Введение: когда SAP становится полем битвы за миллиарды

Вы ведёте крупный бизнес, используете SAP ERP. Всё работает, отчёты сходятся, аудиторы довольны. А потом — раз! — обнаруживается, что со склада исчез товар на 300 миллионов. Или контрагент не платит, ссылаясь на то, что накладные в SAP «подделаны». Или налоговая доначисляет миллиард, утверждая, что проводки в SAP фиктивны. Что делать? Идти в суд с распечатками из SAP? Бесполезно. Судья не обязан в них верить. 📉⚖️😨

Компьютерно-техническая экспертиза sap для обращения с иском в суд — это единственный способ превратить сложнейшую цифровую среду SAP в понятные, неопровержимые доказательства. Союз «Федерация судебных экспертов» — одна из немногих организаций в России, владеющих уникальными методами исследования SAP: от низкоуровневых redo-логов HANA до анализа ABAP-кода и сетевых протоколов. В этой статье я, эксперт с 15-летним стажем работы с SAP и судебными экспертизами, расскажу: как мы разоблачаем мошенников внутри защищённого периметра, почему «неуязвимая» SAP проигрывает нам, и как вы можете использовать нашу экспертизу, чтобы выиграть, казалось бы, безнадёжное дело. Три мощных кейса, десятки технических приёмов и один железный вывод: без нас ваши шансы в суде с SAP — 50/50, с нами — 95/5. Поехали. 🧨🔥💻🔍⚖️📊🛡️💣

Глава 1. SAP: цифровой бог корпораций с дырявой броней

SAP ERP — это не просто программа. Это операционная система для бизнеса, управляющая финансами (FI/CO), логистикой (SD/MM), производством (PP), кадрами (HR). В российских компаниях, особенно крупных, SAP стоит на страже миллиардных оборотов. И многие искренне верят: в SAP невозможно подделать данные, ведь там есть мощная система авторизации, журналы изменений (CDHDR/CDPOS), аудит. 😈💼

Заблуждение №1: «Журналы SAP всё запишут».
Реальность: Журналы CDHDR/CDPOS можно отключить, очистить или обойти, внося изменения напрямую в базу данных HANA.

Заблуждение №2: «Прямой доступ к HANA невозможен».
Реальность: Администратор БД или злоумышленник с правами SYSTEM может делать всё, что угодно.

Заблуждение №3: «Подделать дату документа в SAP нельзя».
Реальность: Можно прямым UPDATE в таблицу VBAK (заказы) или BKPF (документы FI).

Поэтому компьютерно-техническая экспертиза sap для обращения с иском в суд — это не роскошь, а необходимость. Только эксперт, вооружённый криминалистическими методами, может отделить правду от лжи. 🕵️‍♂️🔦

Глава 2. Экспертиза SAP vs. аудит SAP: почему внутренняя проверка не поможет

«У нас есть штатный консультант SAP, он подтвердит». Знакомая фраза из зала суда. И что же? Чаще всего консультант подтверждает, что «данные не противоречат». Но он не ищет следы преступления. Его задача — проверить настройки, а не найти взлом. 🧑‍💻🛡️

В кейсе №1 (см. ниже) штатный аудит SAP не нашёл подделки. А наша экспертиза — нашла. Потому что мы работаем не с выгрузками, а с битами. Компьютерно-техническая экспертиза sap для обращения с иском в суд — это хирургия, а не поверхностный осмотр. 🔪✅

Глава 3. Инструментарий: чем мы вскрываем SAP

Наша лаборатория SAP оснащена как передовой цифровой криминалистической лабораторией. 🛠️⚙️

Для создания образов:

Write-blocker Tableau T8 / Atola Insight.

FTK Imager, X-Ways Forensics, EnCase.

Для анализа СУБД HANA:

SAP HANA Studio (SAP HANA Database Explorer) — для чтения таблиц и журналов.

Утилиты hdbreplaylog, hdbrecover, hdbrestore.

Парсинг redo/undo логов (включая архивные).

Для анализа журналов изменений SAP:

Прямой SQL-доступ к таблицам CDHDR, CDPOS.

Собственные скрипты для сравнения LSN.

Для анализа ABAP-кода:

Транзакции SE80, SE38, SE37 (при live-доступе).

Декомпиляция из дампов памяти.

Для сети и памяти:

Wireshark — анализ протокола DIAG (SAP GUI) и RFC.

Дамп RAM сервера HANA через LiME.

Без этого арсенала любая компьютерно-техническая экспертиза sap для обращения с иском в суд будет неполной. А неполная экспертиза — это проигранное дело. 🎯

Глава 4. Кейс №1: «Заднее число» в отгрузках SAP SD на 340 миллионов

Фабула: ООО «МеталлЭкспорт» подало иск к ООО «ТрансЛогистик» о взыскании 340 млн рублей за отгруженный прокат. Истец предоставил в суд накладные из SAP SD (таблицы VBAK, LIKP). Ответчик заявил, что товар не получал, а документы созданы задним числом сотрудниками истца. Суд назначил компьютерно-техническую экспертизу sap для обращения с иском в суд. 📦⚖️

Наши действия:

Получили образы дисков сервера SAP (прикладной + HANA) — более 8 ТБ.

Проанализировали таблицы VBAK (заказы), VBAP (позиции), LIKP (отгрузки).

В CDHDR/CDPOS для этих документов записей не было — журнал изменений не включали.

Перешли к redo-логам HANA. Нашли:

Операции INSERT в VBAK и LIKP с Begin Time = 25.04.2024 23: 15: 47.

В самих таблицах поле ERDAT (дата создания) = 15.04.2024.

LSN вставки = 0x001A2B, а у соседнего легитимного заказа от 24.04 — 0x001A29. Инверсия!

Дополнительно: в технологических журналах STAD не нашлось записей о запуске транзакций VA01 (создание заказа) и VL01N (отгрузка) за 15-25 апреля.

Из дампа RAM сервера HANA извлекли открытый SQL-скрипт, который массово вставлял заказы с «левой» датой.

Вывод эксперта: Даты документов изменены. Суд отказал в иске на 340 млн. Истец дополнительно привлечён к ответственности за фальсификацию. 🧨🔨

Глава 5. Кейс №2: Хищение сырья через модуль MM на 87 миллионов

Контекст: Уголовное дело о хищении 87 млн рублей на цементном заводе. Начальник склада и менеджер по закупкам создавали фиктивные заказы на поставку (ME21N), затем проводили приход (MIGO), а реальный цемент вывозили через подставные фирмы. Внутренний аудит SAP не нашёл нарушений. Следователь назначил экспертизу. 🏭💸

Наша экспертиза:

Изъяты образы дисков серверов SAP ECC 6.0 + HANA.

Проанализированы таблицы EKBE (история заказов), MSEG (документы движения).

В CDHDR/CDPOS изменений не было (журнал для EKBE не включён).

Исследовали redo-логи HANA: обнаружили 230 операций INSERT в EKBE и MSEG, выполненных через пользователя БД SAP_SYSTEM (а не MM_USER).

Восстановили из архивных бэкапов HANA (хранились 4 месяца) исходные данные. Сравнили: реальные остатки цемента не сходились с SAP ровно на 87 млн.

Анализ ABAP-кода транзакции MIGO показал: в неё была внесена модификация — при определённых условиях (пользователь WAREHOUSE_CHIEF) приход проводился без физического добавления товара на склад, а в учёте появлялась фиктивная поставка.

Итог: Начальник склада и менеджер осуждены (6 и 5 лет). Взыскано 87 млн в пользу завода. Компьютерно-техническая экспертиза sap для обращения с иском в суд вскрыла схему, невидимую для штатного аудита. 🔥🔑

Глава 6. Кейс №3: Манипуляции с финансами в FI на 212 миллионов

Ситуация: Арбитражный спор между двумя акционерами крупного холдинга. Один акционер (финдиректор) вывел 212 млн рублей через подставные контракты, отразив в SAP FI (таблицы BKPF/BSEG) фиктивные акты. Второй акционер подал иск о взыскании убытков. Ответчик (финдиректор) предоставил выгрузки из SAP, якобы подтверждающие реальность сделок. Суд назначил экспертизу. 💰📊

Что сделали мы:

Сняты образы дисков сервера S/4HANA.

Проанализированы BKPF и BSEG.

В CDHDR/CDPOS были записи об изменениях, но… они не соответствовали реальному времени.

Исследовали redo-логи HANA. Нашли:

12 400 операций UPDATE в BSEG от пользователя БД SYSTEM (финдиректор имел доступ).

Время UPDATE — 3: 00 ночи, выходные дни.

LSN-анализ показал, что суммы проводок увеличивались после создания документов.

Восстановили из теневых копий VSS (тома сервера) базу за 3 месяца до хищения. Сравнили: оригинальные суммы были в 3 раза меньше.

Анализ сетевого трафика (PCAP с коммутатора) зафиксировал подключения к HANA через JDBC с рабочего места финдиректора в ночное время.

Результат: Суд взыскал 212 млн рублей. Финдиректор уволен, возбуждено уголовное дело. 🏆💰

Глава 7. Redo-логи HANA: супер-доказательство, которое не подделать

Redo-логи HANA — это физические журналы, в которые СУБД пишет каждое изменение до того, как применить его к данным. Их нельзя отключить, можно только перезаписать (но архивы хранятся). С правовой точки зрения, redo-логи обладают наивысшей доказательственной силой, так как они: 🖤📦

Фиксируют точное время операции (до 1 мкс).

Содержат значения полей «до» и «после».

Хранят LSN (Log Sequence Number) — монотонный счётчик.

Идентифицируют пользователя СУБД (даже если тот работал через SAP GUI).

Как мы используем redo-логи в суде:

Подтверждаем факт создания документа, даже если он удалён из интерфейса SAP.

Доказываем «заднее число» — когда время в ERDAT не соответствует Begin Time в redo-логе.

Выявляем прямые SQL-операции в обход транзакций SAP.

В кейсе №1 именно redo-логи HANA стали главным доказательством подделки. Без них дело было бы проиграно. 🧩✅

Глава 8. LSN-анализ: математическое доказательство для судьи

LSN (Log Sequence Number) в HANA — это 8-байтовое монотонно возрастающее число. Математически доказано: если LSN1 < LSN2, то операция 1 физически произошла не позже операции 2. Время можно перевести назад, а LSN — нельзя. Это свойство делает LSN идеальным инструментом для обнаружения хронологических аномалий. 🧮📈

Как эксперты доносят LSN-анализ до суда:

Эксперт извлекает из redo-логов LSN для каждого спорного документа и для соседних «нормальных» документов.

Строит таблицу: дата документа (поле ERDAT), LSN, время фиксации в redo-логе.

Если у документа с датой 10 марта LSN = 1000, а у документа с датой 5 марта LSN = 1001 — это инверсия.

Инверсия означает, что «более ранний» документ на самом деле создан позже.

Юридический вывод: дата документа подделана. Судьи понимают математику. LSN — это железобетон. В кейсе №1 LSN-анализ стал основой для отказа в иске на 340 млн. 🧱

Глава 9. Журналы изменений SAP (CDHDR/CDPOS): что нужно знать юристу

CDHDR (заголовки) и CDPOS (позиции) — это системные таблицы SAP, в которые записываются изменения важных бизнес-объектов, если аудит включён. Однако они имеют серьёзные ограничения: 📋⚠️

Плюсы:

Показывают, кто, когда и что изменил в документе.

Легко читаются транзакциями SE16, SE16N.

Минусы (критичны для суда):

Аудит может быть отключён на уровне таблицы.

Записи можно удалить (прямой DELETE из CDHDR/CDPOS).

Не фиксируют изменения, сделанные напрямую в СУБД (минуя SAP).

Наша тактика:

Всегда сверяем CDHDR/CDPOS с redo-логами HANA.

Если в CDHDR нет записей, а в redo-логах есть — значит, аудит был обойдён.

Если в CDHDR есть записи, но они не совпадают с redo-логами по времени — подлог.

Компьютерно-техническая экспертиза sap для обращения с иском в суд не может полагаться на CDHDR как на единственный источник. Это было бы юридически неграмотно. 🧠

Глава 10. Технологические журналы SAP (STAD, SM21): проверка на «человеческий фактор»

SAP ведёт собственные технологические логи:

STAD — статистика выполнения транзакций (кто, когда, какую транзакцию запускал, с какого терминала).

SM21 — системные логи (ошибки, предупреждения, блокировки).

ST03N — агрегированная статистика.

Правовое значение:

Если в STAD нет записей о запуске VL01N (отгрузка), а отгрузка в таблицах есть — значит, она создана не через транзакцию SAP.

Если в SM21 есть «сбой авторизации», а затем успешное действие — возможно, использовался обходной путь.

В кейсе №2 отсутствие записей в STAD по MIGO для подозрительных приходов стало одной из улик. А в кейсе №3, наоборот, наличие записей в STAD (но с несоответствием времени) подтвердило подлог. 📜

Глава 11. Анализ ABAP-кода: поиск «цифровых закладок»

ABAP — язык программирования SAP. В коде транзакций и функций могут быть «закладки», которые активируются для определённых пользователей или в определённое время. Это классический способ мошенничества. 🧟‍♂️💻

Что мы ищем в ABAP-коде:

OPEN SQL с UPDATE, DELETE без записи в CDHDR.

CALL FUNCTION ‘AUDIT_DISABLE’ (если такой модуль есть).

Условные конструкции IF sy-uname = ‘HACKER’… (троян).

Вызовы RFC-функций, минуя авторизацию.

Методика (для суда):

Если SAP доступна — выгружаем исходный код всех изменённых объектов через SE80.

Сравниваем с эталонной версией (из SAP Notes или бэкапов конфигурации).

Любые расхождения документируем в заключении.

В кейсе №2 модификация кода MIGO была обнаружена именно так. Без этого мы бы не доказали умысел. 🔑

Глава 12. Восстановление удалённых данных в SAP: юридическая процедура

Если база SAP удалена или зашифрована, это не приговор. Данные можно восстановить — и суд принимает восстановленную информацию как доказательство (при соблюдении процедуры). 🗑️➡️💎

Алгоритм для адвоката / истца:

Заявите ходатайство о назначении экспертизы с восстановлением данных.

В ходатайстве укажите: «Прошу поручить эксперту восстановление удалённой информации из нераспределённого пространства, теневых копий, redo-логов».

Суд выносит определение. Эксперт приступает.

Методы восстановления:

Карвинг по сигнатурам страниц HANA.

Извлечение из redo/undo логов (даже если база удалена, журналы могут сохраниться).

Программатор NAND для SSD (читаем чипы напрямую).

В кейсе №3 мы восстановили базу из теневых копий VSS. Это стало главным доказательством. В другом деле (не вошедшем в статью) мы восстановили 70% таблиц HANA после форматирования диска. Суд принял. 🧨

Глава 13. Как опротестовать «экспертизу» оппонента в суде

Если сторона предоставила «экспертное заключение» по SAP, которое вам кажется сомнительным, подавайте ходатайство о его исключении. Основания: 🚫⚖️

Эксперт не создавал образов дисков, работал с выгрузками (нарушение методики).

В заключении нет хешей образов (SHA-256) — невозможно проверить подлинность.

Не анализировались redo-логи HANA — исследование поверхностное.

Не использовался LSN-анализ — не искали инверсии.

Не исследовались технологические журналы STAD, SM21 — пропущены улики.

Что делать:

Заявите отвод эксперту (ст. 18 ГПК, ст. 21 АПК).

Представьте своё ходатайство с техническими аргументами (наша команда поможет).

Суд, скорее всего, удовлетворит отвод и назначит новую экспертизу — нам.

Помните: настоящая компьютерно-техническая экспертиза sap для обращения с иском в суд стоит дорого, но фальшивая экспертиза стоит ещё дороже — проигранного дела. 💰💔

Глава 14. Стоимость, сроки и организация: правда без купюр

Говорю честно, как есть. 💰⏱️

Стоимость (судебная экспертиза SAP по определению суда):

Анализ CDHDR/CDPOS + STAD + SM21 (без глубокого HANA) — от 350 000 руб.

С анализом redo-логов HANA и LSN — от 550 000 руб.

С восстановлением удалённых данных (карвинг, программатор) — от 900 000 руб. до 2 000 000 руб.

Сроки:

Выезд и копирование (образы) — от 2 до 7 дней (SAP-серверы редко бывают маленькими).

Лабораторный этап — от 25 до 45 рабочих дней.

Оформление заключения — 7 рабочих дней.

Почему так дорого и долго?

SAP — это гигантские объёмы данных (терабайты).

HANA имеет сложную внутреннюю структуру.

Специалистов, способных на такую экспертизу, — единицы.

Но выигранное дело на сотни миллионов стоит этих вложений. Не экономьте на победе. 🏆

Глава 15. Почему Союз «Федерация судебных экспертов» — ваш стратегический партнёр

Мы не просто «знаем SAP». Мы жили в SAP. Мы программировали на ABAP, настраивали HANA, проектировали авторизации, проводили миграции. А теперь — расследуем преступления в SAP. Это уникальное сочетание компетенций. 💎

Наши козыри для суда:

Независимость — работаем только по определению суда.

Научная база — методы опубликованы, верифицированы.

Опыт — десятки экспертиз SAP, включая S/4HANA, ECC, HANA 2.0.

Ответственность — ст. 307 УК РФ.

Когда суд доверяет нам компьютерно-техническую экспертизу sap для обращения с иском в суд, он получает заключение, которое не разбить в кассации. Потому что за каждым словом — биты, LSN, ABAP-код и железная логика. 🧠⚖️

Заключение: не верьте мифам — SAP не всесильна

SAP — мощнейшая система, но она создана людьми. А люди ошибаются, люди воруют, люди лгут. И оставляют следы. В redo-логах HANA, в LSN, в ABAP-коде, в сетевых протоколах. Наша задача — прочитать эти следы и превратить их в доказательства.

Компьютерно-техническая экспертиза sap для обращения с иском в суд — это ваш ключ к правосудию. Не выходите на поле боя без этого ключа.

🟢 Переходите на сайт: https: //kompexp.ru/
Там — форма заявки, контакты экспертов, примеры заключений. Звоните. Пишите. Приезжайте. Мы превратим ваши SAP-данные в оружие победы.

Помните: в суде побеждает не тот, у кого правда, а тот, кто может её доказать. Мы докажем. 🔥⚖️💪🔍🧠

© Союз «Федерация судебных экспертов». Экспертиза SAP высшего уровня сложности.