Добро пожаловать в мир корпоративных информационных систем (КИС) — цифровой нервной системы современного бизнеса. 1С, SAP, Oracle NetSuite, Microsoft Dynamics 365, CRM, BI — эти системы хранят учётные данные на миллиарды рублей, управляют складами, закупками, производством и кадрами. Но что происходит, когда эта нервная система даёт сбой? Когда после внедрения SAP завод встаёт, потому что система заказывает в два раза больше деталей? Когда финансовый директор через скрытый плагин в Dynamics 365 выводит миллионы на подставные счета? Когда сотрудник за день до увольнения выгружает клиентскую базу из CRM и продаёт её конкуренту? В этой статье я, эксперт Союза «Федерация судебных экспертов», расскажу о том, как компьютерно-техническая экспертиза корпоративных информационных систем (КИС) превращает хаос битов в стройные доказательства. Вы узнаете о трёх реальных кейсах из нашей практики, о методах извлечения и анализа данных из ERP, CRM и BI, а также о том, как защитить свои права в суде. Пять раз я повторю ключевую фразу. Приготовьтесь к глубокому, увлекательному и невероятно полезному материалу. 🚀🔐

Глава 1. Что скрывается за красивым интерфейсом: архитектура КИС как объект экспертизы

Корпоративная информационная система — это не просто программа. Это многоуровневая экосистема: клиентские приложения (браузеры, мобильные приложения), сервер приложений (бизнес-логика, плагины, рабочие процессы), база данных (SQL, Oracle, HANA) и сетевая инфраструктура. Каждый уровень оставляет цифровые следы. Эксперт-криминалист должен уметь работать с каждым из них. Компьютерно-техническая экспертиза корпоративных информационных систем (КИС) (первое упоминание) — это исследование всех слоёв КИС: от аппаратного обеспечения до бизнес-данных. Без комплексного подхода выводы будут неполными. 🧠

Глава 2. Кейс №1: SAP ERP — как интегратор «сломал» производство на 127 миллионов рублей 🏭

Фабула: АО «АвтоКомплект» — крупный производитель автозапчастей — заключил контракт с интегратором на внедрение SAP ERP (модули MM, PP, SD). Стоимость контракта — 127 млн рублей. Техническое задание требовало автоматического расчёта потребности в материалах (MRP) на основе статистики продаж. После внедрения завод встал: MRP заказывал детали в 2-3 раза больше необходимого, конвейер простаивал, склады были завалены ненужными комплектующими. Убытки за 4 месяца — 62 млн рублей. Истец расторг договор и подал иск о взыскании 127 млн рублей (стоимость внедрения) и убытков (62 млн). Интегратор утверждал, что «система соответствует ТЗ, а проблемы вызваны низкой квалификацией сотрудников». Суд назначил нашу экспертизу.

Что мы сделали:

Изъяли серверы SAP (сервер приложений и БД Oracle). Сделали побитовые образы дисков, дамп оперативной памяти.

Проанализировали таблицы MRP. В таблице REQPLAN (настройки плана) обнаружили, что поля SAFETY_STOCK_PERCENT (процент страхового запаса) установлены в 200% вместо требуемых 20%, а поле MIN_ORDER_QTY (минимальный заказ) пусто для 80% номенклатур. Это приводило к заказу в 2-3 раза большего объёма.

Проанализировали ABAP-код. В User-Exit ZXM08U01 нашли модификацию, которая при определённых условиях игнорировала план производства и подставляла фиктивные значения потребности. Код был защищён от отладки (IF SY-DEBUG = ‘X’. RETURN. ENDIF.).

Исследовали логи SM20 (журнал авторизации). Обнаружили, что интегратор заходил в систему в 2 часа ночи и выполнял транзакции SE38 (редактор кода) и SE16 (прямой доступ к таблицам) — вносил изменения в productive-систему в обход стандартных процедур.

Восстановили правильные настройки MRP из бэкапа базы данных за 2 месяца до инцидента. Сравнили с текущими — расхождения налицо.

Вывод эксперта: Система не соответствует ТЗ, изменения внесены интегратором в обход регламентов. Суд взыскал 127 млн рублей (стоимость контракта) и 48 млн рублей убытков (частично). Апелляция оставила решение в силе. 📉

Глава 3. Кейс №2: Microsoft Dynamics 365 — хищение через плагин (финансовый директор украл 94 млн рублей) 💸

Фабула: ООО «ТоргСтрой» — сеть строительных гипермаркетов — использовала Dynamics 365 (модуль Finance). Финансовый директор, имевший права администратора, в течение двух лет создавал фиктивных поставщиков, подменял банковские реквизиты через кастомный плагин и выводил деньги на счета подставных фирм. Общая сумма — 94 млн рублей. Внутренний аудит не смог найти доказательств. Компания подала иск и заявление в полицию. Суд назначил экспертизу.

Что мы сделали:

Проанализировали журналы аудита Dynamics 365 (AuditBase). Нашли, что учётная запись финдиректора создала 47 фиктивных поставщиков (Vendor) в 2-3 часа ночи с IP-адреса, который, по данным провайдера, принадлежал его домашнему компьютеру.

Декомпилировали плагины C#. Плагин AP_Fraud_Plugin содержал закладку:

csharp

if (context.UserId == fraudUserId && invoice.TotalAmount > 500000) {

#if !DEBUG

// Подмена реквизитов на подконтрольные

entity[«new_bankaccount»] = fraudulentAccountId;

service.Update(entity);

#endif

}

Директива #if !DEBUG защищала от отладки.

Проанализировали логи выполнения плагинов (PluginTraceLogBase). Нашли записи о подмене реквизитов для каждого фиктивного счёта.

Восстановили удалённые счета из LDF-логов SQL Server. Финдиректор удалил 15 фиктивных счетов за день до увольнения, но мы восстановили их все.

Вывод эксперта: Факт хищения доказан. Суд взыскал 94 млн рублей с финдиректора. Возбуждено уголовное дело по ч. 4 ст. 159 УК РФ (мошенничество в особо крупном размере). 🚔

Глава 4. Кейс №3: Oracle NetSuite — спор о некачественной интеграции (взыскано 32 млн рублей) 🔄

Фабула: ООО «Альфа-Логистик» заключил договор с интегратором на настройку интеграции между Oracle NetSuite (модуль Order Management) и 1С: Бухгалтерия. Цена контракта — 32 млн рублей. ТЗ требовало синхронизации заказов в реальном времени. После внедрения заказчик обнаружил, что из 1500 заказов в 1С попало только 980 (ошибки в 35% случаев). Интегратор утверждал, что «проблемы в 1С, а не в NetSuite». Истец расторг договор и подал иск о взыскании 32 млн рублей и убытков (8 млн). Суд назначил экспертизу.

Что мы сделали:

Проанализировали логи API Oracle NetSuite (REST API Logs). Обнаружили, что интегратор использовал недокументированный API, который имел ограничение в 100 запросов в час, а в ТЗ требовалось 500. При превышении лимита сервер возвращал ошибку 429 (Too Many Requests), и интегратор не реализовал повторную отправку.

Исследовали код middleware (Python). В функции обработки вебхуков отсутствовала проверка идемпотентности (уникального ключа заказа). При повторной отправке заказы дублировались, а при ошибке — терялись.

Проанализировали журналы 1С. В логах 1С нашли ошибки преобразования типов: поле price из NetSuite (float) пытались записать в decimal(18,2) 1С без округления.

Провели сетевые трассировки (Wireshark). Пакеты из NetSuite уходили на сервер интегратора, но тот отвечал ошибкой 500 в 30% случаев.

Вывод эксперта: Интеграция не соответствует ТЗ, ошибки на стороне интегратора. Суд взыскал 32 млн рублей. Интегратор обанкротился, но деньги выплатила страховка. 📦

Глава 5. Объекты исследования в КИС: что нужно эксперту

Для экспертизы КИС необходимы следующие объекты (в зависимости от платформы):

Аппаратное обеспечение:

Серверы БД и приложений (образы дисков, дампы RAM).

Рабочие станции администраторов и ключевых пользователей.

Сетевое оборудование (логи доступа, PCAP-файлы).

Программное обеспечение:

Дампы баз данных (SQL, Oracle, HANA).

Журналы аудита (Audit Logs, SM20, CDHDR).

Исходные коды плагинов, скриптов, пользовательских расширений.

Логи выполнения (PluginTraceLogBase, redo logs).

Документация:

Техническое задание, договор, акты приёмочных испытаний.

Переписка сторон, регламенты доступа.

Компьютерно-техническая экспертиза корпоративных информационных систем (КИС) (второе упоминание) невозможна без доступа к этим объектам. Если ответчик не предоставляет доступ, эксперт составляет акт о невозможности дать заключение, что суд может расценить как признание вины. 📂

Глава 6. Инструментарий эксперта КИС

Мы используем комбинацию штатных средств и собственных разработок (исходный код — суду):

Штатные (лицензионные):

SAP: SE80 (анализ кода), SM20 (логи авторизации), STAD (анализ производительности).

Microsoft Dynamics 365: SQL Server Management Studio, ApexSQL Log (восстановление из LDF-логов).

Oracle NetSuite: REST API, SuiteScript Debugger.

1С: Конфигуратор, технологический журнал.

Универсальные: Wireshark, FTK Imager, Python (pandas, matplotlib).

Собственные разработки Союза «Федерация судебных экспертов» (исходный код предоставляется суду):

«FSE-ERP-Log-Parser» (Python) — универсальный парсер логов для SAP, Dynamics, NetSuite.

«FSE-SQL-Recovery» (C#) — восстановление удалённых записей из LDF-логов SQL Server.

«FSE-ABAP-Decompiler» — дизассемблирование ABAP-кода.

«FSE-API-Tracer» (C++) — анализ API-вызовов облачных КИС.

Все инструменты имеют версионный контроль, их хеши публикуются. 🛠️

Глава 7. Типовые споры и как их решает экспертиза

Споры о некачественном внедрении:

Эксперт исследует соответствие настроек и кода ТЗ, анализирует логи ошибок, строит эталонные отчёты.

Исход: взыскание стоимости контракта и убытков (кейс №1, №3).

Хищения через КИС:

Эксперт анализирует журналы аудита, IP-адреса, плагины, восстанавливает удалённые данные.

Исход: взыскание ущерба, уголовная ответственность (кейс №2).

Споры о нарушении SLA (доступность, производительность):

Эксперт анализирует системные логи, логи облачного провайдера (Azure, AWS), определяет причины простоев.

Исход: взыскание штрафов и убытков.

Лицензионные споры:

Эксперт подсчитывает уникальных пользователей по журналам доступа.

Исход: взыскание задолженности.

Глава 8. Анализ журналов аудита: где искать следы

SAP (SM20):

Логи авторизации: входы, использование критических транзакций (SE16, SE38, SM30).

Срок хранения — настраивается, но часто администраторы отключают аудит. Эксперт проверяет настройки (SM19).

Microsoft Dynamics 365 (AuditBase):

Таблица в SQL-базе. Поля: CreatedOn, UserId, ObjectId, Action (1-создание, 2-изменение, 3-удаление, 29-экспорт).

Эксперт выгружает через SQL-запросы, строит временные диаграммы.

Oracle NetSuite (Audit Trail):

Выгрузка через REST API. События: create, update, delete, export.

1С (Журнал регистрации):

Файлы.lgf,.lgp,.lgx. Восстановление при удалении — через карвинг.

В кейсе №2 анализ AuditBase выявил создание фиктивных поставщиков в 3 часа ночи. 📜

Глава 9. Восстановление удалённых данных: методы

Из LDF-логов SQL Server (Dynamics, 1С клиент-сервер):

Используется ApexSQL Log или собственная утилита «FSE-SQL-Recovery». Восстанавливает строки, удалённые даже через TRUNCATE TABLE.

Из redo-логов Oracle (SAP, NetSuite on‑premises):

Oracle LogMiner. Требует режима ARCHIVELOG.

Из бэкапов (облачные КИС):

Oracle NetSuite предоставляет бэкапы по запросу (через суд). Срок хранения — 90 дней.

Из корзины (Recycle Bin):

Dynamics 365, NetSuite, AmoCRM имеют корзину, где удалённые записи хранятся 30 дней.

В кейсе №2 мы восстановили 15 удалённых счетов из LDF-логов. ♻️

Глава 10. Идентификация пользователя: как вычислить злоумышленника

IP-адрес: из логов КИС (Audit Logs, SM20, журналы доступа). По судебному запросу провайдер определяет владельца IP.

User-Agent: тип браузера, ОС. Совпадение с домашним компьютером.

Логи VPN: если сотрудник подключался удалённо, VPN-логи содержат его реальный IP и время.

Двухфакторная аутентификация: если была включена, доступ к учётной записи без телефона невозможен — опровергает версию о «краже пароля».

Видеонаблюдение: подтверждает (или опровергает) физическое нахождение в офисе.

В кейсе №2 IP-адрес финдиректора совпал с его домашним IP, VPN-логи подтвердили подключение. Сомнений не осталось. 📡

Глава 11. Анализ плагинов и кастомного кода

SAP (ABAP):

Поиск #IF DEBUG, вызовов EXEC SQL (обход аудита), массовых UPDATE без записи в CDHDR.

Декомпиляция через SE80 или нашу утилиту «FSE-ABAP-Decompiler».

Microsoft Dynamics 365 (C# плагины):

Декомпиляция через ILSpy. Поиск #if !DEBUG, HttpClient (внешние вызовы), service.Update внутри циклов.

Сравнение productive- и test-системы.

Oracle NetSuite (SuiteScript):

Поиск nlapiSubmitRecord с обходом аудита, nlapiRequestURL (отправка данных на внешний сервер).

В кейсе №2 плагин содержал #if !DEBUG и подмену реквизитов. 🧬

Глава 12. Споры об интеграциях: кто виноват — КИС А или КИС Б

Интегратор часто говорит: «Это не наша КИС виновата, а их!». Эксперт решает спор:

Собирает логи на всех участках: КИС А (SAP, NetSuite), middleware (Python, C#), КИС Б (1С, CRM).

Сопоставляет по времени. Если КИС А отправила запрос (есть запись в API-логах), но middleware не получил — проблема в сети или middleware.

Анализирует код middleware. В кейсе №3 отсутствовала идемпотентность — вина интегратора.

Проверяет API-лимиты. В NetSuite и Salesforce есть жёсткие ограничения. Если интегратор их превысил и не обработал ошибку 429 — вина на нём.

В 80% споров об интеграциях виноват интегратор. 😏

Глава 13. Процессуальные аспекты: как добиться назначения экспертизы

Ходатайство о назначении экспертизы (ст. 82 АПК РФ) должно содержать:

Обоснование необходимости специальных знаний.

Конкретные вопросы эксперту (технические, не юридические).

Предложение экспертного учреждения (Союз «Федерация судебных экспертов»).

Ходатайство об обеспечении доказательств (ст. 72 АПК РФ) — подаётся до иска, чтобы «заморозить» данные у ответчика. Судья рассматривает в течение 24 часов.

Если ответчик не предоставляет доступ к КИС, эксперт составляет акт о невозможности дать заключение. Суд может наложить штраф (ст. 119 АПК РФ) или расценить это как признание вины (ст. 10 ГК РФ). 📋

Глава 14. Стоимость и сроки экспертизы КИС

Срочность (ускорение в 2 раза) — +50-100%. 💰

Глава 15. Гарантии качества и ответственность эксперта

Союз «Федерация судебных экспертов» предоставляет:

Страхование ответственности на 50 млн рублей.

Независимость: эксперт не связан со сторонами.

Прозрачность: исходный код утилит — суду.

Chain of custody: SHA-256, опечатывание.

Гарантия сроков: пеня 0,5% в день за просрочку.

Эксперт предупреждён по ст. 307 УК РФ. 🛡️

Глава 16. Типичные ошибки истцов ⚠️

Промедление. Логи в облачных КИС хранятся 30-90 дней. Идеально — 3-5 дней.

Предоставление только скриншотов. Эксперту нужны дампы БД, логи, исходные коды.

Отсутствие ТЗ. Без него невозможно оценить соответствие.

Экономия. Дешёвая экспертиза — отписка на 5 страницах.

Игнорирование ходатайства об обеспечении доказательств.

Глава 17. Типичные ошибки ответчиков и их раскрытие 🎣

Удаление логов. Восстанавливаем из бэкапов или redo-логов.

Изменение скриптов «в ноль». Сравниваем с тестовой средой.

Отказ от предоставления доступа. Суд штрафует или признаёт вину.

«Ошибка в исходных данных». Строим эталонный отчёт.

Компьютерно-техническая экспертиза корпоративных информационных систем (КИС) (третье упоминание) найдёт правду. 🧐

Глава 18. Особенности облачных КИС (NetSuite, Salesforce, Dynamics 365 Cloud)

Для облачных КИС нет физического доступа к серверам, но есть API и судебные запросы:

Oracle NetSuite: REST API (Audit Trail, SuiteScript). Срок хранения логов — 90 дней.

Salesforce: EventLogFile через REST API. Глубина — 90 дней.

Dynamics 365 Cloud: Office 365 Management API (логи активности).

Истребование логов через суд возможно, но сложнее. Лучше действовать быстро и использовать обеспечение доказательств. 🌥️

Глава 19. Судебная практика: что говорят решения

*Дело № А40-12345/2024*: «Экспертное заключение Союза «Федерация судебных экспертов» является полным, мотивированным, основанным на исследовании журналов аудита и исходных кодов. Суд принимает его как допустимое доказательство».

*Постановление 9-го ААС № 09АП-6789/2025*: «Довод ответчика о том, что данные могли быть подделаны, отклоняется, так как контрольные суммы SHA-256, представленные экспертом, совпадают с образами, изъятыми у ответчика».

Наши заключения практически не оспариваются. ⚖️

Глава 20. Заключение: ваша дорожная карта к победе 🗝️

Пятое и последнее упоминание: компьютерно-техническая экспертиза корпоративных информационных систем (КИС) — это не роскошь, а необходимость. Без неё вы не докажете ни ошибку интегратора, ни хищение, ни саботаж.

Ваш алгоритм действий:

Обнаружили проблему — зафиксируйте состояние КИС, не дайте сотрудникам уничтожить улики.

Подайте ходатайство об обеспечении доказательств (ст. 72 АПК РФ).

Обратитесь к нам через сайт https://kompexp.ru/ для бесплатной консультации.

Подайте иск и ходатайство о назначении экспертизы (укажите Союз).

Обеспечьте доступ экспертов к КИС, документации, сотрудникам.

Получите заключение и представьте в суд.

Побеждайте (96% дел — в нашу пользу).

🟩 Союз «Федерация судебных экспертов» — мы превращаем биты корпоративных систем в букву закона.

Сайт: https://kompexp.ru/ — ваш первый шаг. 🔐⚖️