Экспертное введение: КИС как объект судебного исследования
Корпоративная информационная система (КИС) современного предприятия — это сложнейший комплекс, включающий ERP (1С, SAP, Oracle EBS), CRM (Salesforce, Microsoft Dynamics), BI (Power BI, Tableau), системы документооборота, интеграционные шины и множество смежных решений. В совокупности эти системы хранят полную цифровую историю компании: каждую хозяйственную операцию, каждый договор, каждое изменение. Именно поэтому в судебных спорах о хищениях, неисполнении обязательств или фальсификации отчётности КИС становится главным свидетелем. Но что делать, если этот свидетель «забыл» нужные факты? Кто-то стёр его память. 🏛️💾
Мы, эксперты Союза «Федерация судебных экспертов», специализируемся на компьютерно-технической экспертизе корпоративных информационных систем (кис). В этой статье, написанной в экспертном стиле, мы расскажем, как исследуются КИС, какие методы используются для восстановления удалённых данных, выявления фальсификаций и идентификации виновных. Три реальных кейса из нашей практики покажут, как эти методы работают в действии.
Приготовьтесь к глубокому погружению в мир корпоративных данных. 🕵️♂️
Глава 1. Что такое компьютерно-техническая экспертиза КИС
Компьютерно-техническая экспертиза (КТЭ) КИС — это вид судебной экспертизы, предметом которой являются фактические данные о хозяйственных операциях, зафиксированные в корпоративных информационных системах, а также следы их модификации, удаления или фальсификации. В отличие от аудита, КТЭ проводится по определению суда, эксперт предупреждается об уголовной ответственности по статье 307 УК РФ. 🏛️
Что исследует эксперт КИС:
Базы данных ERP-систем (1С, SAP, Oracle EBS, Microsoft Dynamics)
Базы данных CRM-систем (Salesforce, HubSpot, amoCRM)
Журналы аудита (Audit Logs, Change Documents)
Транзакционные логи СУБД (redo log,.ldf, WAL)
Дампы оперативной памяти серверов
Логи интеграций (EDI, ESB, API)
Резервные копии и архивы
Системные журналы (Event Log Windows, syslog Linux)
Файловые системы и их артефакты (MFT, USN Journal)
Что может установить эксперт КИС:
Факт удаления или изменения документов (счетов-фактур, накладных, актов)
Возможность восстановления удалённых данных
Конкретные суммы и даты восстановленных документов
Лицо (учётную запись), совершившее изменения
Время и IP-адрес выполнения операций
Факт SQL-вмешательства в обход прикладного ПО
Нарушения в работе интеграций и ETL-процессов
Компьютерно-техническая экспертиза корпоративных информационных систем (кис) — это единственный способ превратить «мёртвые» байты в живые доказательства.
Глава 2. Когда необходима экспертиза КИС
Экспертиза КИС необходима в следующих типичных ситуациях. 🚩
Ситуация 1. Исчезновение записей о поставке или оплате
Вы поставили товар, выставили счёт, но в 1С или SAP вашего контрагента нет никаких следов. Кто-то удалил записи.
Ситуация 2. Изменение сумм задним числом
Сумма в счёте была 10 млн руб., а в системе стала 1 млн. Кто-то изменил данные через прямой SQL-доступ.
Ситуация 3. Спор о хищении через фиктивных поставщиков
В 1С появился новый контрагент, которому перевели миллионы, но никаких реальных поставок не было.
Ситуация 4. Потеря данных при интеграции
Данные не передались из 1С в SAP из-за ошибки в скрипте интегратора.
Ситуация 5. Откат базы данных после увольнения сотрудника
Уволенный администратор восстановил старую версию базы, чтобы скрыть следы хищения.
Если вы узнали свою ситуацию — вам нужна наша экспертиза.
Глава 3. Кейс №1: 1С — восстановление удалённых накладных на 87 млн рублей
Исходные данные: АО «ТрейдМеталл» (истец) подало иск к ООО «СтройРесурс» (ответчик) о взыскании 87 млн рублей за поставленный металл. Ответчик представил выписку из своей 1С: Бухгалтерия, согласно которой поставок не было. Истец утверждал, что главный бухгалтер ответчика удалил счета-фактуры. Суд назначил экспертизу. 🏗️
Экспертная задача: Установить факт удаления документов в 1С, восстановить удалённые записи и определить суммы.
Наше исследование 🔬
Этап 1. Изъятие и копирование
Создан посекторный образ диска сервера 1С (Tableau T8). Рассчитаны хэш-суммы SHA-256: 3E7A2F1C….
Этап 2. Анализ файла.1CD
Файл StroyRes.1CD размером 48 ГБ. С помощью нашей утилиты 1CD_Raw_Extractor (Python, прямой парсинг без COM) отсканированы свободные страницы базы. Обнаружено 3 456 страниц, помеченных как свободные (бит в карте распределения = 0), но содержащих валидные записи таблицы Document_Invoice.
Этап 3. Восстановление удалённых записей
Из свободных страниц извлечены 1 234 документа: поля InvoiceNumber, Date, Amount, Counterparty. Общая сумма — 87 000 000 руб. (полное совпадение с первичными документами истца).
Этап 4. Анализ журнала регистрации 1С
Файл 1Cv8.lgd был очищен, но с помощью анализа деаллоцированных секторов диска (поиск сигнатур удалённых записей) восстановлены 456 записей о помечивании на удаление. Пользователь — Гл.бухгалтер Смирнова. Время — 15.03.2025 02: 17: 33.
Этап 5. Анализ теневых копий (VSS)
На сервере были включены теневые копии томов. Из теневой копии за 14.03.2025 извлечён файл StroyRes.1CD. При открытии в 1С — все документы на месте.
Этап 6. Логи Windows
Event Log (ID 4624, 4648) показал, что в ночь удаления учётная запись SMIRNOVA использовалась с IP-адреса 10.0.0.45. СКУД подтвердил, что Смирнова не находилась в офисе.
Результат: Суд удовлетворил иск на 87 млн руб. Суд вынес частное определение в отношении Смирновой.
Экспертный вывод: компьютерно-техническая экспертиза корпоративных информационных систем (кис) восстанавливает удалённые данные из свободных страниц.1CD и теневых копий.
Глава 4. Кейс №2: SAP — выявление SQL-вмешательства в таблицу BSEG на 112 млн рублей
Исходные данные: АО «НефтеХим» (истец) подало иск к бывшему ИТ-директору о взыскании 112 млн руб. После увольнения директора обнаружилось, что суммы 50 000 проводок в SAP были занижены на 15-20% через прямой SQL-доступ. В таблицах изменений CDHDR/CDPOS записи отсутствовали — злоумышленник работал в обход SAP. 🔩
Экспертная задача: Обнаружить следы SQL-вмешательства и восстановить исходные суммы.
Наше исследование 🔬
Этап 1. Анализ redo log HANA
Сервер работал на SAP HANA. Через судебный запрос получены archive log (сохранены за 6 месяцев). С помощью утилиты hdbrecovery восстановлены 50 000 операций UPDATE таблицы «SAP».»BSEG». Каждая операция содержала: transaction_id, user_name = SYSTEM, client_host = 10.0.0.88, timestamp, OldValue (исходная сумма), NewValue (изменённая сумма).
Этап 2. Восстановление из дампа памяти
Дамп памяти процесса hdbindexserver (96 ГБ) содержал старые версии строк. Извлечены 50 000 записей с исходными суммами. Коэффициент корреляции с redo log — 0,999.
Этап 3. Идентификация пользователя
IP-адрес 10.0.0.88 принадлежал рабочей станции ИТ-директора. На его компьютере, изъятом по запросу суда, в истории PowerShell найден скрипт update_bseg.sql.
Этап 4. Сравнение с первичными документами
Истец предоставил договоры. Суммы в договорах совпали с восстановленными OldValue.
Результат: Суд удовлетворил иск на 112 млн руб.
Экспертный вывод: компьютерно-техническая экспертиза корпоративных информационных систем (кис) выявляет SQL-вмешательство через redo log и дампы памяти.
Глава 5. Кейс №3: Интеграция 1С и SAP — потеря данных на 45 млн рублей
Исходные данные: ООО «ПромЛогистик» (истец) подало иск к интегратору о взыскании 45 млн руб. убытков. При передаче данных из 1С в SAP через EDI-шлюз «потерялись» 2 345 счетов-фактур на 45 млн руб. Интегратор утверждал, что данные не передавались, а истец «сам виноват». 📡
Экспертная задача: Установить, были ли данные отправлены из 1С, дошли ли до SAP, и кто виноват.
Наше исследование 🔬
Этап 1. Анализ логов 1С
В 1С истца (журнал регистрации) восстановлены записи о выгрузке 2 345 счетов через обработку «Обмен с SAP». Время, пользователь, IP-адрес — всё совпадает.
Этап 2. Анализ логов EDI-шлюза
Логи EDI-шлюза (предоставлены интегратором) показали, что XML-файлы были отправлены и успешно доставлены на сервер SAP ответчика. Однако в логах отсутствовали записи о дальнейшей обработке.
Этап 3. Анализ логов SAP ответчика
В SAP ответчика (через судебный запрос) получены логи RFC-вызовов. Обнаружено, что входящие XML-файлы были приняты, но не обработаны из-за ошибки в скрипте интегратора: IF amount > 1000000 THEN SKIP.
Этап 4. Анализ кода интеграции
Интегратор предоставил ABAP-код. Эксперт обнаружил, что скрипт игнорировал счета с суммой более 1 млн руб. (а именно такие были у истца).
Этап 5. Кросс-валидация
Сопоставлены данные: 2 345 счетов в 1С = 2 345 записей в логах EDI = 2 345 принятых файлов в SAP = 0 обработанных из-за ошибки интегратора.
Результат: Суд удовлетворил иск на 45 млн руб.
Экспертный вывод: компьютерно-техническая экспертиза корпоративных информационных систем (кис) анализирует не только данные, но и код интеграций, логи EDI, RFC-вызовы.
Глава 6. Типовые вопросы суда при экспертизе КИС
На основе анализа судебной практики выделены наиболее частые вопросы. 🗂️
Категория «Удаление/изменение данных»:
Имеются ли в корпоративной информационной системе (1С/SAP/Dynamics) следы удаления или изменения финансовых транзакций за период [период]?
Если да, то кем (учётная запись), когда (дата и время) и с какого IP-адреса были выполнены операции?
Возможно ли восстановить удалённые данные и определить суммы?
Категория «SQL-вмешательство»:
4. Имеются ли в журналах СУБД (redo log,.ldf) следы прямого доступа к таблицам (UPDATE/DELETE) в обход прикладного ПО?
5. Каковы старые и новые значения изменённых полей?
6. Кем (учётная запись СУБД) были выполнены операции?
Категория «Интеграционные потери»:
7. Были ли данные переданы из системы А в систему Б?
8. Если да, то на каком этапе произошла потеря?
9. Является ли потеря результатом ошибки в коде интеграции?
Категория «Откат базы данных»:
10. Имеются ли признаки восстановления базы данных из резервной копии за более раннюю дату?
11. Если да, то какова была сумма задолженности до отката?
Категория «Фиктивные контрагенты»:
12. Имеются ли в системе признаки создания фиктивных контрагентов (подозрительные IP-адреса, время создания, отсутствие реальных операций)?
Компьютерно-техническая экспертиза корпоративных информационных систем (кис) даёт ответы на все эти вопросы.
Глава 7. Методы сбора доказательств в КИС
Сбор доказательств зависит от типа системы. 📋
Для файловых 1С:
Образ диска сервера (Tableau T8).
Файлы.1CD,.lgd,.lgf.
Теневые копии (VSS).
Журналы Windows Event Log.
Для клиент-серверных 1С/SAP/Dynamics:
Образ диска сервера.
Дамп памяти СУБД (SQL Server, HANA).
Транзакционные логи (redo log,.ldf).
Резервные копии баз данных.
Логи СУБД (errorlog, query log).
Для облачных CRM/ERP:
Судебный запрос к вендору (Microsoft, Salesforce, SAP).
API-логи, Audit Logs (EventLogFile для Salesforce).
Data Export (резервные копии).
Алгоритм сбора:
Запросить у стороны доступ к системе.
Если доступ не предоставлен — судебный запрос (ст. 66 АПК РФ).
Для on-premise — выезд эксперта, посекторное копирование.
Все действия фиксировать (фото, видео, хэш-суммы).
Компьютерно-техническая экспертиза корпоративных информационных систем (кис) невозможна без этих методов.
Глава 8. Судебный запрос к вендору КИС
Microsoft (Dynamics), SAP, Oracle, Salesforce — без судебного решения они не предоставят логи и бэкапы. ⚖️
Процедура:
Подать ходатайство об истребовании доказательств (ст. 66 АПК РФ).
Суд выносит определение. Направляется в официальное представительство вендора.
Вендор предоставляет данные в зашифрованном виде (срок — 30-90 дней).
Сложности:
Вендор может отказать, сославшись на коммерческую тайну других клиентов. В таком случае суд делает выводы против оппонента (ст. 65 АПК РФ).
Данные предоставляются на английском языке (SAP, Salesforce), требуется нотариально заверенный перевод.
Экспертный совет: закладывайте 2-4 месяца на получение данных от вендора.
Глава 9. Ограничения методов (экспертная честность)
Когда восстановление невозможно:
Резервные копии вендора перезаписаны (14-90 дней в зависимости от тарифа).
Для 1С: более 4-5 циклов сжатия базы (свободные страницы перезаписаны).
Для SAP HANA: archive log отключён и прошло более 48-72 часов.
Для on-premise СУБД: журналы перезаписаны в режиме SIMPLE recovery.
Процент восстановления (эмпирические данные):
| Система | Метод | Процент | Срок |
| 1С (файловая) | Свободные страницы.1CD | 90-98% | до сжатия |
| 1С (SQL) | .ldf (FULL recovery) | 95-100% | до перезаписи |
| SAP HANA | redo log (archive) | 99-100% | неограничен |
| SQL Server | .ldf (FULL) | 95-100% | до перезаписи |
| Salesforce | Data Export | 99-100% | до 90 дней |
Всегда указываем в заключении, какие данные были доступны, какой процент восстановления, какие ограничения существовали.
Глава 10. Инструментарий эксперта КИС
Программное обеспечение:
EnCase Forensic, X-Ways Forensics — анализ файловых систем.
ApexSQL Log — анализ транзакционных логов SQL Server.
hdbrecovery — анализ redo log SAP HANA.
1CD_Raw_Extractor (собственная разработка) — парсинг.1CD.
SAP HANA Studio, SAP GUI — анализ SAP.
PowerShell, Python — автоматизация.
WinMerge, Beyond Compare — сравнение версий.
Аппаратные средства:
Tableau Forensic Duplicator T8 — копирование с блокиратором записи.
PC-3000 Express — восстановление данных с повреждённых дисков.
WriteBlocker для SATA/SAS/NVMe.
Компьютерно-техническая экспертиза корпоративных информационных систем (кис) требует специализированного ПО и оборудования.
Глава 11. Часто задаваемые вопросы (экспертные ответы)
Вопрос: Можно ли восстановить удалённые документы в 1С после сжатия базы?
✅ Ответ: Да, если сжатие было не более 3-4 раз. Данные сохраняются в свободных страницах файла.1CD до перезаписи.
Вопрос: Как долго SAP HANA хранит redo log?
✅ Ответ: Если включён archive log — неограниченно долго. Если нет — 48-72 часа.
Вопрос: Может ли эксперт определить, что изменения делались через прямой SQL?
✅ Ответ: Да, через анализ redo log (HANA) или.ldf (SQL Server). Там фиксируются все операции независимо от того, из какого приложения они пришли.
Вопрос: Что делать, если ответчик отказывается предоставить доступ к своей КИС?
✅ Ответ: Суд выносит определение об истребовании доказательств (ст. 66 АПК РФ). Отказ расценивается против ответчика (ст. 65 АПК РФ).
Вопрос: Какова минимальная сумма иска для окупаемости экспертизы?
✅ Ответ: Экспертиза стоит от 120 000 руб. (досудебное исследование) до 500 000-2 000 000 руб. (полная экспертиза). Окупается при иске от 3-5 млн руб.
Глава 12. Экономическая эффективность экспертизы КИС
Формула: EV = S × q — C — (1-q) × F, где:
S — сумма иска,
q — вероятность выигрыша с экспертизой,
C — стоимость экспертизы,
F — судебные расходы при проигрыше.
Эмпирические значения (по нашей статистике, n=500):
q (с нашей экспертизой) = 0,97
q (без экспертизы) = 0,30
C (средняя сложность) = 500 000 руб.
F (при иске 50 млн) ≈ 300 000 руб.
Пример (иск 50 млн руб.):
EV(с экспертизой) = 50×0,97 — 0,5 — 0,03×0,3 = 48,5 — 0,5 — 0,009 = 47,991 млн руб.
EV(без экспертизы) = 50×0,30 — 0 — 0,70×0,3 = 15 — 0,21 = 14,79 млн руб.
Чистый выигрыш от экспертизы: 47,991 — 14,79 = 33,201 млн руб.
Экспертиза окупается многократно.
Глава 13. Сравнительный анализ КИС с точки зрения экспертизы
| Параметр | 1С | SAP | Dynamics 365 | Salesforce |
| Тип | On-premise | On-premise/Cloud | Cloud/On-premise | Cloud |
| Доступ к дискам | Есть (.1CD) | Есть (redo log) | Нет (облако) | Нет |
| Основной источник | Свободные страницы.1CD | redo log / CDHDR | Бэкапы Microsoft | Data Export |
| Аудит | Журнал регистрации | CDHDR/CDPOS | Audit Logs | EventLogFile |
| Восстановление удалённых | 90-98% | 99-100% | 99-100% | 99-100% |
| Сложность экспертизы | Средняя | Высокая | Высокая | Высокая |
Компьютерно-техническая экспертиза корпоративных информационных систем (кис) требует адаптации под конкретную систему.
Глава 14. Рекомендации по сохранению доказательств
Для компаний (профилактика):
Включите аудит во всех системах (1С, SAP, CRM).
Для 1С: не отключайте журнал регистрации.
Для SQL Server: включите режим FULL recovery.
Для SAP HANA: включите archive log.
Регулярно создавайте резервные копии и храните их отдельно.
Ограничьте права администратора.
Сохраняйте логи не менее 90 дней.
Для истца (при обнаружении проблемы):
Немедленно зафиксируйте факт обнаружения (протокол осмотра).
Не удаляйте и не изменяйте данные на сервере.
Не запускайте сжатие базы 1С.
Не перезагружайте сервер (если возможно).
Обратитесь к нам до того, как оппонент подчистит следы.
Для ответчика (добросовестного):
Не отключайте аудит и не очищайте логи — это может быть расценено как уничтожение доказательств (ст. 303 УК РФ).
Предоставьте эксперту доступ к системе (через суд) — отказ будет расценён против вас.
Компьютерно-техническая экспертиза корпоративных информационных систем (кис) тем успешнее, чем раньше стороны примут меры по сохранению данных.
Глава 15. Правовая база проведения экспертизы
Экспертиза проводится в соответствии с:
Федеральный закон от 31.05.2001 № 73-ФЗ «О государственной судебно-экспертной деятельности в Российской Федерации».
Арбитражный процессуальный кодекс РФ (статьи 82-87 — назначение экспертизы).
Гражданский процессуальный кодекс РФ (статьи 79-86).
Уголовно-процессуальный кодекс РФ (статьи 195-207).
Эксперт предупреждается об уголовной ответственности по статье 307 УК РФ за дачу заведомо ложного заключения.
Глава 16. Новые вызовы: AI в КИС, блокчейн, квантовая криптография
Тренд 1. Искусственный интеллект в КИС (SAP AI, Oracle AI)
AI может генерировать фальшивые проводки или скрывать реальные. Экспертиза будет выявлять статистические аномалии (методы Монте-Карло, анализ распределений).
Тренд 2. Блокчейн-интеграции
Некоторые КИС могут нотаризировать транзакции в блокчейне. Экспертиза будет требовать анализа смарт-контрактов.
Тренд 3. Квантовая криптография
Пост-квантовые алгоритмы подписи. Эксперты должны будут адаптировать методы криптоанализа.
Тренд 4. Полное шифрование баз данных (TDE, Always Encrypted)
Если ключ не сохранён, данные не прочитать. Экспертиза будет требовать извлечения ключей из дампов памяти.
Мы инвестируем 20% годового бюджета в R&D для подготовки к этим вызовам.
Глава 17. Этический кодекс эксперта
Принципы:
Не пытаться получить доступ к чужим данным (другим клиентам вендора) — это уголовное преступление (ст. 272 УК РФ).
Все действия с КИС фиксировать (журнал), чтобы у оппонента не было оснований обвинить эксперта во вмешательстве.
Использовать только легальные методы получения данных (судебный запрос, согласие сторон).
Если вендор отказывает в предоставлении данных — честно указать это в заключении.
Не давать ложного заключения «под заказ» — результат определяют данные.
Компьютерно-техническая экспертиза корпоративных информационных систем (кис) требует от эксперта высокого уровня этической ответственности.
Глава 18. Заключение: ваше право на цифровую правду
Три кейса показали возможности компьютерно-технической экспертизы корпоративных информационных систем (кис):
✅ 1С — восстановление удалённых накладных из свободных страниц.1CD (87 млн руб.).
✅ SAP — выявление SQL-вмешательства через redo log HANA (112 млн руб.).
✅ Интеграция 1С-SAP — анализ логов EDI и кода интеграции (45 млн руб.).
Что нужно запомнить:
КИС не защищена от фальсификаций, но оставляет технические следы.
Не верьте оппоненту, который говорит «данных нет». Мы найдём их в свободных страницах, redo log, бэкапах.
Не доверяйте штатным программистам — они не эксперты и не имеют процессуального статуса.
Обращайтесь к нам как можно раньше — каждый день уменьшает шанс восстановления.
🟩 Мы — Союз «Федерация судебных экспертов». Сайт: https: //kompexp.ru/
Бесплатная консультация. Работаем по всей РФ.
Ваше право — на цифровую правду. Наше дело — её найти. 💪⚖️
Задавайте любые вопросы