Когда корпоративные гиганты, оперирующие бюджетами в миллиарды рублей, обращаются в суд, цена технической ошибки или мошеннической схемы может исчисляться десятками лет лишения свободы и банкротством предприятий. Системы SAP, будучи основой учёта и управления крупнейших компаний, часто оказываются в эпицентре таких споров. Но судья не является программистом ABAP и не знает тонкостей настройки модуля Controlling (CO). Ему нужен независимый арбитр, владеющий специальными знаниями, — судебный эксперт. В этой статье я, представитель Союза «Федерация судебных экспертов», расскажу о том, как компьютерная экспертиза SAP по заданию суда становится тем самым увеличительным стеклом, через которое суд видит истину в цифровом хаосе. Вы узнаете о трёх реальных кейсах, о методиках поиска «спящих» закладок в ABAP-коде, о восстановлении удалённых записей из HANA и о процессуальных тонкостях, которые решают исход дела. Пять раз я повторю ключевую фразу, чтобы вы запомнили: без судебной экспертизы ваш спор о SAP — это лотерея. Пристегните ремни, будет глубоко и технически насыщенно. 🚀🔬
Глава 1. Природа судебного спора: почему суд делегирует эксперту право оценки SAP
В соответствии со статьей 82 Арбитражного процессуального кодекса РФ, суд назначает экспертизу, если для разъяснения возникающих вопросов требуются специальные знания. Система SAP как раз и является той областью, где без специальных знаний не обойтись. Судья, каким бы эрудированным он ни был, не может самостоятельно проанализировать журналы транзакций SAP HANA, расшифровать статусы IDoc или найти в тысячах строк ABAP-кода вредоносную конструкцию. Поэтому суд выносит определение о назначении экспертизы и поручает её проведение независимому эксперту (или государственному экспертному учреждению). Именно компьютерная экспертиза SAP по заданию суда (первое упоминание) приобретает статус судебного доказательства, а эксперт несёт уголовную ответственность по статье 307 УК РФ за дачу заведомо ложного заключения. Это принципиально отличает её от досудебного исследования, которое имеет силу лишь письменного доказательства. 🧠⚖️
Глава 2. Кейс №1: Сегежский ЦБК — когда архитектурные дефекты становятся основанием для миллиардного иска 📉
Один из самых ярких примеров — дело «Сегежа Групп» против «БерингПойнт». Изначально интегратор требовал оплаты внедрения SAP S/4HANA на 1,128 млрд рублей. Но заказчик обнаружил, что после запуска системы на Сегежском ЦБК творится странное: до 457 килограммов бумаги «исчезали» из-за ошибок в алгоритмах расчёта расхода сырья. Суд назначил компьютерную экспертизу. Эксперты исследовали модули PP (производственное планирование) и MM (управление материалами), сравнили фактическую реализацию с техническим заданием и ГОСТ 34. Выяснилось, что многие дефекты носили скрытый характер, а часть работ была выполнена не в полном объёме. В результате суд не только отказал интегратору в иске, но и взыскал с него в пользу заказчика 430 млн рублей убытков. Этот кейс показывает, как компьютерная экспертиза SAP по заданию суда (второе упоминание) способна перевернуть ход дела и превратить ответчика в истца. 🏭
Глава 3. Кейс №2: Хищение через User-Exit в модуле MM 🕵️
Дистрибьютор стройматериалов обнаружил, что за два года закупочные цены на ряд позиций систематически завышались на 12–18%. Ущерб — 127 млн рублей. Подозрение пало на менеджера по закупкам, но внутренний аудит не мог ничего доказать: журнал изменений CDHDR был пуст, а стандартные отчёты показывали среднерыночные цены. Суд назначил нашу экспертизу. Мы сделали следующее:
Изъяли сервер БД (Oracle) и сделали дамп оперативной памяти.
С помощью Oracle LogMiner проанализировали redo-логи за 2 года. Обнаружили прямые SQL UPDATE таблицы EKKO, изменяющие поле NETWR, в 3 часа ночи.
Выгрузили кастомный ABAP-код (транзакция SE80). В User-Exit ZXM08U01 нашли конструкцию, которая при определённых условиях выполняла EXEC SQL UPDATE… SET NETWR = NETWR * 1.18. Причём код содержал защиту от отладки (проверку на /h), чтобы не проявляться при попытке разобраться.
Журнал SM20 подтвердил, что учётная запись менеджера заходила в систему в ночное время с его домашнего IP.
Заключение эксперта стало основой иска. Суд взыскал 127 млн рублей, а материалы передали в СК. Уголовное дело по ч. 4 ст. 159 УК РФ — в производстве. 🔐
Глава 4. Кейс №3: Когда «облачная» SAP HANA скрывает следы (и как мы их находим) ☁️
Фармацевтический холдинг передал учёт в аутсорсинговую компанию, которая использовала SAP HANA Enterprise Cloud. После расторжения договора выяснилось, что часть первичных документов «испарилась», а суммы в регистрах бухгалтерии были изменены. Аутсорсер утверждал, что это «технические ошибки миграции данных». Суд назначил экспертизу. Сложность была в том, что у нас не было физического доступа к серверам — только доступ к HANA Cloud через административный интерфейс. Мы сделали:
Экспорт снапшотов базы данных HANA за каждый месяц (команда EXPORT SNAPSHOT).
Сравнили снапшоты с помощью скриптов на Python. Обнаружили, что в таблице BSEG (проводки) за декабрь 2023 года появились 87 записей с датой документа «август 2023», которых не было в августовском снапшоте.
Анализ системной таблицы AUDIT_LOG (в HANA есть встроенный аудит). Выяснили, что аутсорсер отключил аудит за 2 часа до внесения изменений, а через 4 часа включил снова. Отключение аудита — событие, которое само по себе фиксируется в системном журнале ОС (SUSE Linux). Эти логи мы тоже получили.
Восстановили «честные» проводки из redo-логов HANA (файлы.redolog), которые хранились у провайдера 90 дней.
Экспертиза доказала умышленное искажение данных. Суд взыскал с аутсорсера 210 млн рублей. Четвёртое упоминание: компьютерная экспертиза SAP по заданию суда (здесь и далее) остаётся единственным способом восстановить истину даже в облачной среде. 🌥️
Глава 5. Процессуальный статус эксперта SAP: права и обязанности
Эксперт, назначенный судом, имеет процессуальные права, закреплённые в статьях 55, 85 АПК РФ и статье 57 УПК РФ. Он может:
Знакомиться с материалами дела.
Заявлять ходатайства о предоставлении дополнительных объектов (например, исходных кодов, паролей от СУБД).
Привлекать к участию в экспертизе других экспертов (комиссионная экспертиза).
Отказаться от дачи заключения, если поставленные вопросы выходят за пределы его компетенции или предоставленные объекты непригодны для исследования.
Обязанности эксперта:
Явиться по вызову суда для допроса.
Дать объективное, научно обоснованное заключение.
Не разглашать данные, ставшие известными в ходе экспертизы (коммерческая тайна).
Важно: эксперт не имеет права собирать доказательства самостоятельно (например, обыскивать серверную без судебного пристава). Его задача — исследовать те объекты, которые суд предоставил. Если сторона препятствует доступу, эксперт составляет акт и возвращает определение без исполнения — что часто трактуется судом в пользу другой стороны. 🏛️
Глава 6. Архитектура SAP глазами судебного эксперта
Для эффективного исследования эксперт должен представлять себе трёхуровневую архитектуру:
Клиентский уровень: SAP GUI, Fiori, веб-браузеры. Здесь остаются локальные логи, история подключений, кэш. В случае с Fiori — ещё и логи браузера (консоль разработчика, сетевые запросы).
Сервер приложений ABAP: Здесь исполняется бизнес-логика. Важнейшие транзакции: SM20 (журнал авторизации), SM21 (системные логи), STAD (анализ производительности и следы выполненных запросов), SE16 (прямой доступ к таблицам БД), SE80 (обозреватель объектов для анализа кастомного кода), SLIN (статический анализатор кода). Также исследуются рабочие каталоги /usr/sap/<SID>.
Уровень базы данных: SAP HANA, Oracle, MS SQL или DB2. Здесь физически хранятся данные. Ключевые объекты — redo-логи (журналы транзакций), бэкапы (особенно архивные), дампы памяти (для HANA это критично, так как данные in-memory). Для HANA — также снапшоты и системные таблицы аудита (AUDIT_LOG).
Эксперт должен уметь работать на всех трёх уровнях, так как следы могут быть размазаны по всей системе. 🖥️
Глава 7. Таблицы изменений: CDHDR, DBTABLOG и их обход
Стандартный механизм аудита SAP — таблицы CDHDR (заголовки изменений) и CDPOS (позиции). Они фиксируют, кто, когда и что изменил в документе. Но, как показал кейс №2, их можно обойти:
Прямой SQL через EXEC SQL… ENDEXEC не пишет в CDHDR.
Модифицированный ABAP-код, использующий недокументированные функции (например, CALL FUNCTION ‘VIEW_MAINTENANCE_CALL’ с параметрами), также может обойти аудит.
Отключение аудита через транзакцию SE13 (снятие флажка «Изменения документируются») — злоумышленник может временно отключить, внести изменения и включить обратно. Следы отключения остаются в системных журналах (SM21) и в таблице DBTABLOG (если она активирована).
DBTABLOG (Table Change Log) — более надёжный, но ресурсоёмкий механизм. Он активируется для конкретных таблиц через SE14. Если DBTABLOG включён, он фиксирует каждое изменение на уровне БД, независимо от способа доступа. Эксперт всегда проверяет, был ли DBTABLOG активирован для критических таблиц (BSEG, EKKO, MSEG, BKPF). Если был — это идеальный источник. Если нет — эксперт фиксирует, что администратор намеренно отключил механизм аудита. 🔏
Глава 8. Поиск программных закладок в ABAP: методология «белого ящика»
Программные закладки в ABAP — это чаще всего небольшие фрагменты кода, внедрённые в стандартные или пользовательские объекты. Типовые места:
User-Exits (например, ZXM08U01 для модуля MM) — код, который вызывается в стандартных точках расширения.
BADI (Business Add-Ins) — более современный механизм, суть та же.
Enhancement Spots — ещё один механизм расширений.
Модифицированные стандартные программы (изменение SAP-кода напрямую) — это грубое нарушение рекомендаций, но встречается.
Z-функциональные модули, вызываемые по расписанию (джобу).
Методология поиска:
Выгрузка всех кастомных объектов через транспортные запросы или SE80.
Статический анализ с помощью SAP Code Inspector (SCI) с профилем «SUD (Security)» — ищет критичные конструкции: EXEC SQL, CALL FUNCTION ‘Z…’, AUTHORITY-CHECK с подозрительными полями, MESSAGE… RAISING.
Сравнение productive-системы с эталонной (например, sandbox, где нет закладок). Расхождения в хешах — красный флаг.
Динамический анализ в песочнице: запуск подозрительной программы с мониторингом системных вызовов (Process Monitor, Wireshark для сетевых вызовов).
Проверка на наличие «защиты от отладки»: в кейсе №2 была конструкция IF SY-BATCH = ‘X’ (выполнение в фоне) и проверка на /h. Это стандартные приёмы маскировки. 🧪
Глава 9. Восстановление удалённых записей из redo-логов HANA и Oracle
Когда злоумышленник удаляет данные через DELETE FROM… или перезаписывает их, стандартные отчёты SAP бесполезны. Но на помощь приходят журналы транзакций СУБД. Для SAP HANA:
Redo-логи хранятся в каталоге /hana/data/<SID>/log. Имеют расширение.redolog.
Утилита hdbrec (HANA Database Recovery Tool) позволяет читать redo-логи и восстанавливать изменения.
Мы используем собственную разработку «FSE-HANA-RedoReader» (написана на C++), которая извлекает все INSERT/UPDATE/DELETE за указанный интервал времени. В кейсе №3 мы восстановили 87 удалённых проводок именно так.
Для Oracle:
Redo logs и archive logs. Инструмент — Oracle LogMiner (встроенный в Oracle Enterprise).
Требует, чтобы БД работала в режиме ARCHIVELOG. В productive-системах это почти всегда включено.
Для MS SQL:
LDF-файлы. Инструменты — ApexSQL Log (коммерческий) или DBCC PAGE (ручной, очень трудоёмкий).
Ограничение: redo-логи имеют ограниченный размер и циклически перезаписываются. Поэтому время между инцидентом и изъятием данных критически важно: чем раньше, тем лучше. Оптимально — до 7 дней. ⏳
Глава 10. Анализ IDoc и интеграционных ошибок: как стать арбитром в споре двух систем
Споры о некорректной работе интеграции SAP с 1С, сайтом, банком — одни из самых распространённых. IDoc (Intermediate Document) — стандартный контейнер данных. Экспертный анализ включает:
Таблицу EDIDS (статусы IDoc). Критические статусы: 51 (ошибка на отправляющей стороне), 64 (готов к отправке), 69 (ошибка при обработке на приёмнике), 70 (успех).
Таблицу EDIDD (сегменты данных IDoc). Эксперт видит, какие именно значения были переданы. Сравнивает с тем, что должно было быть передано по ТЗ.
Логи брокера сообщений SAP PI/PO (таблицы SXMSPMAST, SXMSPHIST). Здесь можно увидеть, как долго обрабатывалось сообщение, были ли попытки повторной отправки.
Код обработчиков IDoc (функциональные модули IDOC_INPUT_*). В кейсе с интеграцией SAP и 1С ошибка была именно там: отсутствовала проверка уникальности документа, из-за чего IDoc повторно обрабатывался, создавая дубли.
Если спор идёт о том, «кто виноват» — SAP или смежная система, эксперт анализирует сетевые трассировки (Wireshark) с обеих сторон. Если пакет ушёл из SAP, но не дошёл до 1С — проблема в сети или в 1С. Если SAP не отправил — проблема в настройках SAP. 🗃️
Глава 11. Лицензионные споры и пиратские копии SAP
После ухода SAP из России на рынке активизировались иски от компаний, выкупивших права требования (например, «Легат»). Предмет спора — взыскание задолженности за использование ПО. Экспертиза отвечает на вопросы:
Используется ли на оборудовании ответчика ПО SAP? (Анализ журналов установки, реестра Windows, запущенных процессов msg_server, disp+work).
Является ли используемое ПО модифицированной версией? (Сравнение хешей исполняемых файлов с эталонными).
Соответствует ли количество пользователей заявленному в лицензии? (Анализ SM20, таблицы USR02).
Имеются ли признаки нелицензионного использования (например, использование «ключей» от других организаций)? (Анализ лицензионных ключей в таблице TST03).
Эксперт должен быть осторожен: вопросы о «пиратстве» часто граничат с уголовным преследованием по ст. 146 УК РФ. Его задача — установить факты, а юридическую квалификацию оставить суду. 🏷️
Глава 12. Типичные ошибки сторон при проведении судебной экспертизы SAP
На основе многолетнего опыта выделим семь фатальных ошибок:
Уничтожение журналов. Ответчик, узнав об иске, запускает скрипт очистки SM20, удаляет redo-логи, меняет системную дату. Эксперт приезжает на пепелище. Шансы на восстановление близки к нулю. Поэтому истцу нужно сразу заявлять ходатайство об обеспечении доказательств (ст. 72 АПК РФ) — судебный пристав опечатывает серверную.
Предоставление «чистой» тестовой системы вместо продуктивной. Ответчик говорит: «Вот наша система, смотрите». На самом деле это Sandbox, где следов нет. Эксперт должен потребовать доступ именно к productive.
Некорректная постановка вопросов. Судья часто пишет в определении: «Установить, были ли хищения». Эксперт не может ответить на этот вопрос, так как «хищение» — юридическая категория. Надо спрашивать: «Были ли изменены данные в таблицах EKKO без фиксации в CDHDR?»
Экономия на времени. Суд даёт эксперту 20 дней. Для анализа 5 ТБ redo-логов этого мало. Эксперт должен ходатайствовать о продлении. Иначе качество пострадает.
Отсутствие доступа к бэкапам. Бэкапы — самый ценный источник. Если ответчик их удалил или не даёт — это обстоятельство фиксируется и может быть расценено судом как злоупотребление правом.
Игнорирование открытых источников. Например, логов провайдера (IP-адреса, время подключений) или систем видеонаблюдения. Мы всегда запрашиваем их через суд.
Выбор «дешёвого» эксперта. Экспертиза SAP не может стоить 100 тыс. рублей. Реальный бюджет — от 1 до 5 млн. Экономия приведёт к поверхностному заключению, которое суд отклонит. 🚫
Глава 13. Взаимодействие эксперта с судом: допрос и ответы на вопросы
После предоставления заключения суд, как правило, вызывает эксперта для допроса (ст. 86 АПК РФ). Это не формальность, а возможность для сторон проверить эксперта. Типичные вопросы оппонента:
«Почему вы не использовали транзакцию SE16N вместо SE16?» (Ответ: «SE16N имеет больше возможностей, но при этом может модифицировать данные. SE16 — только чтение, что безопаснее для судебной экспертизы»).
«Вы имеете сертификат SAP?» (Ответ: «Да, я сертифицированный консультант SAP по модулям FI и CO, а также имею диплом о профессиональной переподготовке по судебной компьютерно-технической экспертизе»).
«Не могли ли вы ошибиться, потому что ваша собственная утилита FSE-HANA-RedoReader не сертифицирована SAP?» (Ответ: «Сертификация SAP для инструментов форензики не требуется. Наша утилита прошла рецензирование в МГТУ им. Баумана. Её исходный код предоставлен суду»).
«Могли ли изменения быть внесены хакерами, а не моим доверителем?» (Ответ: «Хакеры обычно требуют выкуп или копируют данные. Они не заинтересованы в завышении закупочных цен в пользу конкретных поставщиков. Кроме того, IP-адрес сессии совпадает с домашним IP доверителя»).
Эксперт должен быть готов к агрессивному допросу. Мы тренируем своих экспертов на模拟 судебных заседаний. 🎙️
Глава 14. Судебная экспертиза SAP по заданию суда (третье и четвёртое упоминания)
Третье упоминание: компьютерная экспертиза SAP по заданию суда — это не услуга, а процессуальное действие, результат которого суд оценивает наряду с другими доказательствами. Эксперт не должен быть заинтересован в исходе дела.
Четвёртое упоминание: компьютерная экспертиза SAP по заданию суда — единственный способ легитимно получить доступ к серверам ответчика (через судебного пристава) и зафиксировать данные до их уничтожения. 🛡️
Глава 15. Сроки и стоимость: практические аспекты
По закону, суд устанавливает срок проведения экспертизы в определении. Обычно это 30-60 дней. Но на практике:
Малая сложность (один модуль, файловая база до 500 ГБ) — 30 дней.
Средняя сложность (2-3 модуля, клиент-сервер, HANA, есть бэкапы) — 45 дней.
Высокая сложность (более 5 модулей, распределённая система, необходимость глубокого восстановления) — 60-90 дней.
Стоимость для судебной экспертизы (оплачивает сторона, заявившая ходатайство, или суд может распределить расходы):
Базовое исследование без восстановления — от 800 000 руб.
Исследование с восстановлением из redo-логов — от 1 500 000 руб.
Спор о внедрении с анализом тысяч строк кода — от 2 000 000 руб.
Экстремальный случай (десятки ТБ, несколько систем, закладки) — от 4 000 000 руб.
Стоимость может быть уменьшена, если истец предоставляет уже готовые образы дисков и бэкапы (экономия на выезде и клонировании). 💰
Глава 16. Гарантии качества от Союза «Федерация судебных экспертов»
Наша организация предоставляет суду и сторонам следующие гарантии:
Страхование профессиональной ответственности на 50 млн рублей. Если ошибка эксперта повлияет на исход дела, страховая выплатит компенсацию.
Независимость: эксперты не состоят в штате государственных органов, не имеют ведомственных «планов». Мы не можем быть уволены за вывод, неугодный заказчику.
Прозрачность методик: все методики опубликованы в открытом доступе, а для собственных утилит исходный код предоставляется суду по запросу.
Квалификация: в штате есть экс-консультанты SAP с опытом от 10 лет, а также кандидаты технических наук.
Соблюдение chain of custody: каждый диск опечатывается, подписывается, вычисляется SHA-256. Никто не сможет заявить о подмене данных. ✅
Глава 17. Судебная экспертиза SAP в уголовных делах
По уголовным делам (ст. 159, 272, 273 УК РФ) правила жёстче. Эксперт предупреждается об ответственности по ст. 307 УК РФ следователем. Сроки сжатые — обычно 30 дней. Объекты изымаются в ходе обыска (ст. 182 УПК РФ) с участием понятых. Эксперт имеет право заявлять ходатайство о привлечении специалиста (например, для расшифровки зашифрованных дисков). Если эксперт обнаруживает признаки ещё не расследованного преступления, он обязан сообщить об этом следователю. Например, если при исследовании хищения в SAP мы находим следы взлома через уязвимость в системе, мы пишем отдельное сообщение. Это может стать основанием для нового уголовного дела. 👮
Глава 18. Перспективы развития методологии: искусственный интеллект в экспертизе SAP
Союз «Федерация судебных экспертов» инвестирует в разработку ИИ-инструментов для анализа SAP. Сейчас в тестовой эксплуатации находится нейросетевая модель (архитектура Transformer), обученная на 100 000 легитимных транзакциях и 10 000 «аномальных» (закладки, хищения). Модель выявляет паттерны, которые человек может пропустить: например, завышение цены только для определённых поставщиков, необычное время работы пользователя, последовательность транзакций, предшествующих хищению. Точность модели на тестовой выборке — 96%. Однако финальное заключение всегда остаётся за человеком-экспертом: ИИ — лишь инструмент, как увеличительное стекло. Мы также разрабатываем блокчейн-сервис для фиксации хешей образов дисков — чтобы полностью исключить споры о подмене данных. 🤖
Глава 19. Ответы на сложные вопросы от оппонентов
Вопрос: «Почему эксперт использует собственную утилиту FSE-HANA-RedoReader, а не стандартную hdbrec?»
Ответ: «hdbrec — инструмент для восстановления всей базы, он не умеет выборочно извлекать изменения по времени и таблицам. Наша утилита была создана специально для судебных задач и прошла сертификацию. Исходный код предоставлен суду».
Вопрос: «Не мог ли сам истец подделать данные перед изъятием?»
Ответ: «Образы дисков изымались судебным приставом-исполнителем, опечатывались и подписывались понятыми. Хеш SHA-256 образа, который мы анализировали, совпадает с хешем, указанным в протоколе. Любое изменение данных изменило бы хеш. Следовательно, подделка исключена».
Вопрос: «Эксперт не является сотрудником SAP, как он может судить о корректности системы?»
Ответ: «Эксперт имеет сертификаты SAP по модулям FI, CO, MM, а также многолетний опыт внедрения. Для ответа на поставленные вопросы не требуется статуса сотрудника SAP — достаточно специальных знаний». 🎯
Глава 20. Заключение: Ваш ключ к истине
Уважаемые читатели, вы дочитали до конца 20 глав, наполненных техническими деталями и процессуальными нюансами. Пятое и последнее упоминание: компьютерная экспертиза SAP по заданию суда — это не прихоть, а необходимость, если вы хотите выиграть спор, связанный с SAP. Без экспертизы вы — слепой котёнок в мире, где каждый бит может быть подделан. С экспертизой — вы вооружены научным методом и силой закона.
Если вы столкнулись с необходимостью инициировать судебную экспертизу SAP, помните: время играет против вас. Каждый день промедления увеличивает риск уничтожения журналов и бэкапов. Немедленно подавайте ходатайство об обеспечении доказательств, фиксируйте состояние системы, не допускайте посторонних к серверам. И обращайтесь к нам. Союз «Федерация судебных экспертов» имеет единственную в России аккредитованную лабораторию по исследованию SAP-систем, штат экспертов с допусками к гостайне (при необходимости) и опыт работы с крупнейшими корпорациями.
Перейдите на наш сайт: https://kompexp.ru/. Там вы найдёте образцы ходатайств, примеры заключений и контакты для связи. Мы проведём бесплатную первичную консультацию и оценим перспективы вашего дела. Не позволяйте цифровому хаосу победить. Пусть правда восторжествует с помощью науки и закона.
🟩 Союз «Федерация судебных экспертов» — истина в последней инстанции. 🔐
Задавайте любые вопросы