Конфликтный разбор методов, подводных камней и решений
SAP. Три буквы, за которыми стоят миллиарды рублей, тысячи сотрудников, сложнейшие логистические цепочки и… бесконечные судебные споры, где правда тонет в океане кода, журналов и логов. Вы думаете, что ваша SAP-система надежно защищена от манипуляций? Вы наивны. За годы работы мы видели, как ловкие руки разработчиков ABAP превращали честный учет в бездонную бочку для откатов. Как липовые счета-фактуры создавались задним числом, а потом бесследно исчезали. Как журналы аудита SM20 чистили «по ошибке». И как суды разводили руками, потому что доказательств не было. Но теперь они есть.
Инженерная экспертиза SAP по запросу суда — это последний рубеж, где ложь разбивается о факты. Союз «Федерация судебных экспертов» (https://kompexp.ru/) — это спецназ цифровой криминалистики. Мы ходим туда, где другие боятся, и вытаскиваем наружу то, что было похоронено под тоннами подчищенных логов и модифицированного кода. В этой статье я расскажу вам, как мы это делаем, как противостоим грязным уловкам сторон и почему без нас суд рискует вынести неправильное решение. Приготовьтесь: будет жестко.
Глава 1. SAP: цифровой монстр, которого нельзя приручить (но можно допросить)
SAP — это не просто программа. Это сложнейшая экосистема, где каждый модуль (FI, CO, MM, SD, PP, HR) живет своей жизнью, но все они взаимосвязаны. И эта сложность — рай для мошенников. Почему? Потому что средний аудитор не знает ABAP. Потому что системный администратор может включить себе любые права. Потому что разработчик может заложить «бомбу», которая сработает через год после его увольнения.
Инженерная экспертиза SAP по запросу суда начинается с признания простого факта: вы не можете доверять системе в том виде, в котором ее вам предоставили. Ее нужно допросить. С пристрастием. С использованием всей мощи современной цифровой криминалистики. Мы умеем это делать.
Глава 2. Иллюзия защиты: почему ваши журналы SAP ничего не значат (если их не анализирует эксперт)
Многие компании включают аудит в SAP — SM19, SM20. И успокаиваются. А зря. Журнал аудита можно отключить. Его можно очистить. Его можно подделать (частично). Более того, стандартный аудит SAP не фиксирует многое, например, чтение данных (а не изменение). Мошенник может просмотреть таблицу с секретными ценами, и это не оставит следа в SM20. А если у него есть права на SE16 (прямой доступ к таблицам), он может изменить данные напрямую, минуя бизнес-логику, и это тоже не всегда фиксируется.
Но эксперт не ограничивается SM20. Он идет глубже — в redo logs HANA, которые фиксируют каждое изменение, включая те, что сделаны через SE16. Он анализирует бизнес-журналы CDHDR/CDPOS. Он смотрит на систему транспортов. Он сравнивает код с эталоном. SM20 — это только верхушка айсберга.
Глава 3. Пять грязных схем хищений в SAP (и как инженерная экспертиза их раскусит)
Делюсь опытом. Вот пять схем, с которыми мы сталкивались чаще всего.
• Схема 1: Backdating через изменение времени. Как ловим: анализ LSN-последовательности в redo logs HANA (строго возрастает, не подделать).
• Схема 2: User-exit на увеличение цены в закупках (MM). Как ловим: статический анализ кода ABAP, сравнение с SAP Standard.
• Схема 3: Прямое удаление строк из таблиц BSEG (проводки) через SE16. Как ловим: redo logs покажут DELETE, но CDHDR будут молчать — аномалия.
• Схема 4: Скрытые позиции в счетах (SD). Как ловим: анализ структуры таблиц VBRP, поиск нестандартных типов позиций.
• Схема 5: Подмена пользователя — использование чужой учетки. Как ловим: анализ IP-адресов, MAC-адресов (если логируются), сопоставление с Active Directory.
Все эти схемы проходили через наши руки. И все были раскрыты.
Глава 4. Инженерный протокол: как мы изымаем доказательства у сопротивляющейся стороны
Конфликт начинается в момент изъятия. Ответчик будет делать всё, чтобы не отдавать серверы. «Он сломался», «Он в облаке», «У нас коммерческая тайна», «Пароли забыли». Наш протокол жесткий и не терпит возражений.
• Суд выносит определение с конкретным перечнем объектов.
• Мы приезжаем с судебным приставом (если нужно).
• Фото- и видеофиксация всего.
• Физическое отключение серверов от сети (чтобы не дать удаленно уничтожить данные).
• Подключение write-blocker-ов — аппаратных устройств, которые запрещают любую запись на диск.
• Создание побитовых образов всех дисков.
• Вычисление хеш-сумм SHA-256 — цифровых отпечатков.
• Опечатывание оригиналов.
Если сторона отказывается предоставить пароли — фиксируем отказ, и суд делает выводы (ст. 10 ГК РФ — недобросовестность). В одном деле ответчик выключил сервер за час до нашего приезда, сославшись на «пожар». Мы смонтировали теневые копии VSS и восстановили данные.
Глава 5. Кейс № 1: Как мы восстановили 25 000 удаленных документов из сервера, который «сгорел»
Реальная история: Завод подал иск к экс-директору о хищении 1,8 млрд руб. За день до выемки сервера SAP (SAP ECC 6.0 на HANA) в серверной произошло короткое замыкание. RAID-массив вышел из строя. Ответчик ликовал: данных нет.
Эксперты Союза «Федерация судебных экспертов» применили тяжелую артиллерию:
• Изъяли все 32 диска из RAID-10.
• С помощью оборудования PC-3000 прочитали даже диски с битыми секторами.
• Определили параметры RAID (порядок, stripe size) анализом сигнатур.
• Виртуально собрали RAID в R-Studio.
• Проанализировали redo logs HANA на собранном томе.
• Обнаружили массовые операции DELETE над таблицами BSEG (проводки), VBRK (счета), EKBE (история закупок).
• Восстановили «мертвые версии» строк — 25 342 документа.
• Вычислили сумму хищения — 1,8 млрд руб.
Суд удовлетворил иск. Директор осужден. Сервер «сгорел», но правда не сгорела.
Глава 6. ABAP-код как поле битвы: как найти «бомбу», которую заложил разработчик
Разработчики ABAP — люди творческие. И иногда их творчество выходит за рамки технического задания. Мы находили:
• Код, который при наступлении определенной даты (например, после увольнения разработчика) начинал дублировать платежи.
• Код, который при создании заказа у поставщика X автоматически увеличивал цену на 20% и переводил разницу на левый счет.
• Код, который проверял имя пользователя: если пользователь = ‘CHIEF’, то отключал проверку лимитов.
• Код, который создавал скрытые записи в журналах, чтобы замести следы.
Как мы ищем? Сравниваем все объекты в системе с SAP Standard (эталоном). Каждое отличие анализируем. Ищем подозрительные конструкции: жестко закодированные даты, имена, суммы. Проверяем вызовы RFC на внешние системы. Анализируем, кто и когда создал транспортный запрос на это изменение. В одном деле мы нашли «бомбу», которая активировалась только при совпадении трех условий: дата, пользователь и сумма документа. Разработчик думал, что никто не найдет. Мы нашли.
Глава 7. Кейс № 2: BADI на 500 миллионов — как мы нашли скрытый алгоритм в модуле FI
Конфликт: В крупной розничной сети обнаружили, что из кассы регулярно исчезают суммы, но инкассация сходится. Аудиторы развели руками. Акционеры подали иск к финансовому директору.
Эксперты получили доступ к SAP (модули FI и SD). При статическом анализе BADI для транзакции FB01 (ввод финансового документа) нашли BADI FTR_BADI_PAI. В нем был код: IF BKPF-BLART = ‘SA’ (тип счета) и BKPF-WAERS = ‘RUB’ и SY-UNAME = ‘FDIRECTOR’… то при сумме документа > 100 000 рублей автоматически создавалась скрытая позиция с дебетом на подставной счет (через BAPI_ACC_DOCUMENT_POST) на сумму 5% от суммы документа. Название счета было зашифровано в таблице Z_FAKE_ACCOUNTS.
Анализ транспортных запросов показал, что BADI был введен 3 года назад. Автор запроса — пользователь, IP-адрес которого совпадал с IP-адресом финансового директора. Восстановили 12 000 скрытых проводок. Сумма ущерба — 540 млн руб. Суд взыскал. Директор в тюрьме. Еще одна победа.
Глава 8. Система транспортов (TMS): журнал, который не лжет (почти никогда)
TMS — это, пожалуй, самое недооцененное средство доказывания. Любое легитимное изменение в SAP (конфигурация, код) оформляется транспортным запросом. В запросе — автор, дата, время, список измененных объектов.
Что делают злоумышленники?
• Вносят изменения напрямую в продуктивной системе (минуя TMS). Как выявляем: сравниваем временные метки объектов с датами транспортных запросов. Если объект изменен, а запроса нет — нарушение.
• Удаляют транспортные запросы после переноса. Как выявляем: таблица E070 сохраняет записи даже об удаленных запросах (статус ‘D’).
• Пытаются подделать автора. Как выявляем: IP-адрес в SM20 при работе с SE09 (транзакция управления транспортами) часто выдает реального пользователя.
В одном деле ответчик удалил все транспортные запросы, но эксперт нашел их в теневой копии DEV-системы. Суд расценил как умышленное сокрытие.
Глава 9. Кейс № 3: Как TMS разоблачил интегратора, который «забыл» выполнить работы за 780 млн рублей
Конфликт: Нефтяная компания подала иск к интегратору о взыскании 780 млн руб. за невыполненные работы по внедрению SAP S/4HANA (модули PS и PM). Интегратор утверждал, что «все работы выполнены и приняты по актам». Суд назначил экспертизу.
Эксперты проанализировали TMS заказчика. Результат: из 104 функциональных требований технического задания транспортные запросы были найдены только для 41. По 23 требованиям запросы были созданы, но не перенесены в продуктивную среду. По 40 требованиям запросов не было вообще.
Интегратор заявил, что «вносил изменения напрямую в PRD». Эксперты проверили временные метки объектов ABAP в PRD — они не соответствовали датам подписанных актов. Более того, в системе разработки интегратора (доступ предоставили по решению суда) эти объекты даже не были созданы.
Суд удовлетворил иск. Интегратор обанкротился. TMS спас заказчика.
Глава 10. Backdating: почему подделать время в SAP невозможно (даже для гения)
«Я переведу время на сервере, создам документы задним числом, а потом верну — и никто не узнает». Слышим это постоянно. И каждый раз доказываем обратное. Почему это невозможно скрыть?
• LSN-последовательность в redo logs HANA. LSN — это строго возрастающий номер операции. Если документ создан «15 февраля», но имеет LSN выше, чем документ, созданный «16 февраля», — это железобетонное доказательство backdating.
• Системный журнал Windows (Event ID 1) фиксирует каждое изменение времени.
• Журнал STAD фиксирует время выполнения транзакции на сервере приложений — оно может отличаться от времени на сервере БД.
• Внешние системы (банк-клиент, EDI, почта) имеют свои временные метки.
• Анализ «шумов» — электрических помех, которые оставляют следы в журналах низкого уровня.
В одном деле злоумышленник перевел время, создал документы, вернул время, очистил системный журнал. Но redo logs выдали его. Суд признал документы недействительными. Не пытайтесь обмануть эксперта — у нас больше инструментов.
Глава 11. Облачный SAP: как допросить свидетеля, который живет в чужой стране
Облако — это головная боль для эксперта. Нет физического доступа к серверам. Провайдер (SAP SE или партнер) может отказать в предоставлении данных. Но и здесь есть методы.
• Суд выносит определение об истребовании доказательств у провайдера.
• В облачных SAP есть встроенный Audit Log — он может быть выгружен через API.
• Мы требуем выгрузку дампа базы данных через стандартные средства (SAP Cloud Platform).
• Если провайдер находится в другой стране — используем механизмы международной правовой помощи (Гаагская конвенция).
• Если провайдер отказывает — ходатайствуем о наложении штрафа за неисполнение судебного акта (ст. 119 АПК РФ).
В одном деле SAP SE (Германия) предоставила данные через 6 месяцев. Долго, но факт. Облако — не убежище.
Глава 12. Как оспорить заключение эксперта SAP: слабые места и как их защитить
Оппонент обязательно попытается оспорить вашу экспертизу. Какие аргументы он использует?
• «Эксперт не имеет сертификации SAP». Ответ: сертификация не требуется для судебной экспертизы, важны методы.
• «Эксперт не указал версии инструментов». Ответ: указываем всё, вплоть до контрольных сумм.
• «Нарушена chain of custody». Ответ: документируем каждый шаг, с видео.
• «Выводы вероятностные». Ответ: указываем степень вероятности (95%, 99%).
• «Эксперт вышел за пределы компетенции». Ответ: строго отвечаем на поставленные вопросы.
Чтобы оспорить наше заключение, нужна полноценная повторная экспертиза с доступом к объектам. И часто она подтверждает наши выводы. Мы не боимся оспаривания. У нас — научный подход, а не мнение.
Глава 13. Экспертная этика в конфликтной ситуации: как не дать себя сломать
В конфликтной экспертизе на вас давят все: сторона истца (хочет «побыстрее»), сторона ответчика (хочет «помягче»), иногда даже судья (хочет «закрыть дело миром»). Как выжить и сохранить объективность?
• Помнить об уголовной ответственности за заведомо ложное заключение (ст. 307 УК РФ). Это отрезвляет.
• Строго документировать все попытки давления.
• Отказываться от «устных консультаций» со сторонами — только письменно через суд.
• Не брать дополнительного вознаграждения от сторон.
• Иметь сменный состав экспертов (коллегиальность).
Союз «Федерация судебных экспертов» имеет внутренний кодекс этики и опыт работы в самых острых спорах. Нас не сломать. Мы говорим только то, что видим в данных.
Глава 14. Тактика для адвокатов: как добиться назначения экспертизы SAP и не проиграть
Адвокаты, запомните. Ваша задача — убедить суд в необходимости экспертизы.
• Заявляйте ходатайство как можно раньше, на стадии подготовки дела.
• Обосновывайте: «Для установления фактов, имеющих значение для дела, необходимы специальные знания в области SAP».
• Указывайте конкретные вопросы.
• Предлагайте конкретную экспертную организацию — Союз «Федерация судебных экспертов».
• Соглашайтесь на авансирование (деньги на депозит суда).
• Если суд отказывает — обжалуйте в апелляции.
Без экспертизы ваши шансы на победу резко снижаются. Вы будете доказывать «пальцем в небо». С экспертизой — фактами. Выбирайте.
Глава 15. Заключение: инженерная экспертиза SAP — ваш главный союзник в суде
Подводя итог, скажу прямо: без инженерной экспертизы SAP по запросу суда вы слепы, глухи и немы в цифровом мире. Вы можете быть правы на 100%, но если данные подчищены или подделаны — суд не увидит правды. Только мы, эксперты Союза «Федерация судебных экспертов» (https://kompexp.ru/), способны заставить SAP рассказать правду. Мы восстанавливаем удаленное. Мы находим закладки в коде. Мы доказываем подделку времени. Мы не боимся конфликтов.
Повторим ключевую фразу еще раз: инженерная экспертиза SAP по запросу суда — это ваш меч и ваш щит. Не идите в суд без нее. Обращайтесь к нам. Докажем правду вместе. 🟩
Задавайте любые вопросы