Экспертное введение: КИС как цифровая ДНК компании

Современное предприятие невозможно представить без корпоративной информационной системы (КИС). Это может быть 1С, SAP, Oracle, Microsoft Dynamics, Salesforce, а также связка из десятков интеграционных решений. КИС хранит всё: финансы, закупки, продажи, производство, кадры, склад, CRM. Это цифровая ДНК компании. И когда возникает судебный спор — о непоставленном товаре, неуплаченных налогах, хищении средств или фальсификации отчётности — именно КИС становится главным свидетелем. Но что делать, если этот свидетель «забыл» нужные факты? Если кто-то стёр его память? 🏛️💾

Мы, эксперты Союза «Федерация судебных экспертов», специализируемся на независимой экспертизе корпоративных информационных систем (кис). В этой статье, написанной в экспертном стиле, мы расскажем, как исследуются КИС, какие методы используются для восстановления удалённых данных, выявления фальсификаций и идентификации виновных. Три реальных кейса из нашей практики покажут, как эти методы работают в действии.

Приготовьтесь к глубокому погружению в мир корпоративных данных. 🕵️‍♂️

Глава 1. Что такое корпоративная информационная система (КИС) с точки зрения экспертизы

Корпоративная информационная система — это совокупность программных и аппаратных средств, обеспечивающих автоматизацию бизнес-процессов предприятия. С точки зрения судебной экспертизы, КИС — это сложный многоуровневый объект, включающий: 🏗️

1. Уровень СУБД— база данных (MS SQL, Oracle, PostgreSQL, HANA,.1CD файлы), где хранятся все учётные записи.
2. Уровень прикладного ПО— ERP-системы (1С, SAP, Oracle EBS, Microsoft Dynamics), CRM (Salesforce, HubSpot, amoCRM), BI (Power BI, Tableau).
3. Уровень интеграций— системы обмена данными (EDI, ESB, API-шлюзы), логи интеграций.
4. Уровень журналов— логи доступа, аудит изменений, системные журналы, Event Log, syslog.
5. Уровень файловой системы— хранение файлов-вложений, бэкапов, экспортов.
6. Уровень физический— серверы, диски, RAM, сеть.

Независимая экспертиза корпоративных информационных систем (кис) охватывает все эти уровни. Эксперт должен уметь работать и с 1С, и с SAP, и с базами данных, и с файловыми системами.

Глава 2. Классификация споров, связанных с КИС

На основе нашей практики (более 500 экспертиз) выделены следующие категории споров. 📋

Категория А. Споры о финансовых операциях

Неотражение поставки в учёте контрагента.

Изменение сумм счетов-фактур задним числом.

Удаление записей о дебиторской задолженности.

Категория Б. Споры о хищениях и мошенничестве

Создание фиктивных поставщиков в 1С/SAP.

Дублирование платежей через подложные счета.

Изменение цен в заказах через прямой SQL.

Категория В. Споры о некачественном внедрении

Несоответствие системы техническому заданию.

Нарушение сроков внедрения.

Ошибки в отчётности после обновлений.

Категория Г. Споры о целостности данных после увольнения сотрудников

Массовое удаление документов бухгалтером.

Шифрование базы данных уволенным администратором.

Категория Д. Споры об интеграциях

Потеря данных при передаче между 1С и SAP.

Некорректная синхронизация CRM и ERP.

Независимая экспертиза корпоративных информационных систем (кис) необходима в любой из этих ситуаций.

Глава 3. Кейс №1: 1С — восстановление удалённых накладных на 87 млн рублей

Исходные данные: АО «ТрейдМеталл» подало иск к ООО «СтройРесурс» о взыскании 87 млн рублей за поставленный металл. Ответчик представил в суд выписку из своей 1С: Бухгалтерия, согласно которой поставок не было. Истец утверждал, что главный бухгалтер ответчика удалил счета-фактуры. Суд назначил экспертизу. 🏗️

Экспертная задача: Установить факт удаления документов в 1С, восстановить удалённые записи и определить суммы.

Наше исследование 🔬

Этап 1. Изъятие и копирование
Создан посекторный образ диска сервера 1С (Tableau T8). Рассчитаны хэш-суммы SHA-256.

Этап 2. Анализ файла.1CD
Файл StroyRes.1CD размером 48 ГБ. С помощью нашей утилиты 1CD_Raw_Extractor отсканированы свободные страницы базы. Обнаружено 3 456 страниц, помеченных как свободные, но содержащих валидные записи таблицы Document_Invoice.

Этап 3. Восстановление удалённых записей
Из свободных страниц извлечены 1 234 документа на сумму 87 000 000 руб. (полное совпадение с первичными документами истца).

Этап 4. Анализ журнала регистрации 1С
Файл 1Cv8.lgd был очищен, но с помощью анализа деаллоцированных секторов диска восстановлены 456 записей о помечивании на удаление. Пользователь — Гл.бухгалтер Смирнова. Время — 15.03.2025 02: 17: 33.

Этап 5. Анализ теневых копий (VSS)
На сервере были включены VSS. Из теневой копии за 14.03.2025 извлечён файл StroyRes.1CD — все документы на месте.

Этап 6. Логи Windows
Event Log (ID 4624) показал, что в ночь удаления учётная запись Смирновой использовалась с IP-адреса 10.0.0.45. СКУД подтвердил, что Смирнова не находилась в офисе.

Результат: Суд удовлетворил иск на 87 млн руб. Суд вынес частное определение в отношении Смирновой.

Экспертный вывод: независимая экспертиза корпоративных информационных систем (кис) восстанавливает удалённые данные из свободных страниц.1CD и теневых копий.

Глава 4. Кейс №2: SAP — выявление SQL-вмешательства в таблицу BSEG

Исходные данные: АО «НефтеХим» подало иск к бывшему ИТ-директору о взыскании 112 млн руб. После увольнения директора обнаружилось, что суммы 50 000 проводок в SAP были занижены на 15-20% через прямой SQL-доступ. В таблицах изменений CDHDR/CDPOS записи отсутствовали — злоумышленник работал в обход SAP. 🔩

Экспертная задача: Обнаружить следы SQL-вмешательства и восстановить исходные суммы.

Наше исследование 🔬

Этап 1. Анализ redo log HANA
Сервер работал на SAP HANA. Через судебный запрос получены archive log. С помощью утилиты hdbrecovery восстановлены 50 000 операций UPDATE таблицы BSEG. Каждая содержала: transaction_id, user_name = SYSTEM, client_host = 10.0.0.88, timestamp, OldValue и NewValue.

Этап 2. Восстановление из дампа памяти
Дамп памяти hdbindexserver (96 ГБ) содержал старые версии строк. Извлечены 50 000 записей с исходными суммами.

Этап 3. Идентификация пользователя
По IP-адресу 10.0.0.88 определена рабочая станция ИТ-директора. На его компьютере в истории PowerShell найден скрипт update_bseg.sql.

Этап 4. Сравнение с первичными документами
Истец предоставил договоры. Суммы в договорах совпали с восстановленными.

Результат: Суд удовлетворил иск на 112 млн руб.

Экспертный вывод: независимая экспертиза корпоративных информационных систем (кис) выявляет SQL-вмешательство через redo log и дампы памяти даже при отсутствии записей в CDHDR.

Глава 5. Кейс №3: Интеграция 1С и SAP — потеря данных на 45 млн рублей

Исходные данные: ООО «ПромЛогистик» подало иск к интегратору о взыскании 45 млн руб. убытков. При передаче данных из 1С в SAP через EDI-шлюз «потерялись» 2 345 счетов-фактур на 45 млн руб. Интегратор утверждал, что данные не передавались, а истец «сам виноват». 📡

Экспертная задача: Установить, были ли данные отправлены из 1С, дошли ли до SAP, и кто виноват.

Наше исследование 🔬

Этап 1. Анализ логов 1С (журнал регистрации)
В 1С истца восстановлены записи о выгрузке 2 345 счетов через обработку «Обмен с SAP». Время, пользователь, IP-адрес — всё совпадает.

Этап 2. Анализ логов EDI-шлюза
Логи показали, что XML-файлы были отправлены и успешно доставлены на сервер SAP ответчика. Однако в логах интегратора отсутствовали записи о дальнейшей обработке.

Этап 3. Анализ логов SAP ответчика
В SAP ответчика (через судебный запрос) получены логи RFC-вызовов. Обнаружено, что входящие XML-файлы были приняты, но не были обработаны из-за ошибки в скрипте интегратора.

Этап 4. Анализ кода интеграции
Интегратор предоставил ABAP-код. Эксперт обнаружил ошибку: скрипт игнорировал счета с суммой более 1 млн руб. (а именно такие были у истца).

Результат: Суд удовлетворил иск на 45 млн руб.

Экспертный вывод: независимая экспертиза корпоративных информационных систем (кис) анализирует не только данные, но и код интеграций, логи EDI, RFC-вызовы.

Глава 6. Типовые вопросы суда при экспертизе КИС

На основе анализа судебной практики выделены наиболее частые вопросы. 🗂️

Категория «Удаление/изменение данных»:

Имеются ли в корпоративной информационной системе (1С/SAP/Dynamics и т.д.) следы удаления или изменения финансовых транзакций за период [период]?

Если да, то кем, когда и с какого IP-адреса были выполнены операции?

Возможно ли восстановить удалённые данные и определить суммы?

Категория «SQL-вмешательство»:
4. Имеются ли в журналах СУБД (redo log,.ldf) следы прямого доступа к таблицам (UPDATE/DELETE) в обход прикладного ПО?
5. Каковы старые и новые значения изменённых полей?

Категория «Интеграционные потери»:
6. Были ли данные переданы из системы А в систему Б?
7. Если да, то на каком этапе произошла потеря?
8. Является ли потеря результатом ошибки в коде интеграции?

Категория «Откат базы данных»:
9. Имеются ли признаки восстановления базы данных из резервной копии за более раннюю дату?

Независимая экспертиза корпоративных информационных систем (кис) даёт ответы на все эти вопросы.

Глава 7. Методы сбора доказательств в КИС

Сбор доказательств зависит от типа системы. 📋

Для файловых 1С:

Образ диска сервера.

Файлы.1CD,.lgd,.lgf.

Теневые копии (VSS).

Для клиент-серверных 1С/SAP/Dynamics:

Образ диска сервера.

Дамп памяти СУБД.

Транзакционные логи (redo log,.ldf).

Резервные копии баз данных.

Для облачных CRM/ERP:

Судебный запрос к вендору.

API-логи, Audit Logs.

Алгоритм сбора:

Запросить у стороны доступ к системе.

Если доступ не предоставлен — судебный запрос.

Для on-premise — выезд эксперта, копирование.

Независимая экспертиза корпоративных информационных систем (кис) невозможна без этих методов.

Глава 8. Судебный запрос к вендору КИС

Microsoft (Dynamics), SAP, Oracle, Salesforce — без судебного решения они не предоставят логи и бэкапы. ⚖️

Процедура:

Подать ходатайство об истребовании доказательств (ст. 66 АПК РФ).

Суд выносит определение. Направляется вендору.

Вендор предоставляет данные (30-90 дней).

Сложности:

Отказ вендора → суд делает выводы против оппонента (ст. 65 АПК РФ).

Глава 9. Ограничения методов (экспертная честность)

Когда восстановление невозможно:

Резервные копии перезаписаны (для облачных CRM — 14-90 дней).

Журналы СУБД перезаписаны (для on-premise).

Процент восстановления:

1С (файловый режим): 90-98% (до сжатия)

1С (SQL): 95-100% (при FULL recovery)

SAP HANA (archive log): 99-100%

Облачные CRM: зависит от вендора

Глава 10. Инструментарий эксперта КИС

Программное обеспечение:

EnCase Forensic, X-Ways Forensics

ApexSQL Log (SQL Server)

hdbrecovery (HANA)

1CD_Parser (собственная разработка)

SAP HANA Studio

Python / PowerShell

Аппаратные средства:

Tableau T8

PC-3000

WriteBlocker

Независимая экспертиза корпоративных информационных систем (кис) требует специализированного ПО.

Глава 11. Часто задаваемые вопросы

Вопрос: Можно ли провести экспертизу, если КИС находится в облаке?
✅ Ответ: Да. Через судебный запрос к вендору.

Вопрос: Как долго хранятся бэкапы у вендоров?
✅ Ответ: 7-90 дней. Уточняется в договоре.

Вопрос: Может ли эксперт определить, кто изменил данные, если аудит отключён?
✅ Ответ: Да, через транзакционные логи СУБД (redo log,.ldf) и логи ОС.

Глава 12. Экономическая эффективность экспертизы КИС

Формула: EV = S × q — C — (1-q) × F

Пример (иск 50 млн руб., C=500 000 руб., q=0,95):
EV(с экспертизой) = 50×0,95 — 0,5 — 0,05×0,2 = 47,5 — 0,5 — 0,01 = 46,99 млн руб.
EV(без экспертизы) = 50×0,30 — 0 — 0,70×0,2 = 15 — 0,14 = 14,86 млн руб.
Выигрыш: 32,13 млн руб.

Глава 13. Сравнительный анализ КИС

Глава 14. Рекомендации по сохранению доказательств

Для компаний:

Включите аудит во всех системах.

Регулярно создавайте бэкапы.

Ограничьте права администратора.

Храните логи не менее 90 дней.

Глава 15. Правовая база

Экспертиза проводится в соответствии с №73-ФЗ, АПК РФ, ГПК РФ. Эксперт предупреждается по ст. 307 УК РФ.

Глава 16. Новые вызовы

AI в КИС, блокчейн-интеграции, квантовая криптография — новые вызовы для экспертов. Мы инвестируем в R&D.

Глава 17. Этический кодекс эксперта

Принципы: независимость, честность, конфиденциальность.

Глава 18. Заключение: ваше право на цифровую правду

Три кейса показали возможности независимой экспертизы корпоративных информационных систем (кис):

✅ Восстановление удалённых накладных в 1С (87 млн руб.).
✅ Выявление SQL-вмешательства в SAP (112 млн руб.).
✅ Доказательство вины интегратора при потере данных (45 млн руб.).

🟩 Мы — Союз «Федерация судебных экспертов». Сайт: https: //kompexp.ru/

Ваша цифровая правда — наша работа. 💪⚖️