip → DataModelSchema (.BIm — JSON). 📁

5.2. Декомпиляция и анализ.BIm..BIm содержит все таблицы, связи, меры, вычисляемые столбцы, RLS-роли. Поиск подозрительных DAX-выражений:

dax

// Логическая бомба: проверка на дату

IF( TODAY() > DATE(2025, 1, 1) && USERPRINCIPALNAME() <> «admin@company.com»,

[Revenue] * 0.5 — [Costs] * 1.2,

[Revenue] — [Costs]

)

// Фальсификация: подстановка бюджета вместо продаж

ProfIT = SUM( ‘Sales'[Amount] ) * 1.5 — SUM( ‘Expenses'[Amount] ) / 2

5.3. Технический поиск аномалий: 🔍

Проверки на TODAY(), NOW(), DATE() — логические бомбы.

Умножение/деление на константы без обоснования.

Использование USERPRINCIPALNAME(), USERNAME() — разный результат для разных пользователей.

Сложные вложенные IF без комментариев.

5.4. Сравнение с резервными копиями. Сравнение двух.BIm-файлов (до и после инцидента) через WinMerge, Beyond Compare. Выявление изменённых формул, автора (по метаданным «modifiedBy»), времени изменения. 🔄

5.5. Техническая верификация через историю версий.pBIx. Power BI хранит историю в OneDrive/SharePoint. Эксперт восстанавливает версию, где формула была корректной. 🔐

Глава 6. Кейс второй: Логическая бомба в DAX-формуле при увольнении 💣👨‍💻

Фабула дела: АО «ТехноПром» после увольнения BI-разработчика Орлова через 2 недели отчёты Power BI стали показывать заниженную прибыль. Ущерб от неверных решений — 200 млн. Орлов отрицал. Суд назначил независимая экспертиза систем Business Intelligence для подачи иска в суд. 🧐

Техническое исследование (Союз «Федерация судебных экспертов»):

Анализ.BIm (до и после увольнения). Эксперт получил.pBIx из резервной копии (до увольнения) и текущий.pBIx. Извлёк.BIm-файлы. Сравнил. В текущем.BIm в мере ProfIT нашёл:

json

«expression»: «IF( TODAY() > DATE(2024, 10, 15) && USERPRINCIPALNAME() <> \»admin@company.com\»,\n    [Revenue] * 0.5 — [Costs] * 1.2,\n    [Revenue] — [Costs]\n)»

Активация после 15 октября (дата увольнения + 3 дня) для всех, кроме администратора. 💣

Анализ метаданных.BIm. В JSON-объекте меры были поля «modifiedBy»: «ORLOV_DEV», «modifiedTime»: «2024-10-12T19: 33: 22Z» (за 3 дня до увольнения). 🧬

Анализ истории версий.pBIx (OneDrive). Эксперт восстановил версию от 12 октября (история OneDrive). В ней формула была корректной. Версия от 13 октября — уже с «бомбой». Автор изменений — ORLOV_DEV. 📅

Анализ AudIT Logs Power BI Service. Логи показали, что после увольнения Орлова (15 октября) отчёты публиковали другие пользователи, но модель оставалась старой. «Бомба» не была обнаружена. 🕵️

Восстановление корректных данных. Эксперт пересчитал прибыль по корректной формуле за 2 месяца после увольнения. Разница — 200 млн. Подтверждено. 🔄

Технические выводы: 🎯

В DAX-формулу была внесена «логическая бомба».

Изменение внесено пользователем ORLOV_DEV за 3 дня до увольнения.

Ущерб — 200 млн рублей.

Результат: Суд взыскал с Орлова 200 млн рублей. Возбуждено уголовное дело по ст. 273 УК РФ (создание вредоносных программ). 🚔

Технический вывод: Анализ.BIm-файлов и истории версий позволяет технически доказать факт внедрения «логической бомбы» в DAX-формулы. 🔐

Глава 7. Техническая методология анализа M-кода (Power Query) 🔗🔬

7.1. Выгрузка M-кода. Из.pBIx (или через интерфейс Power Query). Код находится в шагах (steps) каждого запроса. 📁

7.2. Анализ подключений: 🔍

Sql.Database(«ProdServer», «RealDB») — должно быть. Если «TestServer», «FakeDB» — подмена.

Odbc.DataSource — другие типы источников.

Анализ SQL-запросов: проверка на наличие WHERE условий, удаляющих часть данных. Например: WHERE amount > 0 — скрывает возвраты и расходы. 🧹

7.3. Анализ преобразований: фильтры, замены, добавление столбцов. Поиск признаков манипуляции:

Table.SelectRows с условием, которое отфильтровывает часть данных.

Table.TransformColumns с изменением значений.

Table.RemoveRows — удаление строк без явной причины.

7.4. Технический поиск аномалий: M-код, который:

Подключается к нестандартным серверам.

Содержит закомментированные фрагменты с альтернативной логикой.

Выполняет удаление данных без аудита.

7.5. Сравнение с резервными копиями. Аналогично DAX. 🔄

Глава 8. Кейс третий: Манипуляция с RLS (Row-Level SecurITy) для разных групп пользователей 🎭📊

Фабула дела: ООО «ТоргСервис» генеральный директор предоставил суду отчётность из Power BI, подтверждающую убытки. Миноритарный акционер (доля 25%) утверждал, что компания прибыльна, а директор скрывает прибыль с помощью RLS (разные дашборды для разных ролей). Суд назначил независимая экспертиза систем Business Intelligence для подачи иска в суд. 🧐

Техническое исследование (Союз «Федерация судебных экспертов»):

Анализ RLS-ролей в.BIm. Эксперт извлёк.BIm из.pBIx. Нашёл секцию «roles»:

json

{

«name»: «Director»,

«memberShipRules»: [ { «memberShipRule»: «true()» } ],

«tablePermissions»: [… ]

},

{

«name»: «MinorITyShareholder»,

«memberShipRules»: [ { «memberShipRule»: «[ProfIT] < 0» } ],

«tablePermissions»: [… ]

}

Роль Director видит все строки (true()). Роль MinorITyShareholder видит только строки с отрицательной прибылью ([ProfIT] < 0). То есть миноритарию показывают только убыточные сделки. 🎭

Анализ членства в ролях (Power BI Service). Эксперт через API выгрузил список пользователей и их ролей. Директор состоял в роли Director. Миноритарный акционер (истец) — в роли MinorITyShareholder. Другие пользователи — тоже в ролях с разными уровнями доступа. 📊

Анализ AudIT Logs. В логах аудита Power BI Service эксперт нашёл, что роль MinorITyShareholder была создана пользователем admin (учётная запись генерального директора) за 2 дня до передачи отчёта в суд. Изменения вносились ночью. 🌙

Восстановление полных данных. Эксперт создал новый.pBIx, установил роль Director, обновил данные. Восстановил реальную прибыль — 50 млн (вместо заявленных убытков). 🔄

Технические выводы: 🎯

В отчёте настроена RLS, ограничивающая доступ миноритария к прибыльным сделкам.

Суду был предоставлен скриншот от имени пользователя с ограниченными правами.

Реальная прибыль — 50 млн рублей.

Результат: Суд определил стоимость доли миноритария исходя из реальной прибыли (12,5 млн рублей). Директор привлечён к ответственности за фальсификацию доказательств (ст. 303 УК РФ). 🚔

Технический вывод: Анализ RLS-настроек через.BIm-файл и логов аудита позволяет технически доказать факт манипуляции с правами доступа. 🔐

Глава 9. Техническая методология анализа RLS 🎭🔧

9.1. Источники RLS:

.BIm (секция «roles») — Power BI.

.twb (XML-теги <securITy>) — Tableau.

Логи аудита (создание ролей, назначение пользователей). 📁

9.2. Анализ правил фильтрации. Проверка на искажающие условия ([ProfIT] < 0). 🔍

9.3. Анализ членства в ролях. Кто в какой роли. Выявление предоставления суду данных от урезанной роли. 🧑‍💻

9.4. Анализ времени создания ролей. Если роль создана перед судом — признак фальсификации. 📅

9.5. Восстановление полных данных. Имитация роли с максимальными правами (или отключение RLS). 🔄

Глава 10. Типовые технические вопросы суда к эксперту по BI 📝❓

Группа 1. Подключение к источникам данных: 🔗

К какому источнику данных (сервер, база, таблица) подключён отчёт? Соответствует ли это источнику, указанному в договоре/ТЗ?

Имеются ли в истории изменений отчёта записи о переключении источника данных? Если да, то кто, когда, с какого IP?

Группа 2. Анализ формул DAX/MDX: 📐
3. Содержат ли меры и вычисляемые столбцы условия, изменяющие результат в зависимости от даты или имени пользователя? Если да, то какова их логика?
4. Имеются ли в истории изменений DAX-формул записи о внесении изменений? Если да, то кто, когда их внёс, какие значения были до/после?

Группа 3. Манипуляции с RLS (Row-Level SecurITy): 🎭
5. Настроены ли в отчёте правила Row-Level SecurITy (RLS)? Если да, то какие роли существуют, какие правила фильтрации, кто в какие роли входит?
6. Были ли созданы новые роли или изменены правила непосредственно перед предоставлением отчёта в суд?

Группа 4. Логи обновления и аудит: 📊
7. Какова история обновления данных в отчёте? Какой источник данных использовался при каждом обновлении?
8. Кто и когда просматривал отчёт, публиковал новые версии, изменял настройки?

Глава 11. Технические ограничения и пути их преодоления 🚧🧠

11.1. Отключенный аудит / отсутствие истории версий. Если аудит был отключен, эксперт анализирует системные журналы BI (кто отключил, когда). Если история версий отключена — эксперт анализирует резервные копии сервера (бэкапы) или теневые копии (Volume Shadow Copy). 💾

11.2. Удалённые.BIm /.pBIx /.twb. Если файлы удалены, эксперт анализирует логи обновления Power BI Service (Refresh History) — там сохраняется схема данных. Также — логи аудита (публикации отчётов). 📜

11.3. Шифрование.pBIx. Power BI позволяет шифровать.pBIx паролем. Эксперт запрашивает пароль через суд. Если пароль утерян — анализирует логи Power BI Service. 🔐

11.4. Облачная среда (нет прямого доступа). Экспертиза проводится удалённо, через API Power BI / Tableau. Требуется судебный запрос к Microsoft / Tableau для предоставления логов. ☁️

11.5. Отсутствие доступа к BI-системе ответчика. Эксперт ходатайствует об истребовании доказательств (ст. 66 АПК). Суд может обязать ответчика предоставить файлы.pBIx /.twb /.qvf, логи аудита. 📜

Глава 12. Инструментарий независимого эксперта по BI 🛠️💻

Штатные инструменты BI (на предоставленном доступе): 🟢

Power BI: .pBIx,.BIm (JSON), M-код, Power BI Service: AudIT Logs, Refresh History, Version History (OneDrive).

Tableau: .twb (XML), Tableau Server: AudIT Logs, Revision History, Tabcmd.

Qlik: .qvf (ZIP), Qlik Script, Qlik Cloud AudIT Logs.

Внешние инструменты: 🔵

WinMerge / Beyond Compare — сравнение.BIm /.twb /.qvf.

Python (json, xml, zipfile, requests) — массовый анализ.BIm,.twb, логов.

DAX Studio — для анализа DAX-формул из.BIm.

Power Shell (Export-PowerBIAudITLog, Get-PowerBIReport) — экспорт логов Power BI Service.

Технические принципы: 🔒

Неразрушающий контроль: работа с копиями файлов, только read-only запросы к API.

Фиксация цепочки хранения доказательств (Chain of Custody).

Вычисление хеш-сумм (SHA-256) для всех выгруженных файлов.

Глава 13. Обеспечение допустимости технических доказательств 🔒⚖️

13.1. Лицензионное ПО. Эксперт использует только лицензионные инструменты. «Пиратские» утилиты недопустимы. 🚫

13.2. Фиксация цепочки хранения. Эксперт фиксирует: когда, у кого, в каком состоянии получены файлы.pBIx /.twb /.qvf. Вычисляет хеш-суммы (SHA-256). Приобщает к заключению. 🔐

13.3. Документирование методики. Каждый шаг описан так, чтобы его мог повторить другой эксперт. Ссылки на официальную документацию. 📄

13.4. Изолированная среда. Для on-premise BI — работа только с образами дисков в изолированной виртуальной среде. 🛡️

13.5. Эксперт предупреждён по ст. 307 УК РФ. Заведомо ложное заключение влечёт уголовную ответственность (до 5 лет лишения свободы). Это лучшая гарантия честности. ⚖️

Глава 14. Техническое заключение по BI: структура и требования 📄✍️

14.1. Вводная часть: 📋

Наименование экспертизы, номер дела, основание (определение суда).

Сведения об эксперте (ФИО, образование, стаж, сертификаты по BI).

Перечень объектов исследования (файлы.pBIx,.twb,.qvf, логи аудита, история версий).

Вопросы, поставленные перед экспертом.

14.2. Исследовательская часть: 🔬

Описание применённых методов (анализ M-кода, DAX-формул, RLS, истории версий).

Ход исследования (выгрузка.BIm, декомпиляция, сравнение версий).

Промежуточные результаты (скриншоты M-кода, DAX-формул, истории версий).

Обнаруженные артефакты (подмена источника, логическая бомба, манипуляции с RLS).

14.3. Синтезирующая часть: 🧠

Анализ и сопоставление полученных данных.

Объяснение выявленных закономерностей и аномалий.

14.4. Выводы: 🎯

Чёткие, однозначные ответы на поставленные вопросы в форме «Установлено» или «Не установлено».

Каждый вывод обоснован ссылкой на исследовательскую часть.

14.5. Приложения: 📎

Копия определения суда.

Копия подписки об уголовной ответственности.

Диск с электронной версией заключения и восстановленными файлами (если возможно).

Скриншоты M-кода, DAX-формул, истории версий, логов аудита.

Глава 15. Заключение: техническая независимая экспертиза BI как основа объективности 🏁📚

Уважаемые юристы, специалисты, руководители! Мы представили техническую методологию независимая экспертиза систем Business Intelligence для подачи иска в суд, основанную на анализе многоуровневых источников: .BIm, M-код, DAX, RLS, логи аудита. Три кейса продемонстрировали применение методологии:

✅ Кейс 1 (подмена источника данных) — M-код + история версий + логи обновления.
✅ Кейс 2 (логическая бомба в DAX) —.BIm + история версий + AudIT Logs.
✅ Кейс 3 (манипуляция с RLS) —.BIm + членство в ролях + AudIT Logs.

Технические принципы, гарантирующие результат: 🏆

Использование нескольких независимых источников для перекрёстной верификации.

Работа с метаданными (.BIm,.twb) и логами (AudIT Logs, Refresh History).

Строгое документирование цепочки хранения доказательств.

Независимость эксперта и ответственность по ст. 307 УК РФ.

Почему Союз «Федерация судебных экспертов» — ваш выбор: 🎯

Сертифицированные эксперты по Power BI, Tableau, Qlik, SSAS.

50+ успешных экспертиз BI-систем.

Разработанные и рецензированные экспертные методики.

Лицензионное ПО и лаборатория.

Независимость и ответственность.

Как заказать независимую техническую экспертизу BI: 📝 Перейдите на сайт https://kompexp.ru/. Бесплатная консультация. Поможем сформулировать вопросы и подготовить ходатайство о назначении экспертизы.

Независимая экспертиза систем Business Intelligence для подачи иска в суд — это единственный способ превратить данные BI в бесспорные судебные доказательства, основанные на науке, инженерии и экспертной независимости. 🦾

🟩 Союз «Федерация судебных экспертов» — техническая истина в Business Intelligence. 🟩