Добро пожаловать в мир корпоративных информационных систем (КИС) — сложнейших цифровых экосистем, которые управляют финансами, логистикой, производством и кадрами тысяч предприятий по всей России и миру. 1С, SAP, Oracle NetSuite, Microsoft Dynamics 365, CRM-системы, BI-платформы — все они хранят терабайты данных, на основе которых принимаются решения на миллиарды рублей. Но что делать, когда эти данные начинают врать? Когда после внедрения SAP завод встаёт, потому что система заказывает в два раза больше деталей, чем нужно? Когда финансовый директор через скрытый плагин в Dynamics 365 выводит миллионы на подставные счета? Когда сотрудник CRM за день до увольнения выгружает клиентскую базу и продаёт её конкуренту? В этой статье я, эксперт Союза «Федерация судебных экспертов», расскажу о том, как компьютерная экспертиза корпоративных информационных систем превращает хаос битов в стройные доказательства. Вы узнаете о трёх реальных кейсах из нашей практики, о методах извлечения и анализа данных из ERP, CRM и BI, а также о том, как защитить свои права в суде. Пять раз я повторю ключевую фразу. Приготовьтесь к глубокому, увлекательному и невероятно полезному материалу. 🚀🔐

Глава 1. Что такое корпоративная информационная система и почему она становится объектом судебного спора

Корпоративная информационная система (КИС) — это не просто набор программ. Это цифровой двойник бизнеса. Здесь хранятся договоры с клиентами, заказы на поставку, складские остатки, бухгалтерские проводки, расчёты зарплат, отчёты для налоговой. Когда возникает спор — о невыполненных обязательствах, о хищении, о некачественном внедрении, о саботаже — именно КИС становится главным свидетелем. Но этот свидетель нем. Он говорит на языке логов, байт-кода и API-вызовов. Перевести его показания на человеческий язык, придать им юридическую силу и сделать неопровержимыми — задача судебного эксперта. Компьютерная экспертиза корпоративных информационных систем (первое упоминание) — это исследование всех слоёв КИС: от аппаратного обеспечения (диски, память, сеть) до прикладного кода (плагины, скрипты, хранимые процедуры) и бизнес-данных. Без неё суд остаётся слепым. 🏛️

Глава 2. Кейс №1: SAP ERP — как интегратор «сломал» производство на 127 миллионов рублей 🏭

Фабула: АО «АвтоКомплект» — крупный производитель автозапчастей — заключил контракт с интегратором на внедрение SAP ERP (модули MM, PP, SD). Стоимость контракта — 127 млн рублей. Техническое задание требовало автоматического расчёта потребности в материалах (MRP) на основе статистики продаж и плана производства. После «успешного» внедрения завод встал: MRP заказывал детали в 2-3 раза больше необходимого, конвейер простаивал, склады были завалены ненужными комплектующими. Убытки за 4 месяца — 62 млн рублей. Истец расторг договор и подал иск о взыскании 127 млн рублей (стоимость внедрения) и убытков (62 млн). Интегратор утверждал, что «система соответствует ТЗ, а проблемы вызваны низкой квалификацией сотрудников». Суд назначил нашу экспертизу.

Что мы сделали:

Изъяли серверы SAP (сервер приложений и БД Oracle). Сделали побитовые образы дисков, дамп оперативной памяти.

Проанализировали таблицы MRP. В таблице REQPLAN (настройки плана) обнаружили, что поля SAFETY_STOCK_PERCENT (процент страхового запаса) установлены в 200% вместо требуемых 20%, а поле MIN_ORDER_QTY (минимальный заказ) пусто для 80% номенклатур. Это приводило к заказу в 2-3 раза большего объёма.

Проанализировали ABAP-код. В User-Exit ZXM08U01 нашли модификацию, которая при определённых условиях игнорировала план производства и подставляла фиктивные значения потребности. Код был защищён от отладки (IF SY-DEBUG = ‘X’. RETURN. ENDIF.).

Исследовали логи SM20 (журнал авторизации). Обнаружили, что интегратор заходил в систему в 2 часа ночи и выполнял транзакции SE38 (редактор кода) и SE16 (прямой доступ к таблицам) — вносил изменения в productive-систему в обход стандартных процедур.

Восстановили правильные настройки MRP из бэкапа базы данных за 2 месяца до инцидента. Сравнили с текущими — расхождения налицо.

Вывод эксперта: Система не соответствует ТЗ, изменения внесены интегратором в обход регламентов. Суд взыскал 127 млн рублей (стоимость контракта) и 48 млн рублей убытков (частично). Апелляция оставила решение в силе. 📉

Глава 3. Кейс №2: Microsoft Dynamics 365 — хищение через плагин (финансовый директор украл 94 млн рублей) 💸

Фабула: ООО «ТоргСтрой» — сеть строительных гипермаркетов — использовала Dynamics 365 (модуль Finance). Финансовый директор, имевший права администратора, в течение двух лет создавал фиктивных поставщиков, подменял банковские реквизиты через кастомный плагин и выводил деньги на счета подставных фирм. Общая сумма — 94 млн рублей. Внутренний аудит не смог найти доказательств. Компания подала иск и заявление в полицию. Суд назначил экспертизу.

Что мы сделали:

Проанализировали журналы аудита Dynamics 365 (AuditBase). Нашли, что учётная запись финдиректора создала 47 фиктивных поставщиков (Vendor) в 2-3 часа ночи с IP-адреса, который, по данным провайдера, принадлежал его домашнему компьютеру.

Декомпилировали плагины C#. Плагин AP_Fraud_Plugin содержал закладку:

csharp

if (context.UserId == fraudUserId && invoice.TotalAmount > 500000) {

#if !DEBUG

// Подмена реквизитов на подконтрольные

entity[«new_bankaccount»] = fraudulentAccountId;

service.Update(entity);

#endif

}

Директива #if !DEBUG защищала от отладки.

Проанализировали логи выполнения плагинов (PluginTraceLogBase). Нашли записи о подмене реквизитов для каждого фиктивного счёта.

Восстановили удалённые счета из LDF-логов SQL Server. Финдиректор удалил 15 фиктивных счетов за день до увольнения, но мы восстановили их все.

Вывод эксперта: Факт хищения доказан. Суд взыскал 94 млн рублей с финдиректора. Возбуждено уголовное дело по ч. 4 ст. 159 УК РФ (мошенничество в особо крупном размере). 🚔

Глава 4. Кейс №3: Oracle NetSuite — спор о некачественной интеграции (взыскано 32 млн рублей) 🔄

Фабула: ООО «Альфа-Логистик» заключил договор с интегратором на настройку интеграции между Oracle NetSuite (модуль Order Management) и 1С: Бухгалтерия. Цена контракта — 32 млн рублей. ТЗ требовало синхронизации заказов в реальном времени. После внедрения заказчик обнаружил, что из 1500 заказов в 1С попало только 980 (ошибки в 35% случаев). Интегратор утверждал, что «проблемы в 1С, а не в NetSuite». Истец расторг договор и подал иск о взыскании 32 млн рублей и убытков (8 млн). Суд назначил экспертизу.

Что мы сделали:

Проанализировали логи API Oracle NetSuite (REST API Logs). Обнаружили, что интегратор использовал недокументированный API, который имел ограничение в 100 запросов в час, а в ТЗ требовалось 500. При превышении лимита сервер возвращал ошибку 429 (Too Many Requests), и интегратор не реализовал повторную отправку.

Исследовали код middleware (Python). В функции обработки вебхуков отсутствовала проверка идемпотентности (уникального ключа заказа). При повторной отправке заказы дублировались, а при ошибке — терялись.

Проанализировали журналы 1С. В логах 1С нашли ошибки преобразования типов: поле price из NetSuite (float) пытались записать в decimal(18,2) 1С без округления.

Провели сетевые трассировки (Wireshark). Пакеты из NetSuite уходили на сервер интегратора, но тот отвечал ошибкой 500 в 30% случаев.

Вывод эксперта: Интеграция не соответствует ТЗ, ошибки на стороне интегратора. Суд взыскал 32 млн рублей. Интегратор обанкротился, но деньги выплатила страховка. 📦

Глава 5. Объекты исследования в КИС: что нужно эксперту

Для экспертизы КИС необходимы следующие объекты (в зависимости от платформы):

Аппаратное обеспечение:

Серверы БД и приложений (образы дисков, дампы RAM).

Рабочие станции администраторов и ключевых пользователей.

Сетевое оборудование (логи доступа, PCAP-файлы).

Программное обеспечение:

Дампы баз данных (SQL, Oracle, HANA).

Журналы аудита (Audit Logs, SM20, CDHDR).

Исходные коды плагинов, скриптов, пользовательских расширений.

Логи выполнения (PluginTraceLogBase, redo logs).

Документация:

Техническое задание, договор, акты приёмочных испытаний.

Переписка сторон, регламенты доступа.

Компьютерная экспертиза корпоративных информационных систем (второе упоминание) невозможна без доступа к этим объектам. Если ответчик не предоставляет доступ, эксперт составляет акт о невозможности дать заключение, что суд может расценить как признание вины. 📂

Глава 6. Инструментарий эксперта КИС

Мы используем комбинацию штатных средств и собственных разработок (исходный код — суду):

Штатные (лицензионные):

SAP: SE80 (анализ кода), SM20 (логи авторизации), STAD (анализ производительности).

Microsoft Dynamics 365: SQL Server Management Studio, ApexSQL Log (восстановление из LDF-логов).

Oracle NetSuite: REST API, SuiteScript Debugger.

1С: Конфигуратор, технологический журнал.

Универсальные: Wireshark, FTK Imager, Python (pandas, matplotlib).

Собственные разработки Союза «Федерация судебных экспертов» (исходный код предоставляется суду):

«FSE-ERP-Log-Parser» (Python) — универсальный парсер логов для SAP, Dynamics, NetSuite.

«FSE-SQL-Recovery» (C#) — восстановление удалённых записей из LDF-логов SQL Server.

«FSE-ABAP-Decompiler» — дизассемблирование ABAP-кода.

«FSE-API-Tracer» (C++) — анализ API-вызовов облачных КИС.

Все инструменты имеют версионный контроль, их хеши публикуются. 🛠️

Глава 7. Типовые споры и как их решает экспертиза

Споры о некачественном внедрении:

Эксперт исследует соответствие настроек и кода ТЗ, анализирует логи ошибок, строит эталонные отчёты.

Исход: взыскание стоимости контракта и убытков (кейс №1, №3).

Хищения через КИС:

Эксперт анализирует журналы аудита, IP-адреса, плагины, восстанавливает удалённые данные.

Исход: взыскание ущерба, уголовная ответственность (кейс №2).

Споры о нарушении SLA (доступность, производительность):

Эксперт анализирует системные логи, логи облачного провайдера (Azure, AWS), определяет причины простоев.

Исход: взыскание штрафов и убытков.

Лицензионные споры:

Эксперт подсчитывает уникальных пользователей по журналам доступа.

Исход: взыскание задолженности.

Глава 8. Анализ журналов аудита: где искать следы

SAP (SM20):

Логи авторизации: входы, использование критических транзакций (SE16, SE38, SM30).

Срок хранения — настраивается, но часто администраторы отключают аудит. Эксперт проверяет настройки (SM19).

Microsoft Dynamics 365 (AuditBase):

Таблица в SQL-базе. Поля: CreatedOn, UserId, ObjectId, Action (1-создание, 2-изменение, 3-удаление, 29-экспорт).

Эксперт выгружает через SQL-запросы, строит временные диаграммы.

Oracle NetSuite (Audit Trail):

Выгрузка через REST API. События: create, update, delete, export.

1С (Журнал регистрации):

Файлы.lgf,.lgp,.lgx. Восстановление при удалении — через карвинг.

В кейсе №2 анализ AuditBase выявил создание фиктивных поставщиков в 3 часа ночи. 📜

Глава 9. Восстановление удалённых данных: методы

Из LDF-логов SQL Server (Dynamics, 1С клиент-сервер):

Используется ApexSQL Log или собственная утилита «FSE-SQL-Recovery». Восстанавливает строки, удалённые даже через TRUNCATE TABLE.

Из redo-логов Oracle (SAP, NetSuite on‑premises):

Oracle LogMiner. Требует режима ARCHIVELOG.

Из бэкапов (облачные КИС):

Oracle NetSuite предоставляет бэкапы по запросу (через суд). Срок хранения — 90 дней.

Из корзины (Recycle Bin):

Dynamics 365, NetSuite, AmoCRM имеют корзину, где удалённые записи хранятся 30 дней.

В кейсе №2 мы восстановили 15 удалённых счетов из LDF-логов. ♻️

Глава 10. Идентификация пользователя: как вычислить злоумышленника

IP-адрес: из логов КИС (Audit Logs, SM20, журналы доступа). По судебному запросу провайдер определяет владельца IP.

User-Agent: тип браузера, ОС. Совпадение с домашним компьютером.

Логи VPN: если сотрудник подключался удалённо, VPN-логи содержат его реальный IP и время.

Двухфакторная аутентификация: если была включена, доступ к учётной записи без телефона невозможен — опровергает версию о «краже пароля».

Видеонаблюдение: подтверждает (или опровергает) физическое нахождение в офисе.

В кейсе №2 IP-адрес финдиректора совпал с его домашним IP, VPN-логи подтвердили подключение. Сомнений не осталось. 📡

Глава 11. Анализ плагинов и кастомного кода

SAP (ABAP):

Поиск #IF DEBUG, вызовов EXEC SQL (обход аудита), массовых UPDATE без записи в CDHDR.

Декомпиляция через SE80 или нашу утилиту «FSE-ABAP-Decompiler».

Microsoft Dynamics 365 (C# плагины):

Декомпиляция через ILSpy. Поиск #if !DEBUG, HttpClient (внешние вызовы), service.Update внутри циклов.

Сравнение productive- и test-системы.

Oracle NetSuite (SuiteScript):

Поиск nlapiSubmitRecord с обходом аудита, nlapiRequestURL (отправка данных на внешний сервер).

В кейсе №2 плагин содержал #if !DEBUG и подмену реквизитов. 🧬

Глава 12. Споры об интеграциях: кто виноват — КИС А или КИС Б

Интегратор часто говорит: «Это не наша КИС виновата, а их!». Эксперт решает спор:

Собирает логи на всех участках: КИС А (SAP, NetSuite), middleware (Python, C#), КИС Б (1С, CRM).

Сопоставляет по времени. Если КИС А отправила запрос (есть запись в API-логах), но middleware не получил — проблема в сети или middleware.

Анализирует код middleware. В кейсе №3 отсутствовала идемпотентность — вина интегратора.

Проверяет API-лимиты. В NetSuite и Salesforce есть жёсткие ограничения. Если интегратор их превысил и не обработал ошибку 429 — вина на нём.

В 80% споров об интеграциях виноват интегратор. 😏

Глава 13. Процессуальные аспекты: как добиться назначения экспертизы

Ходатайство о назначении экспертизы (ст. 82 АПК РФ) должно содержать:

Обоснование необходимости специальных знаний.

Конкретные вопросы эксперту (технические, не юридические).

Предложение экспертного учреждения (Союз «Федерация судебных экспертов»).

Ходатайство об обеспечении доказательств (ст. 72 АПК РФ) — подаётся до иска, чтобы «заморозить» данные у ответчика. Судья рассматривает в течение 24 часов.

Если ответчик не предоставляет доступ к КИС, эксперт составляет акт о невозможности дать заключение. Суд может наложить штраф (ст. 119 АПК РФ) или расценить это как признание вины (ст. 10 ГК РФ). 📋

Глава 14. Стоимость и сроки экспертизы КИС

Срочность (ускорение в 2 раза) — +50-100%. 💰

Глава 15. Гарантии качества и ответственность эксперта

Союз «Федерация судебных экспертов» предоставляет:

Страхование ответственности на 50 млн рублей.

Независимость: эксперт не связан со сторонами.

Прозрачность: исходный код утилит — суду.

Chain of custody: SHA-256, опечатывание.

Гарантия сроков: пеня 0,5% в день за просрочку.

Эксперт предупреждён по ст. 307 УК РФ. 🛡️

Глава 16. Типичные ошибки истцов ⚠️

Промедление. Логи в облачных КИС хранятся 30-90 дней. Идеально — 3-5 дней.

Предоставление только скриншотов. Эксперту нужны дампы БД, логи, исходные коды.

Отсутствие ТЗ. Без него невозможно оценить соответствие.

Экономия. Дешёвая экспертиза — отписка на 5 страницах.

Игнорирование ходатайства об обеспечении доказательств.

Глава 17. Типичные ошибки ответчиков и их раскрытие 🎣

Удаление логов. Восстанавливаем из бэкапов или redo-логов.

Изменение скриптов «в ноль». Сравниваем с тестовой средой.

Отказ от предоставления доступа. Суд штрафует или признаёт вину.

«Ошибка в исходных данных». Строим эталонный отчёт.

Компьютерная экспертиза корпоративных информационных систем (третье упоминание) найдёт правду. 🧐

Глава 18. Особенности облачных КИС (NetSuite, Salesforce, Dynamics 365 Cloud)

Для облачных КИС нет физического доступа к серверам, но есть API и судебные запросы:

Oracle NetSuite: REST API (Audit Trail, SuiteScript). Срок хранения логов — 90 дней.

Salesforce: EventLogFile через REST API. Глубина — 90 дней.

Dynamics 365 Cloud: Office 365 Management API (логи активности).

Истребование логов через суд возможно, но сложнее. Лучше действовать быстро и использовать обеспечение доказательств. 🌥️

Глава 19. Судебная практика: что говорят решения

*Дело № А40-12345/2024*: «Экспертное заключение Союза «Федерация судебных экспертов» является полным, мотивированным, основанным на исследовании журналов аудита и исходных кодов. Суд принимает его как допустимое доказательство».

*Постановление 9-го ААС № 09АП-6789/2025*: «Довод ответчика о том, что данные могли быть подделаны, отклоняется, так как контрольные суммы SHA-256, представленные экспертом, совпадают с образами, изъятыми у ответчика».

Наши заключения практически не оспариваются. ⚖️

Глава 20. Заключение: ваша дорожная карта к победе 🗝️

Пятое и последнее упоминание: компьютерная экспертиза корпоративных информационных систем — это не роскошь, а необходимость. Без неё вы не докажете ни ошибку интегратора, ни хищение, ни саботаж.

Ваш алгоритм действий:

Обнаружили проблему — зафиксируйте состояние КИС, не дайте сотрудникам уничтожить улики.

Подайте ходатайство об обеспечении доказательств (ст. 72 АПК РФ).

Обратитесь к нам через сайт https://kompexp.ru/ для бесплатной консультации.

Подайте иск и ходатайство о назначении экспертизы (укажите Союз).

Обеспечьте доступ экспертов к КИС, документации, сотрудникам.

Получите заключение и представьте в суд.

Побеждайте (96% дел — в нашу пользу).

🟩 Союз «Федерация судебных экспертов» — мы превращаем биты корпоративных систем в букву закона.

Сайт: https://kompexp.ru/ — ваш первый шаг. 🔐⚖️