Правовые аспекты, методология и судебная практика

Юридическое введение: почему КИС стали полем битвы за правду в судах ⚖️

Корпоративные информационные системы (КИС) — это цифровое сердце современного бизнеса. Здесь хранятся договоры, финансовые проводки, клиентские базы, отчёты о прибылях и убытках. Когда возникает корпоративный конфликт — увольнение топ-менеджера, спор о хищении активов, некачественное внедрение ERP или утечка коммерческой тайны — данные из КИС становятся главными доказательствами. 🏛️ Но вот в чём проблема: данные в КИС можно подделать, изменить задним числом, удалить или выгрузить. Скриншоты, которые сторона приносит в суд, могут быть сгенерированы за 5 минут в фотошопе. А распечатки из ERP — вообще не доказательство, если оппонент заявит о фальсификации.

Единственное, что может спасти ситуацию, — это инженерная экспертиза корпоративных информационных систем (КИС), то есть исследование, которое анализирует не то, что написано на экране, а то, что реально произошло в системе: журналы транзакций СУБД, логи интеграционных шин, дампы памяти, IP-адреса, следы удаления. Мы, Союз «Федерация судебных экспертов», проводим такие экспертизы для любых КИС: SAP, Oracle EBS, Microsoft Dynamics, 1С, а также кастомных разработок. В этой статье я, с юридической точки зрения, расскажу, как проводится инженерная экспертиза КИС, какие юридически значимые факты можно установить, и приведу три реальных кейса, где наша экспертиза переломила ход дела. Наш сайт — https://kompexp.ru/ (раздел экспертизы КИС). Не ждите, пока логи перезапишутся. Время — деньги. Ваши деньги. 😎

Глава 1. Правовая природа инженерной экспертизы КИС 📜

Инженерная экспертиза корпоративных информационных систем (КИС) может проводиться в двух формах:

Досудебное исследование (по инициативе стороны). Заключение приобщается к иску как письменное доказательство (ст. 75 АПК РФ, ст. 71 ГПК РФ). Эксперт не предупреждается об уголовной ответственности, но его выводы оцениваются судом наравне с другими доказательствами.

Судебная экспертиза (по определению суда). Эксперт предупреждается об уголовной ответственности по ст. 307 УК РФ. Заключение имеет повышенную доказательственную силу. Эксперт может быть вызван в суд для допроса.

Основания для назначения судебной экспертизы КИС (ст. 82 АПК РФ, ст. 79 ГПК РФ, ст. 195 УПК РФ):

Необходимость специальных знаний в области архитектуры КИС, анализа журналов транзакций, логов интеграций, восстановления удалённых данных.

Заявление стороны о фальсификации доказательств (например, оппонент утверждает, что скриншот из ERP подделан).

Недостаточность иных доказательств для установления юридически значимых обстоятельств.

Глава 2. Юридически значимые факты, устанавливаемые инженерной экспертизой КИС 🔍

Глава 3. Три юридических кейса из нашей практики 🔥

Кейс №1. Хищение клиентской базы через интеграционную шину КИС (23 млн рублей, коммерческая тайна, ст. 183 УК РФ).
Фабула: В крупной торговой компании обнаружена утечка клиентской базы (15 000 записей). Интеграционная шина (ESB) каждую ночь отправляла данные на внешний сервер. Системный администратор уволился за месяц до обнаружения. Суд назначил нашу инженерную экспертизу корпоративных информационных систем (КИС).
Что мы установили:

Анализ логов ESB показал недокументированный маршрут customer_export, запускавшийся по расписанию в 03: 00.

Маршрут создан через 2 дня после увольнения администратора.

В очереди сообщений сохранены все 15 000 клиентов.

IP-адрес назначения (185.xxx.xxx.xxx) принадлежит иностранному хостингу.

Логи входа Azure AD зафиксировали вход администратора с домашнего IP в ночь создания маршрута.
Юридический результат: Суд взыскал 23 млн рублей. Возбуждено уголовное дело по ст. 183 УК РФ (коммерческая тайна).

Кейс №2. Несанкционированное изменение финансовых проводок в ERP через триггеры СУБД (8,7 млн рублей, ст. 272 УК РФ).
Фабула: Финансовый директор изменил 1 200 проводок в ERP через прямое подключение к SQL Server. Audit Log был очищен. Система on-premise. Суд назначил экспертизу.
Что мы установили:

Изъятие диска с SQL Server через write-blocker, создание образа.

Анализ.ldf: восстановлены все удалённые проводки со старыми и новыми значениями.

Event Log Windows: вход CFO в 03: 00 за день до удаления.

Запланированное задание SQL Agent: ClearAuditLog, очищавшее журнал аудита.

Трассировка сети: SQL-запросы с домашнего IP финансового директора.
Юридический результат: Уголовное дело по ст. 272 УК РФ. 8,7 млн рублей взысканы.

Кейс №3. Манипуляция с отчётностью BI через скрытые фильтры в ETL (12,5 млн рублей, ст. 159 УК РФ).
Фабула: Коммерческий директор искажал отчёты Power BI для получения бонусов. В отчётах план продаж показывался на 120%, реальность — 70%.
Что мы установили:

Распаковка.pbix: в M-коде шаг Table.SelectRows, исключающий возвраты.

DAX-формула IF(Customer = «X», 85, Cost).

Логи Power BI Service: 47 изменений датасета в ночное время с домашнего IP.
Юридический результат: Убытки взысканы с коммерческого директора. Уголовное дело по ст. 159 УК РФ.

Глава 4. Как сформулировать вопросы для инженерной экспертизы КИС ❓

Некорректный вопрос: «Кто украл клиентскую базу?» (Это правовой вопрос. Эксперт на него не ответит.)

Корректные вопросы (образцы для различных ситуаций):

О несанкционированном изменении данных (ERP):
*«Имеются ли в журналах транзакций СУБД (MS SQL Server) записи об изменении или удалении записей из таблицы «Финансовые проводки» (GeneralJournalEntry) за период с 01.01.2024 по 31.12.2024? Если да — для каждой операции указать: LSN (Log Sequence Number), дату и время (UTC), пользователя (SID), IP-адрес клиента, старое и новое значение изменённых полей, тип операции (UPDATE/DELETE/INSERT). Восстановить удалённые записи, если возможно».*

Об интеграционных утечках (ESB):
*«Имеются ли в интеграционной шине КИС (ESB) недокументированные маршруты пересылки данных на внешние IP-адреса за период с 01.01.2024 по 31.12.2024? Если да — указать: название маршрута, автора (владельца), дату создания, расписание запуска, объём переданных данных, URL или IP-адрес назначения».*

О манипуляциях с отчётностью (BI):
*«Имеются ли в Power BI отчёте (файл report.pbix) изменения в M-коде Power Query или DAX-формулах, которые искажают показатель «Выполнение плана продаж» за период с 01.01.2024 по 31.12.2024? Если да — указать конкретные строки кода, старые и новые значения, автора изменений (из логов Power BI Service)».*

Глава 5. Обеспечительные меры: как сохранить доказательства в КИС 🛡️

Если вы подозреваете, что данные в КИС могут быть уничтожены или изменены, необходимо незамедлительно:

Подать заявление о наложении ареста на информацию (ст. 140 АПК РФ, ст. 115 УПК РФ). Для on-premise — арест серверов и дисков. Для облачных систем — арест аккаунта (приостановление доступа).

Запросить у администратора выгрузку логов (журналы транзакций СУБД, логи ESB, Audit History) за последние 90 дней. Сделать это ДО того, как они будут перезаписаны.

Создать резервную копию базы данных (для on-premise). Но не заменять оригинал.

Не удалять пользователей, которые могут быть причастны к инциденту. Их учётные записи содержат важную информацию (последний вход, IP, действия).

Не сообщать подозреваемому о предстоящей экспертизе. Если он узнает, он может уничтожить логи удалённо.

Обратиться к нам (24/7) для оперативного выезда эксперта.

Глава 6. Процессуальный алгоритм: как добиться назначения экспертизы КИС в суде 📋

Шаг 1. Подготовка ходатайства.
В ходатайстве указать:

Почему без экспертизы не обойтись («для установления обстоятельств требуются специальные знания в области архитектуры КИС, анализа журналов транзакций, восстановления удалённых данных»).

Конкретные вопросы (см. Главу 4).

Предлагаемую экспертную организацию (Союз «Федерация судебных экспертов»).

Источник финансирования (сторона, заявившая ходатайство, вносит предоплату).

Шаг 2. Обеспечительные меры.
Подать заявление о наложении ареста на серверы КИС и запрете на удаление логов.

Шаг 3. Получение определения суда.
Суд выносит определение, в котором указывает экспертную организацию, вопросы, объекты, сроки.

Шаг 4. Обеспечение доступа.
Обеспечить эксперту read-only доступ к системам (ERP, CRM, BI, СУБД, ESB), предоставить документацию.

Шаг 5. Проведение экспертизы.
Эксперт работает 30-60 дней.

Шаг 6. Получение заключения.
Эксперт направляет заключение в суд и сторонам.

Шаг 7. Допрос эксперта (при необходимости).
Любая сторона вправе вызвать эксперта для дачи показаний.

Глава 7. Оспаривание экспертизы оппонента: рецензия и ходатайство ⚔️

Если оппонент представил «экспертное» заключение, которое вы считаете недостоверным, вы вправе:

Заказать рецензию на это заключение у нас. Рецензия — это мотивированное мнение другого эксперта о научной обоснованности, полноте и достоверности представленного заключения. Рецензия приобщается к материалам дела (ст. 86 АПК РФ, ст. 187 ГПК РФ).

Подать ходатайство об исключении заключения из доказательств (ст. 67 АПК РФ, ст. 60 ГПК РФ). Основания:

Нарушение процедуры изъятия (нет write-blocker, нет хеш-сумм).

Использование невалидных методов (эксперт не ссылается на источники).

Эксперт не имеет необходимой квалификации.

Выводы вероятностные («возможно», «вероятно»).

Ходатайствовать о назначении повторной экспертизы (ст. 87 АПК РФ, ст. 87 ГПК РФ). В ходатайстве указать, почему предыдущая экспертиза ошибочна (со ссылкой на рецензию).

Глава 8. Доказательственная сила восстановленных данных из КИС 💾

Восстановленные данные (удалённые проводки, изменённые временные метки, выгруженные клиенты) имеют юридическую силу, если:

Доказана цепочка хранения (chain of custody). Протокол изъятия, хеш-суммы SHA-256, видеофиксация, подписи понятых.

Метод восстановления научно обоснован и воспроизводим (ссылки на публикации, исходные коды, контрольные эксперименты).

Данные согласуются с другими доказательствами (выписки из банка, логи электронной почты, показания свидетелей).

В кейсе №2 восстановленные проводки из.ldf были признаны судом допустимым доказательством, так как эксперт предоставил:

Протокол изъятия с хеш-суммами.

SQL-запросы с fn_dblog.

Распечатку декодированных строк.

Корреляцию с Event Log.

Глава 9. Ответственность эксперта по ст. 307 УК РФ ⚠️

Эксперт, проводящий судебную экспертизу (по определению суда), предупреждается об уголовной ответственности за дачу заведомо ложного заключения по ст. 307 УК РФ (штраф до 80 000 руб., либо обязательные работы до 480 часов, либо арест до 3 месяцев). Это серьёзный сдерживающий фактор, который обеспечивает достоверность экспертизы. Мы никогда не идём на риск. Наши выводы всегда основаны на проверяемых данных. За 15 лет ни один наш эксперт не был привлечён по ст. 307 УК РФ.

Глава 10. Типичные ошибки истцов и ответчиков при работе с КИС-доказательствами ❌

Глава 11. Стоимость и сроки инженерной экспертизы КИС 💰

Сравните с суммой иска: в кейсе №1 сумма иска — 23 млн рублей. Экспертиза стоила 800 тыс. рублей. Окупаемость — 28 раз. Экономия на экспертизе — это экономия на победе.

Глава 12. Допрос эксперта в суде: как подготовиться 🗣️

Эксперт может быть вызван в суд для дачи показаний (ст. 86 АПК РФ, ст. 85 ГПК РФ). Типичные вопросы адвокатов и наши ответы:

— «Вы уверены, что данные в КИС не были подделаны до экспертизы?»
— «Да, уверен. Вот хеш-суммы SHA-256 выгрузок до и после. Они совпадают. Видеоизъятие прилагается. Цепочка хранения не нарушена.»

— «Почему вы использовали не штатные отчёты, а какие-то свои скрипты?»
— «Штатные отчёты можно подделать администратором. Мои скрипты работают напрямую с API и базой данных, исключая человеческий фактор. Их исходный код опубликован (ссылка в заключении).»

— «Могли ли данные быть изменены случайно?»
— «Нет. Изменение IP-адреса в ночное время, массовая выгрузка, а затем удаление — это не случайность. Вероятность случайного совпадения рассчитана и составляет менее 0.0001%.»

Рекомендация для вашего юриста: заранее согласовать с экспертом список возможных вопросов и ключевые аргументы. Запросить у суда разрешение на демонстрацию слайдов (скриншоты, временные диаграммы).

Глава 13. Инструментарий эксперта: чем мы «копаем» КИС 🛠️

Глава 14. Сравнительная таблица допустимости доказательств из разных компонентов КИС 📊

Глава 15. Пошаговая инструкция для юриста: от инцидента до победы в суде 📝

Шаг 0. Инцидент. Вы обнаружили подозрительные изменения в КИС (удаление проводок, переназначение сделок, необычные экспорты).

Шаг 1. Обеспечительные меры. Немедленно подайте заявление в суд о наложении ареста на серверы КИС и запрете на удаление логов (ст. 140 АПК РФ, ст. 115 УПК РФ). Для облачных систем — арест аккаунта.

Шаг 2. Консультация с нами (бесплатно). Позвоните или напишите через сайт https://kompexp.ru/. Мы оценим перспективы и подскажем, как сформулировать ходатайство.

Шаг 3. Досудебная экспертиза (по желанию). Закажите исследование, чтобы понять реальную картину. Заключение можно будет приложить к иску (письменное доказательство).

Шаг 4. Подача иска + ходатайство о назначении судебной экспертизы. Приложите наше заключение или ходатайствуйте о назначении экспертизы. Сформулируйте вопросы (см. Главу 4).

Шаг 5. Обеспечение доступа. Предоставьте эксперту read-only доступ к системам, документацию, логины.

Шаг 6. Проведение экспертизы (30-60 дней).

Шаг 7. Получение заключения. Изучите его. Если есть вопросы — направьте эксперту письменные уточнения через суд.

Шаг 8. Допрос эксперта (при необходимости). Мы дадим показания.

Шаг 9. Решение суда. В 92% дел с нашим заключением — в пользу заказчика.

Шаг 10. Исполнительное производство. При необходимости используйте наше заключение для поиска активов ответчика (например, через анализ его ERP).

Юридическое заключение 🎓

Инженерная экспертиза корпоративных информационных систем (КИС) — это не техническая деталь, а стратегический юридический инструмент. Правильно проведённая, вовремя заказанная и грамотно представленная экспертиза превращает цифровой хаос в неопровержимые доказательства. Союз «Федерация судебных экспертов» обладает многолетним опытом проведения экспертиз любых КИС: SAP, Oracle EBS, Microsoft Dynamics, 1С, кастомных разработок. Наш сайт — https://kompexp.ru/ (раздел экспертизы КИС). Обращайтесь, мы поможем вам защитить свои права.