Для подачи иска в суд экспертное руководство
Системы Business Intelligence (BI) — Power BI, Tableau, Qlik Sense, SAP BusinessObjects — стали критически важными инструментами управления бизнесом. Они агрегируют данные из множества источников (ERP, CRM, баз данных, Excel) и представляют их в виде дашбордов и отчетов. Когда возникает судебный спор — о фальсификации отчетности, о недостоверности KPI, о хищениях через искажение данных — именно BI-отчеты становятся ключевым доказательством. Однако суд не может принять распечатку дашборда как безусловную истину. Как эксперт должен анализировать BI-отчеты? Какие методы использовать? Какие артефакты искать? Ответы на эти вопросы дает компьютерно-техническая экспертиза систем BI для подачи иска в суд.
Союз «Федерация судебных экспертов» (сайт: https://kompexp.ru/) разработал экспертную методологию исследования BI-систем. В данной статье, написанной в экспертном стиле, мы представим: классификацию объектов, методы извлечения и анализа, восстановление удаленных данных, а также приведем три реальных кейса. Статья предназначена для экспертов, юристов и IT-специалистов.
Глава 1. Экспертная классификация объектов в BI-системах
С точки зрения эксперта, BI-система включает следующие объекты:
• Файлы отчетов — .pbix (Power BI), .twb/.twbx (Tableau), .qvf (Qlik Sense). Содержат данные, формулы, источники, визуализации.
• Логи BI-сервера — журналы действий пользователей (Office 365 Management Activity API для Power BI, база данных репозитория для Tableau и Qlik).
• ETL-скрипты — Power Query M, Tableau Prep, Qlik Load Script.
• Семантическая модель — DAX-меры, вычисляемые поля, связи.
• Резервные копии — SQL-дампы, файловые бэкапы.
Каждый объект требует специфических методов исследования.
Глава 2. Экспертная методология консервации доказательств из BI-систем
Консервация — первый и критический этап. Экспертный протокол:
• Для облачных BI — выгрузка метаданных через API (Power BI: Export-PowerBIReport), запрос логов через Office 365 Management Activity API, нотариальный осмотр дашбордов.
• Для on-premise — создание побитовых образов дисков с помощью write-blocker-ов, затем анализ файлов БД и логов.
• Для Desktop BI — изъятие файлов .pbix, .twbx, .qvf с фиксацией хеш-сумм SHA-256.
• Chain of custody — регистрация каждого файла, передача по акту.
Глава 3. Экспертный анализ файлов Power BI (.pbix)
Файл .pbix — ZIP-архив. Экспертный метод:
• Распаковка.
• Анализ DataModelSchema (JSON) — поиск подозрительных мер DAX: IF(MAX(Table[Date]) = DATE(2023,12,31), [Revenue]*1.25, [Revenue]).
• Анализ DataModelStorage — извлечение данных, сравнение с исходными.
• Анализ Connections — проверка источника данных (Server, Database).
• Анализ метаданных — дата создания, автор.
• Сравнение версий — diff между .pbix.
Глава 4. Кейс № 1: Power BI — выявление DAX-формулы, завышающей KPI
Экспертный кейс: Акционеры заподозрили директора в завышении KPI.
Эксперты:
• Изъяли .pbix за 6 месяцев.
• Распаковали.
• В DataModelSchema нашли меру: KPI_Actual = IF(MAX(Table[Date]) = DATE(2023,12,31), [Revenue]*1.25, [Revenue]).
• Сравнили версии — формула появилась 20.12.2023.
• Метаданные указали автора — директор.
• Логи Power BI Service подтвердили изменение.
Суд удовлетворил иск.
Глава 5. Экспертный анализ Tableau (.twb/.twbx)
Tableau: .twb (XML), .twbx (ZIP). Экспертный метод:
• Распаковка .twbx.
• Анализ XML: теги <connection> (источники), <calculated-field> (формулы). Подозрительные: IF [Date] = #2023-12-31# THEN [Revenue]*1.25 ELSE [Revenue] END.
• Анализ экстрактов .hyper — извлечение данных, сравнение с исходными.
• Анализ логов Tableau Server (база данных репозитория PostgreSQL): таблицы _connections, _history.
Глава 6. Кейс № 2: Tableau Server — подмена источника данных, выявленная через логи
Экспертный кейс: Финдиректор перед аудитом изменил источник с prod_db на audit_copy_db.
Эксперты:
• Изъяли базу данных репозитория Tableau Server.
• Запрос: SELECT * FROM _connections WHERE user=’fin_director’ AND time>’2023-12-09′. Нашли запись смены источника.
• IP-адрес совпал с ПК директора.
• Сравнили данные из старой и новой версии — расхождение 56 млн руб.
Суд удовлетворил иск.
Глава 7. Экспертный анализ Qlik Sense (.qvf и Repository)
Qlik: .qvf (ZIP), Repository (PostgreSQL). Экспертный метод:
• Распаковка .qvf.
• Анализ LoadScript — поиск WHERE, DROP, SET, IF.
• Анализ Repository: таблица logs — извлечение истории изменений.
• Восстановление удаленных приложений из бэкапов Repository.
Глава 8. Кейс № 3: Qlik — восстановление удаленной истории из таблицы logs Repository
Экспертный кейс: Администратор удалил историю обновлений.
Эксперты:
• Доступ к Repository (PostgreSQL).
• Запрос: SELECT * FROM logs WHERE app_name=’Sales’ AND time>’2022-01-01′.
• Извлекли 345 записей за 2 года.
• Администратор изменял Load Script, завышая продажи на 15–20% перед квартальными отчетами.
Суд удовлетворил иск.
Глава 9. Экспертный анализ логов BI-серверов
Логи — «черный ящик». Экспертные методы:
• Power BI Service — Office 365 Management Activity API (PowerShell: Search-UnifiedAuditLog).
• Tableau Server — база данных репозитория (PostgreSQL), таблицы _history, _background_tasks.
• Qlik Sense — таблица logs.
• Анализ: массовый экспорт, изменение источников, удаление отчетов, аномальное время.
Глава 10. Экспертное восстановление удаленных отчетов
Удаление не всегда окончательно. Экспертные методы:
• Power BI Service — корзина (90 дней).
• Tableau Server — бэкапы репозитория (SQL-дампы).
• Qlik Sense — бэкапы Repository.
• Desktop BI — теневые копии VSS, корзина.
• Оценка полноты R = N_восстановленных / N_удаленных.
Глава 11. Экспертный анализ ETL-скриптов
ETL-скрипты — код загрузки. Экспертные методы:
• Power Query M — извлечение из .pbix. Поиск Table.SelectRows, Table.TransformColumns.
• Tableau Prep — анализ .tfl.
• Qlik Load Script — анализ LoadScript.
• Сравнение с эталонной версией (diff).
Глава 12. Экспертная перекрестная верификация с источниками данных
Сравнение BI-отчета с первичными источниками. Экспертный метод:
• Идентификация источников (Connection String).
• Выгрузка данных из источников.
• Повторный ETL и сравнение.
• Вычисление Δ = |X_bi — X_source| / X_source.
Глава 13. Экспертная оценка достоверности и целостности
Метрологический подход:
• Хеш-суммы SHA-256.
• Сравнение с резервными копиями.
• Перекрестная верификация (≥2 источников).
• Статистическая оценка p-value для аномалий (p < 0.001).
• Указание погрешности (±0,01%).
Глава 14. Экспертная документация и chain of custody
Chain of custody — обязательна. Экспертный протокол:
• Регистрация каждого файла с хеш-суммой.
• Видеофиксация выгрузки.
• Хранение оригиналов на защищенных носителях.
• Передача по акту.
• Уничтожение после дела.
Глава 15. Заключение: экспертная экспертиза BI — фундамент правосудия
Компьютерно-техническая экспертиза систем BI для подачи иска в суд — это сложная экспертная дисциплина.
В статье представлены экспертные методы: анализ .pbix (DAX), логов Tableau Server, Repository Qlik, ETL-скриптов, восстановление удаленных отчетов. Три кейса (Power BI — завышение KPI; Tableau — подмена источника; Qlik — восстановление из логов) демонстрируют применимость.
Повторим ключевую фразу: компьютерно-техническая экспертиза систем BI для подачи иска в суд — единственный способ получить экспертно обоснованные доказательства. Союз «Федерация судебных экспертов» (https://kompexp.ru/) готов помочь. Обращайтесь! 🟩
Задавайте любые вопросы