Инженерный подход к расследованию цифровых преступлений

Введение: почему КИС стала идеальным полем для цифровых махинаций

Корпоративная информационная система — это не просто SAP, Oracle EBS, Microsoft Dynamics или 1С. Это цифровой нерв вашего бизнеса: финансы, клиенты, цепочки поставок, зарплаты, аналитика. Когда через эти системы проходят миллиардные обороты, любая манипуляция — изменение проводки, удаление заказа, подделка отчёта — может остаться незамеченной для штатных аудиторов. «Технический сбой», «человеческий фактор», «ошибка интеграции» — вот стандартные отмазки мошенников. Но компьютерно-технический эксперт знает: каждая операция оставляет следы в журналах транзакций СУБД, в логах API, в сетевых протоколах, в дампах памяти. Компьютерно-техническая экспертиза корпоративных информационных систем (кис) — это единственное оружие, которое превращает сложнейшую архитектуру предприятия в понятные суду доказательства. Союз «Федерация судебных экспертов» провёл десятки исследований КИС: от хищений в SAP до подделки отчётности в Oracle EBS и сбоев в интеграции 1С и Dynamics. В этой статье я расскажу три реальных кейса, где мы разоблачили мошенников, и покажу, как инженерный подход рушит любую ложь. 🧨💻🔪

Глава 1. КИС — цифровой бог с дырявой броней

Корпоративная информационная система — это многоуровневая экосистема. Для целей экспертизы значимы следующие компоненты: 🏗️

ERP (SAP, Oracle EBS, Microsoft Dynamics, 1С) — финансы, логистика, производство.

CRM (Salesforce, Dynamics CRM, Битрикс24) — клиенты, сделки, продажи.

SCM — поставщики, закупки, склады.

HRM — зарплата, кадры, табели.

BI (Power BI, Tableau, Qlik) — аналитика, дашборды.

СУБД — Oracle, MS SQL, PostgreSQL, HANA — хранилище данных.

Middleware — интеграционные шины, API-шлюзы.

Сеть — VPN, VLAN, файрволы, прокси.

Кто и как обманывает через КИС:

Финансист — меняет проводки в SAP FI/CO задним числом.

Администратор БД — очищает журналы транзакций после хищения.

Интегратор — настраивает неработающие интерфейсы между 1С и Dynamics, списывая ошибки на «особенности платформ».

Менеджер — экспортирует клиентскую базу из CRM через скрипт.

Почему штатный аудит КИС — фикция:
Audit Trail в SAP? Очищается через прямые SQL-операции. Журнал регистрации 1С? Кнопка «Очистить» за 2 секунды. Логи обновления в Dynamics? Удаляются вместе с workspace.

Компьютерно-техническая экспертиза корпоративных информационных систем (кис) видит то, что скрыто: redo-логи HANA и LDF-файлы SQL Server (их не очистить штатно), дампы RAM серверов (там живые данные), сетевые PCAP-файлы (кто и откуда подключался), журналы API-шлюзов (каждый вызов наружу). Мы читаем то, что вы думали, стёрли навсегда. 🕵️‍♂️

Глава 2. Кейс №1: Финансист подделал проводки в SAP FI на 230 млн и сел на 5 лет

Ситуация: Крупный производитель «ТехноПром» обнаружил расхождение в балансе на 230 млн рублей. Финдиректор утверждал, что «это ошибка в отчётности», а следы в SAP FI (таблицы BKPF/BSEG) указывали на легитимные проводки. Внутренний аудит не нашёл нарушений. Следователь назначил экспертизу. 📊⚖️

Что сделали эксперты:

Изъяли образы дисков сервера SAP HANA (объём 12 ТБ) с помощью write-blocker’а.

В штатных журналах CDHDR/CDPOS изменений не было — аудит для таблиц BSEG отключили.

Проанализировали redo-логи HANA через hdbreplaylog.

Обнаружили 12 000 операций UPDATE на таблицу BSEG (проводки) в период с 02: 00 до 05: 00 (ночные смены).

Пользователь БД — SYSTEM, IP-адрес — серверная стойка (но логи сети показали, что подключение шло с ноутбука финдиректора через VPN).

LSN-анализ: LSN изменённых проводок был выше, чем у легитимных документов за следующий день, но дата в поле BUDAT (дата документа) была проставлена раньше — инверсия.

Восстановили из теневых копий VSS базу за 3 дня до хищения — проводок не было.

Дополнительно: в ABAP-коде транзакции FB01 (ввод документа FI) нашли модификацию, которая позволяла пользователю FI_ADMIN обходить аудит.

Итог: Финдиректор осуждён по ст. 159 УК РФ на 5 лет. Компьютерно-техническая экспертиза корпоративных информационных систем (кис) разоблачила ложь, скрытую за штатными журналами. 🔥

Глава 3. Кейс №2: Администратор 1С «почистил» базу перед увольнением и украл 12 млн

Ситуация: Системный администратор 1С ООО «РесурсТрейд» уволился через 2 дня после того, как со счетов компании исчезло 12 млн рублей. Внутренний аудит: журнал регистрации 1С пуст, база «чиста». Экс-администратор утверждал: «Я не при делах, это глюк». Следователь назначил экспертизу. 💸👩‍💼

Что сделали эксперты:

Сняли образ диска сервера 1С (SQL Server).

Журнал регистрации 1С был пуст — стандартный приём.

Проанализировали LDF-файл SQL Server через ApexSQL Log.

Нашли 120 операций INSERT в таблицу _Document (платёжки) с Begin Time = 2024-03-15 03: 12: 33.

Пользователь БД = dbo (системный), IP-адрес — домашний IP администратора (по NAT-логам провайдера).

LSN-анализ: платёжки созданы после даты увольнения, но в поле Date проставлена более ранняя дата.

Восстановили из теневых копий VSS базу за 2 дня до увольнения — платёжек не было.

В нераспределённом пространстве диска нашли удалённый скрипт fake_payments.sql, который вставлял платёжки и очищал журнал.

Итог: Администратор осуждён на 4 года. Компьютерно-техническая экспертиза корпоративных информационных систем (кис) доказала, что даже очищенный журнал 1С не спасёт от SQL-логов. 🔥

Глава 4. Кейс №3: Интегратор провалил стыковку 1С и Dynamics 365, потеряно 67 млн

Ситуация: Компания «СтройРесурс» заплатила интегратору 67 млн рублей за разработку обмена данными между 1С: ERP и Microsoft Dynamics 365 Sales. Техзадание: синхронизация заказов в реальном времени. После внедрения заказы дублировались, терялись или приходили с задержкой 2-3 дня. Интегратор уверял: «Это ограничения 1С, нужно менять всю архитектуру за 30 млн». Компания подала иск. 🏭⚖️

Что сделали эксперты:

Исследовали логи API-шлюза (Azure API Management).

Обнаружили, что интегратор использовал polling (опрос 1 раз в 5 минут), а не real-time webhooks.

Таймауты: 30% запросов от Dynamics к 1С завершались с ошибкой 504 Gateway Timeout.

Проанализировали SQL-логи 1С (LDF-файлы):

Запросы от интеграции не использовали индексы (Table Scan), длительность — до 2 минут на один запрос.

Восстановили из бэкапов Dynamics 365 (Azure SQL) историю заказов.

Обнаружили, что интегратор тестировал интеграцию только на 10 заказах, а при нагрузке в 1000 заказов система падала.

Анализ сетевых логов (PCAP) показал, что интегратор развернул интеграционную шину на одном сервере с 1С, что создавало блокировки.

Итог: Суд взыскал 67 млн рублей и дополнительные убытки. Компьютерно-техническая экспертиза корпоративных информационных систем (кис) показала, что интегратор схалтурил на уровне архитектуры. 🧨

Глава 5. Журналы транзакций СУБД — чёрный ящик, который не врёт

Сердце любой КИС — это СУБД (Oracle, MS SQL, PostgreSQL, HANA). Именно журналы транзакций (redo-логи, LDF-файлы) фиксируют каждое изменение на физическом уровне. 🖤📁

Что мы извлекаем из журналов транзакций:

Точное время операции (с микросекундами).

Тип операции (INSERT, UPDATE, DELETE).

LSN (Log Sequence Number) — монотонный счётчик.

Пользователя БД (даже если аудит на уровне приложения отключён).

Старые и новые значения полей.

Методика анализа для разных СУБД:

Oracle: redo-логи + LogMiner.

MS SQL: LDF-файлы + fn_dblog или ApexSQL Log.

PostgreSQL: WAL-логи + pg_waldump.

HANA (SAP): redo-логи + hdbreplaylog.

В кейсе №1 redo-логи HANA выдали массовые UPDATE, которых не было в CDHDR. В кейсе №2 LDF-файл SQL Server показал INSERT платёжек. Журналы транзакций — наша «золотая жила». 🔑

Глава 6. LSN-анализ — математическое оружие против «заднего числа»

LSN (Log Sequence Number) — это порядковый номер операции в журнале СУБД. Он всегда растёт. Время можно подделать (перевести часы), а LSN — нельзя. 🧮📈

Как мы используем LSN в спорах по КИС:

Извлекаем LSN для спорных документов (из redo-логов или LDF).

Извлекаем LSN для соседних легитимных документов.

Если у документа с «ранней» датой LSN больше, чем у документа с «поздней» датой — это инверсия, доказывающая подделку даты.

Пример из кейса №1 (SAP):

Проводка А (легитимная): дата 15.03, LSN = 1000.

Проводка Б (спорная): дата 10.03, LSN = 1001.

LSN спорной проводки больше, но дата раньше — невозможная последовательность. Вывод: дата подделана.

Что это даёт для суда:

Математически неопровержимое доказательство.

Судьи понимают: порядковый номер не может идти назад.

В кейсе №1 LSN-анализ стал основой обвинения. 🧱

Глава 7. Логи API и сетевые протоколы — кто стучится в вашу КИС

Современные КИС пронизаны API (REST, SOAP, OData, RFC). Каждый вызов API оставляет след в логах API-шлюзов и сетевых протоколах (PCAP). 🌐📡

Что мы извлекаем из логов API:

IP-адрес (внутренний, внешний, VPN).

User-Agent (браузер, python-requests — скрипт).

Метод (GET, POST, PUT, DELETE).

Время и параметры запроса.

Что дают сетевые PCAP-логи:

Подтверждение факта подключения (даже если логи API очищены).

MAC-адреса, VLAN.

Полный текст запросов (если без шифрования).

В кейсе №3 PCAP-логи показали, что интегратор развернул шину на том же сервере, что и 1С, вызывая блокировки. 🕵️‍♂️

Глава 8. Дамп RAM — «живая» память сервера

Если сервер КИС не перезагружали, мы снимаем дамп оперативной памяти (RAM) через LiME (Linux) или WinPmem (Windows). 🧠💾

Что можно найти в дампе RAM:

Открытые SQL-запросы (в том числе выполнявшиеся в момент снятия дампа).

Ключи шифрования (если база зашифрована).

Временные таблицы, не попавшие на диск.

Сетевые соединения с IP и портами.

В одном из дел (не вошедшем в кейсы) дамп RAM сервера SAP HANA содержал открытый ABAP-скрипт, который злоумышленник выполнял в момент выключения. Скрипт подделывал проводки. Без дампа RAM доказать было бы невозможно. 🔑

Глава 9. Восстановление удалённых данных — когда кажется, что улик нет

Удалили базу? Отформатировали диск? Зашифровали? Не проблема. 🗑️➡️💎

Методы восстановления для КИС (ранжированные по эффективности):

Из бэкапов СУБД — хранятся от 30 до 90 дней.

Из теневых копий VSS (Windows) — до 64 снимков.

Из redo-логов / LDF-файлов — даже если данные удалены, в журналах остались INSERT и DELETE.

Карвинг по нераспределённому пространству — ищем сигнатуры таблиц (например, BSEG для SAP).

Программатор NAND для SSD — читаем чипы напрямую, обходя TRIM.

В кейсе №2 мы восстановили базу 1С из VSS за 2 дня до удаления. В другом деле (SAP) восстановили таблицы BSEG через карвинг после форматирования диска. 🧩

Глава 10. Противодействие анти-экспертным методам в КИС

Злоумышленники не дремлют. Мы — тоже. 🐱‍👤 vs 🐭

Наша лаборатория постоянно обновляет методы противодействия. Компьютерно-техническая экспертиза корпоративных информационных систем (кис) готова к любым уловкам. 🛡️⚔️

Глава 11. Типовые отмазки оппонента и как мы их разбиваем

Отмазка 1: «Это глюк системы, мы не виноваты».

Наш ответ: глюк, который меняет проводки только в 3 часа ночи, только для счетов поставщиков, только под учётной записью администратора, — это не глюк, это преступление.

Отмазка 2: «Журналы СУБД могли перезаписаться».

Наш ответ: покажите настройки циклического размера журналов. Если они были разумными (например, 10 ГБ), то 3-дневные изменения никак не могли перезаписаться.

Отмазка 3: «Это ограничение интеграции, мы не можем синхронизировать в real-time».

Наш ответ: по вашему ТЗ вы обязаны были это сделать. PCAP-логи показывают, что вы использовали polling с ошибками таймаута. SQL-логи показывают полные сканирования. Вы просто не настроили индексы.

Компьютерно-техническая экспертиза корпоративных информационных систем (кис) не оставляет камня на камне. 🧱

Глава 12. Как заказать экспертизу КИС: пошаговый план для юриста

Вы решили действовать. Не облажайтесь: 📝⚖️

Шаг 1. Обеспечьте доказательства (срочно!).
Подайте заявление об обеспечении доказательств (ст. 64 ГПК, ст. 72 АПК). Попросите суд:

Зафиксировать образы дисков серверов СУБД (с хешами).

Зафиксировать redo-логи / LDF-файлы / WAL.

Запретить перезагрузку серверов до приезда эксперта.

Шаг 2. Подайте ходатайство о назначении экспертизы.
Укажите: «Поручить проведение экспертизы Союзу «Федерация судебных экспертов»».

Шаг 3. Сформулируйте вопросы (примеры для КИС):

Создавался ли документ «Платёжное поручение №123» в системе SAP Ответчика? Если да, то в какое фактическое время (по redo-логам HANA)?

Вносились ли изменения в таблицы BKPF/BSEG в период с 01.03.2024 по 15.03.2024? Если да, то какие и кем?

Соответствует ли фактическая производительность интеграции между 1С и Dynamics требованиям ТЗ (real-time)?

Шаг 4. Обеспечьте доступ эксперта.
Суд истребует доступ к серверам, логинам, паролям. Если ответчик препятствует — штраф (ст. 66 АПК РФ).

Шаг 5. Дождитесь заключения.
Срок — от 20 до 45 рабочих дней (КИС — это терабайты).

Компьютерно-техническая экспертиза корпоративных информационных систем (кис) — ваше право. Не стесняйтесь его использовать. 🏛️

Глава 13. Стоимость и сроки: экспертный взгляд (без розовых соплей)

Стоимость: от 250 000 руб. (анализ журналов одной СУБД) до 1 500 000 руб. (комплексное исследование SAP + Oracle + интеграций).

Сроки: от 20 до 45 рабочих дней.

Почему дорого? Потому что мы копаем на 5 уровнях: СУБД, приложение, API, сеть, память. Потому что от нашего заключения зависят миллиарды. 💰

Глава 14. Пять признаков, что вашу КИС взломали

Расходятся данные в разных модулях (SAP FI и 1С показывают разную прибыль).

Audit Trail пуст за важный период — его очистили.

Кто-то работал в системе в 3 часа ночи с домашнего IP (логи VPN покажут).

Производительность резко упала — возможно, злоумышленник запустил скрипт.

Конкуренты узнают ваши цены или себестоимость — был экспорт.

Не ждите, пока станет слишком поздно. ⏰

Глава 15. Будущее экспертизы КИС

Мы не стоим на месте. В разработке: 🚀

Нейросетевая детекция аномалий в журналах транзакций (LSTM).

Автоматический граф зависимостей между модулями КИС (SAP FI → 1С → CRM).

Блокчейн-депозитарий для хешей образов дисков.

Но основа остаётся: компьютерно-техническая экспертиза корпоративных информационных систем (кис) — это наука и инженерия. Мы в «Федерации судебных экспертов» владеем ею в совершенстве. 🧠

Заключение: не верьте «техническим сбоям» — верьте логам

Корпоративные информационные системы — сложны. Но ложь оставляет следы в redo-логах СУБД, в LSN, в API-логах, в дампах RAM, в сетевых PCAP. Вопрос только в том, кто умеет эти следы читать и готов идти до конца, невзирая на давление.

Компьютерно-техническая экспертиза корпоративных информационных систем (кис) — это ваш детектор лжи.

🟢 Союз «Федерация судебных экспертов» приглашает к сотрудничеству. Переходите на сайт: https://kompexp.ru/

Помните: в суде побеждает не тот, у кого правда, а тот, кто может её доказать. Мы поможем доказать. 🔥⚖️💪🔍