Экспертное руководство по методам, кейсам и процессуальным аспектам
SAP — это не просто программное обеспечение, а цифровая нервная система крупного бизнеса. Здесь хранятся финансы, логистика, производство, кадры. Когда возникает судебный спор — о хищении, неисполнении контракта, некачественном внедрении, — данные SAP становятся главным свидетелем. Но этот свидетель говорит на сложном техническом языке, который суд без помощи эксперта не поймет. Более того, «свидетель» может быть запутан, подкуплен или частично «лишен памяти» (данные удалены, логи подчищены). Задача эксперта — провести профессиональный «допрос» SAP, извлечь правду и представить ее в понятной, научно обоснованной форме.
Компьютерная экспертиза SAP по заданию суда — это комплексное исследование, выполняемое независимым экспертом. Союз «Федерация судебных экспертов» (сайт: https://kompexp.ru/) обладает уникальными компетенциями в этой области. В данной статье, написанной в экспертном стиле, я — практикующий эксперт — расскажу о методологии, типовых задачах, сложных кейсах, процессуальных нюансах и о том, как отличить качественное заключение от дилетантского. Статья предназначена для судей, адвокатов и корпоративных юристов, сталкивающихся с SAP в судебных спорах.
Глава 1. Что такое компьютерная экспертиза SAP: взгляд эксперта
С точки зрения эксперта, компьютерная экспертиза SAP — это исследование информационной системы на базе SAP, проводимое с использованием научно обоснованных методов цифровой криминалистики, анализа баз данных, статического и динамического анализа кода, с целью установления фактических данных, имеющих значение для дела.
В отличие от аудита или внутреннего расследования, судебная экспертиза подчиняется процессуальным нормам: эксперт предупреждается об уголовной ответственности по ст. 307 УК РФ, стороны имеют право знакомиться с заключением, задавать вопросы, заявлять отвод. Эксперт не вправе давать правовую оценку («виновен», «хищение»), но может установить факты, из которых суд сделает правовые выводы. Компьютерная экспертиза SAP по заданию суда — это мост между технологией и правосудием.
Глава 2. Классификация экспертных задач по типам судебных споров
В зависимости от категории дела, задачи экспертизы различаются.
• Корпоративные споры (вывод активов, недостоверность отчетности): задачи — восстановить удаленные документы, выявить подозрительные проводки, идентифицировать пользователей, изменявших данные.
• Споры по договорам поставки (неотгрузка, фальсификация отгрузки): задачи — проверить backdating, сравнить логи с первичными документами, проанализировать цепочку изменений заказа.
• IT-споры (некачественное внедрение, нарушение SLA): задачи — сравнить конфигурацию с техническим заданием, проанализировать транспортные запросы, оценить корректность работы кастомного кода.
• Уголовные дела о хищениях: задачи — выявить модификации кода, восстановить скрытые транзакции, установить факт несанкционированного доступа.
Каждая категория требует специфической методики.
Глава 3. Источники доказательств в SAP: экспертный обзор
Опытный эксперт знает, где искать. Перечисляю основные источники в порядке убывания надежности:
• redo logs базы данных HANA — наивысшая надежность, содержат каждое изменение, последовательность LSN не подделывается.
• Журналы аудита SM19/SM20 — высокая надежность, если аудит включен и не очищен.
• Бизнес-журналы изменений CDHDR/CDPOS — высокая надежность, часто сохраняются, когда другие логи уже очищены.
• Система транспортов (TMS) — журнал изменений конфигурации и разработок.
• Журнал статистики STAD — данные о выполнении транзакций, времени, количестве записей.
• Системные журналы ОС — фиксация изменения времени, событий безопасности.
• Резервные копии — могут содержать данные, удаленные из продуктивной системы.
• Первичные документы и распечатки — наименьшая надежность, могут быть легко сфальсифицированы.
Эксперт всегда начинает с наиболее надежных источников.
Глава 4. Экспертная методология: от назначения до заключения
Процесс экспертизы включает несколько этапов, каждый из которых критичен для итогового качества.
• Этап 1: Анализ определения суда — понимание вопросов, сроков, предоставленных объектов.
• Этап 2: Запрос дополнительных материалов — если объектов недостаточно, эксперт заявляет ходатайство.
• Этап 3: Консервация объектов — изъятие, создание образов, вычисление хешей, chain of custody.
• Этап 4: Предварительный анализ — оценка целостности объектов, выявление явных аномалий.
• Этап 5: Детальное исследование — анализ журналов, кода, базы данных, восстановление удаленного.
• Этап 6: Синтез и формулирование выводов — интерпретация результатов, перекрестная верификация.
• Этап 7: Оформление заключения — структурированный документ с приложениями.
• Этап 8: Участие в судебных заседаниях — дача пояснений, ответы на вопросы.
Глава 5. Кейс № 1: Экспертиза по заданию арбитражного суда — восстановление 15 000 удаленных счетов-фактур
Техническая фабула: Арбитражный суд вынес определение о назначении компьютерной экспертизы SAP по делу о взыскании 2,1 млрд руб. Истец представил счета-фактуры из SAP SD, ответчик заявил об их фальсификации.
Эксперты Союза «Федерация судебных экспертов» выполнили:
• Доступ к серверу SAP HANA истца (по определению суда, с привлечением судебного пристава).
• Анализ redo logs HANA за период, включающий спорные даты.
• Обнаружены операции DELETE над таблицами VBRK/VBRP, выполненные через 3 дня после создания документов.
• Восстановлены «мертвые версии» удаленных записей — 15 234 счета-фактуры.
• Анализ LSN-последовательности: LSN удаленных документов был выше, чем LSN документов, созданных на 10 дней позже (доказательство backdating).
• Системный журнал Windows зафиксировал перевод времени на сервере за 1 час до операций DELETE.
• IP-адрес, с которого выполнялись DELETE, совпал с IP-адресом главного бухгалтера истца.
Суд отказал в иске. Заключение эксперта признано допустимым доказательством.
Глава 6. Статический анализ ABAP-кода: экспертные методы выявления «закладок»
Модификация ABAP-кода — распространенный способ хищений и сокрытия следов. Экспертные методы:
• Сравнение с SAP Standard — выявление всех изменений в системе. Инструменты: SE80, SE39, SE03.
• Анализ user-exit, BADI, enhancement spots — именно в этих точках расширения чаще всего внедряются недокументированные алгоритмы.
• Поиск «спящих» условий — IF SY-DATUM > ‘2025-01-01’ OR SY-UNAME = ‘CHIEF’.
• Анализ вызовов RFC/BAPI — на внешние системы, которые могут быть подконтрольны злоумышленникам.
• Проверка таблиц с жестко закодированными значениями (ИНН, счета, суммы).
• Анализ истории изменений через систему транспортов — кто, когда, с каким комментарием вносил изменения.
• Декомпиляция загруженных модулей (при отсутствии исходников).
Эксперт должен уметь читать ABAP-код как детективный роман.
Глава 7. Кейс № 2: Обнаружение «закладки» в модуле MM — спасение заказчика от хищения 460 млн рублей
Конфликтная ситуация: В производственном холдинге акционеры заподозрили генерального директора в выводе средств через завышение цен на сырье. Суд назначил экспертизу.
Эксперты провели статический анализ ABAP-кода. Обнаружено:
• В user-exit для транзакции ME21N (создание заказа на поставку) внедрен код, который при заказе у поставщиков из списка Z_HIDDEN_VENDORS увеличивал цену на 27% и создавал скрытую позицию заказа с типом Z_FRAUD.
• Таблица Z_HIDDEN_VENDORS содержала 8 ИНН, принадлежащих фирмам-однодневкам, контролируемым директором.
• Дополнительно в BADI для закрытия периода (CO) списывал разницу на счета этих фирм через BAPI_ACC_DOCUMENT_POST.
• Анализ транспортных запросов: изменения были внесены 2,5 года назад. Автор запроса — пользователь, IP-адрес которого совпадает с IP-адресом генерального директора.
• Восстановлены все заказы, затронутые модификацией, — 3 450 заказов. Сумма ущерба — 460 млн руб.
Суд взыскал ущерб с директора. Возбуждено уголовное дело.
Глава 8. Анализ системы транспортов (TMS): экспертный взгляд на историю изменений
TMS — это журнал регистрации всех легитимных изменений в SAP. Эксперт знает, что даже удаленные запросы оставляют следы. Методы:
• Анализ таблицы E070 (основная таблица запросов) через SE16. Поля: TRKORR (номер запроса), AS4USER (автор), AS4DATE (дата создания), TRSTATUS (статус: R — перенесен, D — удален).
• Анализ таблицы E071 (объекты в запросе) — что именно менялось.
• Поиск запросов, перенесенных в продуктивную систему в нерабочее время или с нестандартными комментариями.
• Сравнение временных меток объектов ABAP (из TADIR) с датами транспортных запросов. Если объект изменен, а соответствующего транспортного запроса нет — это нарушение (прямое изменение в PRD).
• Анализ системного журнала SM20 на предмет работы с транзакциями SE09, SE10 — управление транспортами.
• Восстановление удаленных запросов из резервных копий системы разработки.
TMS часто становится решающим доказательством в спорах о некачественном внедрении.
Глава 9. Кейс № 3: TMS-экспертиза в споре о невыполненных работах по внедрению SAP PS
Ситуация: Заказчик (нефтехимический холдинг) подал иск к интегратору о взыскании 620 млн руб. за невыполненные работы по внедрению модуля SAP PS (Project System). Суд назначил экспертизу.
Эксперты выполнили TMS-анализ:
• Выгрузили все транспортные запросы из системы заказчика за период внедрения (2 года).
• Сопоставили список объектов, перенесенных интегратором, с требованиями технического задания (112 требований).
• Результат: только 45 требований имеют соответствующие транспортные запросы. По 32 требованиям запросы были созданы, но не перенесены в продуктивную среду. По 35 требованиям запросов не было вообще.
• Интегратор утверждал, что «вносил изменения напрямую в PRD». Эксперты проверили временные метки объектов в PRD — они не соответствовали датам подписанных актов приемки.
• Более того, в системе разработки интегратора (доступ предоставлен по решению суда) эти объекты находились в статусе «незавершено» или отсутствовали.
Суд удовлетворил иск. TMS разрушил защиту интегратора.
Глава 10. Экспертный анализ временных меток и выявление backdating
Backdating (создание документов задним числом) — одна из самых частых манипуляций. Экспертные методы обнаружения:
• Сравнение даты документа с временем создания записи в таблицах (ERDAT, AEDAT).
• Анализ LSN-последовательности в redo logs — строго возрастающая последовательность не может быть подделана.
• Анализ системного журнала изменения времени (Event ID 1 в Windows).
• Анализ журнала STAD — время выполнения транзакции на сервере приложений.
• Анализ последовательности номеров документов — если номер документа больше, а дата меньше, это аномалия.
• Использование внешних источников времени: EDI-логи, почтовые логи, логи банк-клиента, логи Active Directory (время входа пользователя).
• Статистический анализ — вычисление вероятности случайного возникновения аномалии (обычно <0,0001).
Вывод о backdating делается категорически при подтверждении двумя и более независимыми методами.
Глава 11. Работа с облачными SAP: экспертные рекомендации
Облачные SAP (S/4HANA Cloud, SuccessFactors) — вызов для эксперта. Рекомендации:
• Добивайтесь определения суда об истребовании доказательств у провайдера (SAP SE или локального партнера).
• Используйте встроенный Audit Log — в S/4HANA Cloud он доступен через приложение «Audit Log Viewer», выгружается в CSV.
• Требуйте выгрузку дампа базы данных через стандартные средства (SAP Cloud Platform).
• При отказе провайдера — ходатайствуйте о наложении штрафа за неисполнение судебного акта (ст. 119 АПК РФ).
• Анализируйте клиентские кэши (SAP GUI cache, Fiori cache) — в них могут сохраняться данные, уже удаленные в облаке.
• В заключении делайте оговорку об отсутствии физического доступа к серверам, но указывайте, что исследование проведено на максимально полных данных, предоставленных стороной/провайдером.
Облако — не непреодолимое препятствие.
Глава 12. Противодействие экспертизе: типовые уловки и экспертные контрмеры
Недобросовестные стороны активно противодействуют. Типовые уловки и наши ответы:
• Очистка SM20. Контрмера: redo logs HANA и CDHDR/CDPOS.
• Удаление транспортных запросов. Контрмера: таблица E070 сохраняет следы, анализ теневых копий.
• Модификация кода ABAP с удалением истории. Контрмера: сравнение с SAP Standard, анализ временных меток файлов.
• Шифрование дисков (BitLocker) и отказ дать пароль. Контрмера: дамп оперативной памяти (содержит ключ), ходатайство о принудительном вскрытии.
• Физическое уничтожение серверов (пожар, залив). Контрмера: резервные копии (LTO-ленты, облачные), анализ систем, интегрированных с SAP (BW, CRM).
• Запуск скриптов, которые перезаписывают свободное пространство. Контрмера: анализ теневых копий VSS, которые могут сохраниться.
Эксперт должен быть всегда на шаг впереди.
Глава 13. Оценка достоверности экспертных выводов: количественные методы
Экспертное заключение должно быть научно обоснованным, а значит, содержать количественные оценки. Методология:
• Коэффициент восстановления данных — на тестовом наборе (база SAP с известным содержимым) эксперт удаляет документы, затем восстанавливает. Указывает процент успеха (например, «восстановлено 95% записей»).
• Вероятность ложного срабатывания — при анализе кода оценивается, сколько ложных срабатываний дает метод (например, 0,1%).
• Перекрестная верификация — факт считается доказанным, если подтвержден двумя независимыми источниками (например, SM20 + redo logs).
• Метрологическая неопределенность — для временных меток указывается погрешность (±1 мс), для сумм — точность до копейки.
• Статистическая значимость — при выявлении аномалий вычисляется p-значение. При p < 0,001 вывод категорический.
Судьи, обращайте внимание на наличие этих оценок в заключении.
Глава 14. Процессуальные аспекты: как эксперту работать с судом и сторонами
Эксперт — не робот, а участник процесса. Рекомендации:
• Не вступайте в частные переговоры со сторонами — все коммуникации через суд.
• Если сторона предоставляет дополнительные документы — принимайте их, но оценивайте относимость к делу.
• При необходимости — заявляйте ходатайства о предоставлении дополнительных материалов (логи контроллера, документация).
• На судебное заседание — приходите подготовленным: заключение под рукой, схемы, выдержки из логов.
• На вопросы отвечайте четко, не уходите в дебри. Если не знаете — скажите «не знаю» (это лучше, чем фантазировать).
• Помните об уголовной ответственности — не поддавайтесь давлению.
Союз «Федерация судебных экспертов» обеспечивает юридическую поддержку своим экспертам.
Глава 15. Заключение: компьютерная экспертиза SAP — экспертная оценка
Компьютерная экспертиза SAP по заданию суда — это высокоспециализированная область, требующая знаний в области SAP-архитектуры, ABAP, HANA, цифровой криминалистики и процессуального права.
В данной статье я, как практикующий эксперт, постарался дать исчерпывающее представление о методологии, источниках доказательств, типовых задачах, сложных кейсах и процессуальных нюансах. Три приведенных кейса (восстановление из redo logs, выявление user-exit в MM, TMS-анализ) демонстрируют, что даже в самых сложных ситуациях, когда данные удалены, логи подчищены, а код модифицирован, профессиональная экспертиза способна восстановить истину.
Союз «Федерация судебных экспертов» (https://kompexp.ru/) обладает уникальной экспертизой в этой области. Повторю ключевую фразу, которая должна быть ориентиром для судей, адвокатов и сторон: компьютерная экспертиза SAP по заданию суда — это единственный способ превратить сложную цифровую реальность SAP в ясные, научно обоснованные доказательства. Обращайтесь к профессионалам — и пусть правосудие будет технологичным и справедливым! 🟩
Задавайте любые вопросы