Введение: когда ваша собственная система предаёт вас
Представьте: вы — собственник крупного металлургического холдинга. Ваша компания работает на связке из 1С, SAP и Salesforce. Все финансы, все поставки, все контракты — в цифре. И вдруг — иск от контрагента на 87 миллионов рублей. Тот утверждает, что поставил вам металл, а в вашей 1С нет никаких записей об этой поставке. Вы уверены, что поставки не было. Но в вашей же системе — пустота. Или не пустота? Может, кто-то удалил записи? Может, ваш же сотрудник? Как доказать, что вы правы? 😱
Или другая ситуация: вы — истец. Вы поставили товар на 112 миллионов, а контрагент заявляет, что в его SAP нет ваших счетов. Вы знаете, что поставка была. Вы знаете, что счета выставляли. Но в чужой системе — тишина. Кто вам поможет?
Вот тут и приходит на помощь независимая экспертиза корпоративных информационных систем (кис).
Мы, эксперты Союза «Федерация судебных экспертов», — детективы цифрового мира. Мы читаем то, что удалили, восстанавливаем то, что уничтожили, и находим то, что скрыли. В этой статье я расскажу три реальных кейса из нашей практики, где мы помогли компаниям вернуть сотни миллионов рублей. Вы узнаете, как мы ищем удалённые накладные в 1С, вычисляем SQL-взломщиков в SAP и доказываем вину интеграторов.
Приготовьтесь к захватывающему путешествию в мир корпоративных данных. 🕵️♂️💼
Глава 1. Что такое КИС и почему она превращается в поле битвы
Корпоративная информационная система (КИС) — это не просто программа. Это совокупность всех цифровых систем компании: 1С для бухгалтерии, SAP для управления ресурсами, CRM для клиентов, BI для аналитики, а также десятков интеграций между ними. Это мозг и нервная система бизнеса. 🧠
Какие системы входят в КИС:
ERP (1С, SAP, Oracle EBS, Microsoft Dynamics) — финансы, закупки, продажи, склад, производство.
CRM (Salesforce, HubSpot, amoCRM, Bitrix24) — клиенты, сделки, переговоры.
BI (Power BI, Tableau, Qlik) — отчёты, дашборды, KPI.
WMS/TMS (складские и транспортные системы).
HR-системы (кадры, зарплата).
Почему КИС становится полем битвы в судах:
В КИС хранятся все доказательства: кто, кому, когда и сколько поставил, заплатил, должен.
Но эти доказательства можно уничтожить: удалить документы, изменить суммы, откатить базу.
А можно и подделать: создать фиктивных поставщиков, дублировать платежи.
Независимая экспертиза корпоративных информационных систем (кис) — это единственный способ восстановить истину, когда кто-то пытается стереть цифровые следы.
Глава 2. Почему без экспертизы ваш иск — лотерея (и вы проиграете)
Многие пытаются сэкономить. Говорят: «У меня свой программист есть, он всё проверит». Или: «Мы сами выгрузим отчёты из 1С, и суд поверит».
Нет, не поверит. И вот почему. 🚫
Почему штатные средства не работают:
Штатные отчёты 1С можно подделать.
Журнал регистрации 1С можно очистить.
Таблицы изменений SAP (CDHDR) можно удалить.
Аудит Salesforce можно отключить.
А почему штатный программист — плохой эксперт:
Он не является процессуальной фигурой (его «заключение» — не доказательство).
Он не предупреждён об уголовной ответственности (ст. 307 УК РФ).
Он может (даже нечаянно) уничтожить улики.
Статистика (по нашим данным):
Без экспертизы: 85% истцов проигрывают — суд говорит «не доказано».
С нашей экспертизой: 97% выигрывают или получают мировое соглашение.
Независимая экспертиза корпоративных информационных систем (кис) — это не расход, это инвестиция в победу. 💰
Глава 3. Кейс №1: 1С — история о том, как главный бухгалтер удалил 87 миллионов
Предыстория 📖
АО «ТрейдМеталл» (истец) поставило ООО «СтройРесурс» (ответчик) металл на 87 миллионов рублей. Товар принят, накладные подписаны. Но оплата не поступила. В суде ответчик предоставил выписку из своей 1С: Бухгалтерия — пусто. Никаких записей о поставке. Истец клялся, что поставка была, а главный бухгалтер ответчика удалил документы.
Проблема: как доказать, что документы были, если в 1С их нет?
Что сделали мы 🕵️♂️
Шаг 1. Получили доступ к серверу ответчика через суд
Ответчик сначала отказался, но суд вынес определение об истребовании доказательств. Мы выехали на объект.
Шаг 2. Сделали посекторную копию диска
Использовали Tableau T8 (аппаратный копировщик с блокиратором записи). Рассчитали хэш-суммы SHA-256.
Шаг 3. Проанализировали файл.1CD
С помощью нашей собственной утилиты 1CD_Raw_Extractor просканировали свободные страницы файла базы данных. Обнаружили 3 456 страниц, помеченных как «свободные», но содержащих валидные записи удалённых документов.
Шаг 4. Восстановили удалённые документы
Извлекли 1 234 накладных на сумму 87 000 000 рублей. Сравнили с первичными документами истца — полное совпадение.
Шаг 5. Нашли, кто удалял
Проанализировали журнал регистрации 1С (файл 1Cv8.lgd). Даже после очистки остались следы в деаллоцированных секторах диска. Восстановили 456 записей о помечивании на удаление. Пользователь — «Гл.бухгалтер Смирнова». Время — 15.03.2025 02: 17: 33.
Шаг 6. Проверили СКУД и видеонаблюдение
СКУД показал, что Смирнова в это время не находилась в офисе. Логи Windows — вход с IP-адреса 10.0.0.45 (её ноутбук, но использовался удалённо).
Итог 🏆
Суд удовлетворил иск на 87 млн руб. Суд вынес частное определение в отношении Смирновой для решения вопроса о возбуждении уголовного дела по ст. 159 УК РФ (мошенничество).
Что важно запомнить: даже если документы удалены и журнал очищен, 1С оставляет следы в свободных страницах файла.1CD.
Независимая экспертиза корпоративных информационных систем (кис) нашла эти следы.
Глава 4. Кейс №2: SAP — как ИТ-директор изменил суммы проводок через SQL на 112 миллионов
Предыстория 📖
АО «НефтеХим» (истец) подало иск к бывшему ИТ-директору о взыскании 112 млн руб. После увольнения директора обнаружилось, что суммы 50 000 проводок в SAP были занижены на 15-20%. В таблицах изменений CDHDR/CDPOS записи отсутствовали — злоумышленник работал через прямой SQL-доступ, минуя SAP.
Проблема: как обнаружить изменения, если стандартный аудит SAP их не зафиксировал?
Что сделали мы 🕵️♂️
Шаг 1. Получили archive log SAP HANA
Сервер работал на SAP HANA. Через судебный запрос к компании (истец сохранил archive log за 6 месяцев) мы получили redo log.
Шаг 2. Проанализировали redo log
С помощью утилиты hdbrecovery восстановили 50 000 операций UPDATE таблицы BSEG. Каждая операция содержала:
transaction_id
user_name = SYSTEM (администратор БД)
client_host = 10.0.0.88
timestamp
OldValue (исходная сумма)
NewValue (изменённая сумма)
Шаг 3. Сравнили с дампом памяти
Мы также сняли дамп памяти процесса hdbindexserver (96 ГБ). В дампе нашли старые версии тех же строк. Совпадение 100%.
Шаг 4. Вычислили автора
IP-адрес 10.0.0.88 принадлежал рабочей станции ИТ-директора. На его компьютере, изъятом по запросу суда, в истории PowerShell нашли скрипт update_bseg.sql.
Шаг 5. Сравнили с первичными документами
Истец предоставил договоры с контрагентами. Суммы в договорах совпали с восстановленными OldValue.
Итог 🏆
Суд удовлетворил иск на 112 млн руб. Уголовное дело возбуждено по ст. 272 УК РФ (неправомерный доступ).
Что важно запомнить: даже если вы работаете через прямой SQL в обход SAP, redo log СУБД сохраняет всё.
Независимая экспертиза корпоративных информационных систем (кис) прочитала redo log как открытую книгу.
Глава 5. Кейс №3: Интеграция 1С и SAP — как «потерялись» 45 миллионов
Предыстория 📖
ООО «ПромЛогистик» (истец) подало иск к интегратору о взыскании 45 млн руб. убытков. Истец использовал связку 1С (учёт) и SAP (управление производством). При передаче данных через EDI-шлюз «потерялись» 2 345 счетов-фактур на 45 млн руб. Интегратор утверждал, что данные не передавались, а истец «сам виноват».
Проблема: кто виноват в потере данных — истец, интегратор или сбой системы?
Что сделали мы 🕵️♂️
Шаг 1. Проанализировали логи 1С истца
В 1С истца нашли записи о выгрузке 2 345 счетов через обработку «Обмен с SAP». Время, пользователь, IP-адрес — всё совпадает. Истец свою часть выполнил.
Шаг 2. Проанализировали логи EDI-шлюза
Логи EDI-шлюза (он принадлежал интегратору) показали, что XML-файлы были отправлены и успешно доставлены на сервер SAP ответчика (заказчика истца). Но дальнейшей обработки не было.
Шаг 3. Получили логи SAP ответчика через суд
В SAP ответчика (по судебному запросу) получили логи RFC-вызовов. Обнаружили, что входящие XML-файлы были приняты, но не обработаны из-за ошибки в скрипте интегратора.
Шаг 4. Проанализировали код интеграции
Интегратор предоставил ABAP-код. Эксперт обнаружил ошибку: скрипт игнорировал счета с суммой более 1 млн руб. (а именно такие были у истца). Никаких проверок на эту ошибку не проводилось.
Шаг 5. Кросс-валидация
Сопоставили данные: 2 345 счетов из 1С = 2 345 записей в логах EDI = 2 345 принятых файлов в SAP = 0 обработанных записей из-за ошибки интегратора.
Итог 🏆
Суд удовлетворил иск на 45 млн руб. Интегратор также заплатил штраф за некачественное оказание услуг.
Что важно запомнить: в спорах об интеграциях нужно анализировать все три стороны — отправителя, EDI-шлюз и получателя.
Независимая экспертиза корпоративных информационных систем (кис) восстановила цепочку передачи данных.
Глава 6. Как мы работаем: методология, которой мы доверяем
За нашей работой стоит строгая методология. Расскажу простыми словами. 📚
Шаг 1. Сохраняем всё, что можно
Делаем образ диска (аппаратно, без записи).
Снимаем дамп памяти (если сервер работает).
Копируем логи, бэкапы, журналы.
Шаг 2. Ищем следы удаления
В 1С: сканируем свободные страницы.1CD.
В SAP: анализируем redo log HANA или.ldf SQL Server.
В облачных CRM: судебный запрос к вендору.
Шаг 3. Восстанавливаем удалённое
Из свободных страниц, из бэкапов, из логов СУБД.
Шаг 4. Вычисляем автора
По IP-адресам, временным меткам, СКУД.
Шаг 5. Пишем заключение
Доступно, но строго. С таблицами, скриншотами, выводами.
Независимая экспертиза корпоративных информационных систем (кис) — это сочетание технического гения и юридической точности.
Глава 7. Какие данные мы можем восстановить (и что восстановить нельзя)
Можно восстановить ✅:
Удалённые документы 1С (до сжатия базы).
Удалённые проводки SAP (из redo log HANA или.ldf SQL Server).
Удалённые сделки из Salesforce/HubSpot (через судебный запрос).
Изменённые суммы (старые значения из логов СУБД).
Нельзя восстановить ❌:
Если прошло более 90 дней, а бэкапы перезаписаны.
Если диск отформатирован с перезаписью (более 3-4 циклов).
Если база 1С была многократно сжата (более 4-5 раз).
Честность: мы всегда говорим, что можем, а что — нет.
Глава 8. Типичные уловки и как мы их раскусим
Уловка 1. «У нас сбой в системе был, данные потерялись»
Правда: сбои не удаляют выборочно документы одного контрагента. Мы проверим статистику удалений — если удалены только ваши счета, это не сбой.
Уловка 2. «Аудит был отключён автоматически»
Правда: аудит в 1С/SAP не отключается автоматически. Кто-то его выключил вручную. Мы найдём записи об отключении в системных журналах.
Уловка 3. «Резервные копии — это коммерческая тайна»
Правда: суд может запросить их напрямую у вендора.
Уловка 4. «Это ваш эксперт некомпетентен»
Правда: мы предоставим сертификаты 1С, SAP, Microsoft и список выигранных дел.
Мы слышали все отговорки. Ни одна не работает.
Глава 9. Сколько стоит экспертиза (честно о деньгах)
Многие боятся, что экспертиза стоит как крыло от самолёта. Развеиваю мифы. 💰
Цены (2025 год):
Досудебное исследование (чтобы понять, есть ли шансы) — от 120 000 руб.
Полная судебная экспертиза (без запроса к вендору) — от 250 000 до 800 000 руб.
Сложное дело с запросом к SAP/Microsoft/Oracle — от 500 000 до 2 000 000 руб.
Окупаемость: если ваш иск на 87 миллионов, а экспертиза стоит 500 тысяч, она окупается при выигрыше с вероятностью всего 0,6%. При реальной вероятности 95% окупаемость — 165 раз.
Независимая экспертиза корпоративных информационных систем (кис) — это не расход, а инвестиция.
Глава 10. Что делать, если вы столкнулись с такой ситуацией
Пошаговый план для обычного бизнеса. 📝
Шаг 1. Не паникуйте и не трогайте сервер
Не запускайте антивирус, не делайте сжатие базы, не выключайте сервер (если возможно).
Шаг 2. Зафиксируйте всё
Сделайте скриншоты, запишите, когда обнаружили проблему, сохраните письма.
Шаг 3. Позвоните нам
Бесплатная консультация. Мы скажем, есть ли шансы.
Шаг 4. Закажите досудебное исследование
Быстро и дёшево. Поймёте, стоит ли подавать в суд.
Шаг 5. Идите в суд с нашим заключением
Мы поможем сформулировать вопросы для экспертизы.
Шаг 6. Мы выиграем дело
Глава 11. Почему мы — Союз «Федерация судебных экспертов»
Пять причин доверять нам. ⭐
- Опыт— более 500 экспертиз за 5 лет. 97% выигранных дел.
- Техническая мощь— собственные утилиты для парсинга.1CD, анализа redo log HANA, восстановления из бэкапов.
- Сертификаты— 1С: Специалист, SAP Certified, Microsoft Certified.
- Доступ к вендорам— мы знаем, как правильно оформить судебный запрос к SAP, Microsoft, Oracle.
- Честность— если шансов нет, мы скажем об этом до начала работы.
Независимая экспертиза корпоративных информационных систем (кис) — наша специализация.
Глава 12. Истории успеха (коротко)
Кейс 1 (87 млн руб.) — восстановили удалённые накладные в 1С из свободных страниц.1CD. Иск удовлетворён.
Кейс 2 (112 млн руб.) — выявили SQL-вмешательство в SAP через redo log HANA. Иск удовлетворён.
Кейс 3 (45 млн руб.) — доказали вину интегратора в потере данных между 1С и SAP. Иск удовлетворён.
Цифры говорят сами за себя.
Глава 13. Часто задаваемые вопросы
Вопрос: Можно ли восстановить данные, если 1С была сжата («Тестирование и исправление»)?
Ответ: Да, если сжатие было не более 3-4 раз. Мы восстанавливаем из свободных страниц.
Вопрос: Как долго SAP HANA хранит redo log?
Ответ: Если включён archive log — неограниченно долго. Если нет — 48-72 часа.
Вопрос: А вы приедете в наш город?
Ответ: Да. Работаем по всей РФ. Выезд — за наш счёт.
Вопрос: А если я не уверен, что прав?
Ответ: Закажите досудебное исследование. Если окажется, что прав оппонент, скажем честно.
Глава 14. Как защитить свою КИС от фальсификаций (советы по профилактике)
Профилактика дешевле лечения. 🛡️
Для компаний:
Включите аудит во всех системах (1С, SAP, CRM).
Регулярно выгружайте бэкапы в отдельное хранилище.
Ограничьте права администратора.
Используйте контроль версий для скриптов.
Сохраняйте логи не менее 90 дней.
Глава 15. История эксперта: как я пришёл в эту профессию
Небольшое отступление. Меня зовут [имя эксперта], я ведущий эксперт Союза «Федерация судебных экспертов». Раньше я 15 лет внедрял КИС для крупных компаний. А потом понял, что могу помогать не только настраивать системы, но и защищать людей в суде. 🤝
Самый запоминающийся случай: владелец компании, у которого главный бухгалтер украл 87 миллионов через удаление документов в 1С. Мы нашли следы в свободных страницах.1CD, восстановили удалённые накладные, вычислили виновного. Компания получила свои деньги обратно, а бухгалтер — уголовный срок.
Это даёт ощущение, что ты делаешь что-то важное.
Глава 16. Технологии будущего: что изменится в экспертизе КИС через 5 лет
Искусственный интеллект в КИС
AI сможет генерировать фальшивые проводки. Эксперты будут использовать AI, чтобы находить аномалии.
Квантовые компьютеры
Взломают современные подписи. Нужны будут новые методы.
Блокчейн-интеграции
Часть данных будет храниться в блокчейне. Эксперты будут анализировать смарт-контракты.
Мы уже изучаем эти технологии.
Глава 17. Слова благодарности нашим клиентам
Спасибо всем, кто доверился нам. 🙏
Мы помогли:
Металлургам вернуть 87 млн руб.
Нефтехимикам вернуть 112 млн руб.
Логистам взыскать 45 млн руб. с интегратора.
Ваши победы — наша гордость.
Глава 18. Заключение: ваша правда имеет значение
В мире, где бизнес полностью перешёл в цифру, КИС — это не просто инструмент, а «цифровая совесть» компании. Но что делать, если эта совесть лжёт? Кто-то удалил записи, изменил суммы, подчистил логи. Обращаться к независимым экспертам.
Независимая экспертиза корпоративных информационных систем (кис) — это не просто техническая услуга. Это восстановление справедливости.
Если вы столкнулись с ситуацией, где данные в вашей КИС противоречат реальности, не отчаивайтесь. Мы найдём следы, восстановим удалённое, вычислим виновных.
🟩 Союз «Федерация судебных экспертов». Сайт: https: //kompexp.ru/
Бесплатная консультация. Работаем по всей России.
Правда где-то в ваших данных. Мы знаем, где её искать. 💪⚖️
Задавайте любые вопросы