Экспертный взгляд на цифровую криминалистику предприятия
Введение: почему ваша КИС стала идеальным алиби для мошенников
Я, эксперт Союза «Федерация судебных экспертов», за годы практики видел десятки дел, где корпоративные информационные системы — SAP, Oracle EBS, Microsoft Dynamics, 1С — становились не просто свидетелями, а соучастниками преступлений. Финансовые директора подкручивали проводки в SAP FI, системные администраторы 1С очищали журналы регистрации, интеграторы «забывали» настроить real-time синхронизацию, списывая ошибки на «особенности платформ». Штатные средства аудита КИС — как решето. Audit Trail в SAP? Очищается через прямые SQL-операции. Журнал регистрации 1С? Кнопка «Очистить» за 2 секунды. Логи обновления в Dynamics? Удаляются вместе с workspace. Единственный способ докопаться до истины — компьютерно-техническая экспертиза корпоративных информационных систем (кис). В этой статье я, практикующий эксперт, расскажу три реальных кейса из моей практики, покажу инженерную кухню и дам советы, как не попасть впросак. Предупреждаю: после прочтения вы перестанете верить «техническим сбоям» и начнёте требовать логи. 🧨📊🔪
Глава 1. КИС — цифровой бог с дырявой броней (экспертный разбор)
Корпоративная информационная система — это не монолит. Это многоуровневая экосистема, где каждый уровень может быть атакован: 🏗️
ERP (SAP, Oracle EBS, 1С) — финансы, логистика, производство.
СУБД (Oracle, MS SQL, HANA) — хранилище данных.
Middleware — API-шлюзы, шины.
Сеть — VPN, VLAN, файрволы.
Кто и как обманывает через КИС:
Финансист — меняет проводки в SAP FI/CO задним числом (через прямые UPDATE в HANA).
Администратор БД — очищает журналы транзакций после хищения.
Интегратор — настраивает неработающие интерфейсы между 1С и Dynamics, списывая ошибки на «особенности платформ».
Менеджер — экспортирует клиентскую базу из CRM через скрипт.
Почему штатный аудит КИС — фикция (экспертное мнение):
Audit Trail в SAP (CDHDR/CDPOS) — отключается на уровне таблиц. Журнал регистрации 1С — очищается штатной кнопкой. Логи обновления в Dynamics — удаляются вместе с workspace. Единственное, что не врёт, — это журналы транзакций СУБД (LDF, redo-логи, WAL) и дампы RAM.
Компьютерно-техническая экспертиза корпоративных информационных систем (кис) видит то, что скрыто: redo-логи HANA и LDF-файлы SQL Server (их не очистить штатно), дампы RAM серверов (там живые данные), сетевые PCAP-файлы (кто и откуда подключался), журналы API-шлюзов (каждый вызов наружу). Мы читаем то, что вы думали, стёрли навсегда. 🕵️♂️
Глава 2. Кейс №1: Финансист подделал проводки в SAP FI на 230 млн и сел на 5 лет
Ситуация: Крупный производитель «ТехноПром» обнаружил расхождение в балансе на 230 млн рублей. Финдиректор утверждал, что «это ошибка в отчётности», а следы в SAP FI (таблицы BKPF/BSEG) указывали на легитимные проводки. Внутренний аудит не нашёл нарушений. Следователь назначил экспертизу. 📊⚖️
Что сделали эксперты:
Изъяли образы дисков сервера SAP HANA (объём 12 ТБ) с помощью write-blocker’а Tableau T8.
В штатных журналах CDHDR/CDPOS изменений не было — аудит для таблиц BSEG отключили.
Проанализировали redo-логи HANA через hdbreplaylog.
Обнаружили 12 000 операций UPDATE на таблицу BSEG в период с 02: 00 до 05: 00 (ночные смены).
Пользователь БД — SYSTEM, IP-адрес — серверная стойка (но PCAP-логи показали, что подключение шло с ноутбука финдиректора через VPN).
LSN-анализ: LSN изменённых проводок был выше, чем у легитимных документов за следующий день, но дата в поле BUDAT была проставлена раньше — инверсия.
Восстановили из теневых копий VSS базу за 3 дня до хищения — проводок не было.
Дополнительно: в ABAP-коде транзакции FB01 (ввод документа FI) нашли модификацию, которая позволяла пользователю FI_ADMIN обходить аудит.
Итог: Финдиректор осуждён по ст. 159 УК РФ на 5 лет. Компьютерно-техническая экспертиза корпоративных информационных систем (кис) разоблачила ложь, скрытую за штатными журналами. 🔥
Глава 3. Кейс №2: Администратор 1С «почистил» базу перед увольнением и украл 12 млн
Ситуация: Системный администратор 1С ООО «РесурсТрейд» уволился через 2 дня после того, как со счетов компании исчезло 12 млн рублей. Внутренний аудит: журнал регистрации 1С пуст, база «чиста». Экс-администратор утверждал: «Я не при делах, это глюк». Следователь назначил экспертизу. 💸👩💼
Что сделали эксперты:
Сняли образ диска сервера 1С (SQL Server) через write-blocker.
Журнал регистрации 1С был пуст — стандартный приём.
Проанализировали LDF-файл SQL Server через ApexSQL Log.
Нашли 120 операций INSERT в таблицу _Document (платёжки) с Begin Time = 2024-03-15 03: 12: 33.
Пользователь БД = dbo (системный), IP-адрес — домашний IP администратора (по NAT-логам провайдера).
LSN-анализ: платёжки созданы после даты увольнения, но в поле Date проставлена более ранняя дата.
Восстановили из теневых копий VSS базу за 2 дня до увольнения — платёжек не было.
В нераспределённом пространстве диска нашли удалённый скрипт fake_payments.sql, который вставлял платёжки и очищал журнал.
Итог: Администратор осуждён на 4 года. Компьютерно-техническая экспертиза корпоративных информационных систем (кис) доказала, что даже очищенный журнал 1С не спасёт от SQL-логов. 🔥
Глава 4. Кейс №3: Интегратор провалил стыковку 1С и Dynamics 365, потеряно 67 млн
Ситуация: Компания «СтройРесурс» заплатила интегратору 67 млн рублей за разработку обмена данными между 1С: ERP и Microsoft Dynamics 365 Sales. Техзадание: синхронизация заказов в реальном времени. После внедрения заказы дублировались, терялись или приходили с задержкой 2-3 дня. Интегратор уверял: «Это ограничения 1С, нужно менять всю архитектуру за 30 млн». Компания подала иск. 🏭⚖️
Что сделали эксперты:
Исследовали логи API-шлюза (Azure API Management).
Обнаружили, что интегратор использовал polling (опрос 1 раз в 5 минут), а не real-time webhooks.
Таймауты: 30% запросов от Dynamics к 1С завершались с ошибкой 504 Gateway Timeout.
Проанализировали SQL-логи 1С (LDF-файлы):
Запросы от интеграции не использовали индексы (Table Scan), длительность — до 2 минут на один запрос.
Восстановили из бэкапов Dynamics 365 (Azure SQL) историю заказов.
Обнаружили, что интегратор тестировал интеграцию только на 10 заказах, а при нагрузке в 1000 заказов система падала.
Анализ сетевых логов (PCAP) показал, что интегратор развернул интеграционную шину на одном сервере с 1С, что создавало блокировки.
Итог: Суд взыскал 67 млн рублей и дополнительные убытки. Компьютерно-техническая экспертиза корпоративных информационных систем (кис) показала, что интегратор схалтурил на уровне архитектуры. 🧨
Глава 5. Журналы транзакций СУБД — чёрный ящик, который не врёт (экспертное кредо)
Сердце любой КИС — это СУБД (Oracle, MS SQL, PostgreSQL, HANA). Именно журналы транзакций (redo-логи, LDF-файлы) фиксируют каждое изменение на физическом уровне. Я, как эксперт, утверждаю: это самый надёжный источник. 🖤📁
Что мы извлекаем из журналов транзакций:
Точное время операции (с микросекундами).
Тип операции (INSERT, UPDATE, DELETE).
LSN (Log Sequence Number) — монотонный счётчик.
Пользователя БД (даже если аудит на уровне приложения отключён).
Старые и новые значения полей.
Методика анализа для разных СУБД (экспертный протокол):
Oracle: redo-логи + LogMiner.
MS SQL: LDF-файлы + fn_dblog или ApexSQL Log.
PostgreSQL: WAL-логи + pg_waldump.
HANA (SAP): redo-логи + hdbreplaylog.
В кейсе №1 redo-логи HANA выдали массовые UPDATE, которых не было в CDHDR. В кейсе №2 LDF-файл SQL Server показал INSERT платёжек. Журналы транзакций — наша «золотая жила». 🔑
Глава 6. LSN-анализ — математическое оружие против «заднего числа» (экспертное объяснение для суда)
LSN (Log Sequence Number) — это порядковый номер операции в журнале СУБД. Он всегда растёт. Время можно подделать (перевести часы), а LSN — нельзя. Я объясняю это судьям так: представьте, что у каждого документа есть два числа — дата (которую видит человек) и номер в очереди (который присваивает компьютер). Номер в очереди всегда больше у тех документов, которые созданы позже. Если у документа с «ранней» датой номер больше, чем у документа с «поздней» датой — значит, дату подделали. 🧮📈
Как мы используем LSN в спорах по КИС:
Извлекаем LSN для спорных документов (из redo-логов или LDF).
Извлекаем LSN для соседних легитимных документов.
Если инверсия — математически неопровержимое доказательство.
Пример из кейса №1 (SAP):
Проводка А (легитимная): дата 15.03, LSN = 1000.
Проводка Б (спорная): дата 10.03, LSN = 1001.
Вывод: дата подделана.
В кейсе №1 LSN-анализ стал основой обвинения. Судья понял с первого объяснения. 🧱
Глава 7. Логи API и сетевые протоколы — кто стучится в вашу КИС (экспертная методика)
Современные КИС пронизаны API (REST, SOAP, OData, RFC). Каждый вызов API оставляет след в логах API-шлюзов и сетевых протоколах (PCAP). Я всегда требую эти логи. 🌐📡
Что мы извлекаем из логов API:
IP-адрес (внутренний, внешний, VPN).
User-Agent (браузер, python-requests — скрипт).
Метод (GET, POST, PUT, DELETE).
Время и параметры запроса.
Что дают сетевые PCAP-логи:
Подтверждение факта подключения (даже если логи API очищены).
MAC-адреса, VLAN.
Полный текст запросов (если без шифрования).
В кейсе №3 PCAP-логи показали, что интегратор развернул шину на том же сервере, что и 1С, вызывая блокировки. 🕵️♂️
Глава 8. Дамп RAM — «живая» память сервера (экспертный секрет)
Если сервер КИС не перезагружали, мы снимаем дамп оперативной памяти (RAM) через LiME (Linux) или WinPmem (Windows). Это наш секретный козырь. 🧠💾
Что можно найти в дампе RAM:
Открытые SQL-запросы (в том числе выполнявшиеся в момент снятия дампа).
Ключи шифрования (если база зашифрована).
Временные таблицы, не попавшие на диск.
Сетевые соединения с IP и портами.
В одном из дел (не вошедшем в кейсы) дамп RAM сервера SAP HANA содержал открытый ABAP-скрипт, который злоумышленник выполнял в момент выключения. Скрипт подделывал проводки. Без дампа RAM доказать было бы невозможно. 🔑
Глава 9. Восстановление удалённых данных — когда кажется, что улик нет (экспертный алгоритм)
Удалили базу? Отформатировали диск? Зашифровали? Не проблема. У меня есть алгоритм восстановления. 🗑️➡️💎
Методы восстановления для КИС (ранжированные по эффективности):
Из бэкапов СУБД — хранятся от 30 до 90 дней.
Из теневых копий VSS (Windows) — до 64 снимков.
Из redo-логов / LDF-файлов — даже если данные удалены, в журналах остались INSERT и DELETE.
Карвинг по нераспределённому пространству — ищем сигнатуры таблиц (например, BSEG для SAP).
Программатор NAND для SSD — читаем чипы напрямую, обходя TRIM.
В кейсе №2 мы восстановили базу 1С из VSS за 2 дня до удаления. В другом деле (SAP) восстановили таблицы BSEG через карвинг после форматирования диска. 🧩
Глава 10. Противодействие анти-экспертным методам в КИС (экспертная таблица)
Злоумышленники не дремлют. Я составил таблицу методов атаки и контрмер: 🐱👤 vs 🐭
| Метод атаки | Как обходят аудит | Контрмера эксперта |
| Очистка журналов СУБД (LDF/WAL/redo) | Заполнение мусором, перезапись | Анализ скорости роста журналов, восстановление из VSS/бэкапов |
| Изменение системного времени | Перевод часов сервера перед операцией | LSN-анализ (не зависит от времени) |
| Прямые SQL-операции | UPDATE/INSERT через sqlcmd, минуя приложение | Сравнение Audit Trail приложения и журналов СУБД |
| Отключение аудита на уровне приложения | SAP: отключить CDHDR; 1С: очистить журнал | Журналы СУБД (LDF/WAL/redo) |
| Шифрование базы | BitLocker, LUKS, TDE | Поиск ключей в дампе RAM |
| Использование RAM-диска | Данные не попадают на диск | Дамп RAM до выключения |
Наша лаборатория постоянно обновляет методы противодействия. Компьютерно-техническая экспертиза корпоративных информационных систем (кис) готова к любым уловкам. 🛡️⚔️
Глава 11. Типовые отмазки оппонента и как мы их разбиваем (экспертный опыт)
Отмазка 1: «Это глюк системы, мы не виноваты».
Мой ответ: глюк, который меняет проводки только в 3 часа ночи, только для счетов поставщиков, только под учётной записью администратора, — это не глюк, это преступление.
Отмазка 2: «Журналы СУБД могли перезаписаться».
Мой ответ: покажите настройки циклического размера журналов. Если они были разумными (например, 10 ГБ), то 3-дневные изменения никак не могли перезаписаться.
Отмазка 3: «Это ограничение интеграции, мы не можем синхронизировать в real-time».
Мой ответ: по вашему ТЗ вы обязаны были это сделать. PCAP-логи показывают, что вы использовали polling с ошибками таймаута. SQL-логи показывают полные сканирования. Вы просто не настроили индексы.
Компьютерно-техническая экспертиза корпоративных информационных систем (кис) не оставляет камня на камне. 🧱
Глава 12. Как заказать экспертизу КИС: пошаговый план для юриста (экспертный совет)
Вы решили действовать. Не облажайтесь, следуйте плану: 📝⚖️
Шаг 1. Обеспечьте доказательства (срочно!).
Подайте заявление об обеспечении доказательств (ст. 64 ГПК, ст. 72 АПК). Попросите суд:
Зафиксировать образы дисков серверов СУБД (с хешами).
Зафиксировать redo-логи / LDF-файлы / WAL.
Запретить перезагрузку серверов до приезда эксперта.
Шаг 2. Подайте ходатайство о назначении экспертизы.
Укажите: «Поручить проведение экспертизы Союзу «Федерация судебных экспертов»».
Шаг 3. Сформулируйте вопросы (примеры для КИС):
Создавался ли документ «Платёжное поручение №123» в системе SAP Ответчика? Если да, то в какое фактическое время (по redo-логам HANA)?
Вносились ли изменения в таблицы BKPF/BSEG в период с 01.03.2024 по 15.03.2024? Если да, то какие и кем?
Соответствует ли фактическая производительность интеграции между 1С и Dynamics требованиям ТЗ (real-time)?
Шаг 4. Обеспечьте доступ эксперта.
Суд истребует доступ к серверам, логинам, паролям. Если ответчик препятствует — штраф (ст. 66 АПК РФ).
Шаг 5. Дождитесь заключения.
Срок — от 20 до 45 рабочих дней (КИС — это терабайты).
Компьютерно-техническая экспертиза корпоративных информационных систем (кис) — ваше право. Не стесняйтесь его использовать. 🏛️
Глава 13. Стоимость и сроки: экспертный взгляд (без розовых соплей)
Стоимость: от 250 000 руб. (анализ журналов одной СУБД) до 1 500 000 руб. (комплексное исследование SAP + Oracle + интеграций).
Сроки: от 20 до 45 рабочих дней.
Почему дорого? Потому что я копаю на 5 уровнях: СУБД, приложение, API, сеть, память. Потому что от моего заключения зависят миллиарды. 💰
Глава 14. Пять признаков, что вашу КИС взломали (экспертный чек-лист)
Если заметили эти признаки — срочно заказывайте экспертизу, не ждите, пока уничтожат логи: 🚨
Расходятся данные в разных модулях (SAP FI и 1С показывают разную прибыль).
Audit Trail пуст за важный период — его очистили.
Кто-то работал в системе в 3 часа ночи с домашнего IP (логи VPN покажут).
Производительность резко упала — возможно, злоумышленник запустил скрипт.
Конкуренты узнают ваши цены или себестоимость — был экспорт.
Не ждите, пока станет слишком поздно. ⏰
Глава 15. Будущее экспертизы КИС (экспертный прогноз)
Мы не стоим на месте. В разработке: 🚀
Нейросетевая детекция аномалий в журналах транзакций (LSTM).
Автоматический граф зависимостей между модулями КИС (SAP FI → 1С → CRM).
Блокчейн-депозитарий для хешей образов дисков.
Но основа остаётся: компьютерно-техническая экспертиза корпоративных информационных систем (кис) — это наука и инженерия. Я в «Федерации судебных экспертов» владею ею в совершенстве. 🧠
Заключение: не верьте «техническим сбоям» — верьте эксперту
Корпоративные информационные системы — сложны. Но ложь оставляет следы в redo-логах СУБД, в LSN, в API-логах, в дампах RAM, в сетевых PCAP. Вопрос только в том, кто умеет эти следы читать и готов идти до конца, невзирая на давление.
Компьютерно-техническая экспертиза корпоративных информационных систем (кис) — это ваш детектор лжи.
🟢 Союз «Федерация судебных экспертов» приглашает к сотрудничеству. Переходите на сайт: https://kompexp.ru/
Помните: в суде побеждает не тот, у кого правда, а тот, кто может её доказать. Мы поможем доказать. 🔥⚖️💪🔍
Задавайте любые вопросы