🟩 Инженерная экспертиза систем BI для подачи иска в суд

Методологическое руководство

Системы Business Intelligence (BI) — Power BI, Tableau, Qlik Sense, SAP BusinessObjects, Oracle BI, Yandex DataLens — стали критически важными инструментами для принятия управленческих решений. Они агрегируют данные из множества источников (ERP, CRM, баз данных, файлов Excel) и представляют их в виде отчетов, дашбордов и визуализаций. Когда возникает судебный спор — о фальсификации отчетности, о недостоверности управленческих данных, о хищениях через искажение KPI — именно отчеты BI становятся ключевым доказательством. Однако суд не может принять распечатку дашборда как безусловную истину. Как доказать, что данные в отчете были сфальсифицированы? Как восстановить историю изменений отчета? Как выявить, кто и когда подменял источники данных? Ответы на эти вопросы дает инженерная экспертиза систем BI для подачи иска в суд.

Союз «Федерация судебных экспертов» (сайт: https://kompexp.ru/) разработал методологию исследования BI-систем, объединяющую принципы цифровой криминалистики, анализа логов, восстановления данных и процессуального права. В данной статье мы представим методологию: классификацию BI-систем, методы извлечения логов и метаданных, анализ изменений источников данных, восстановление истории отчетов, а также приведем три реальных кейса.

Глава 1. Методологические основы инженерной экспертизы BI-систем

BI-системы — это программные платформы для сбора, обработки и визуализации данных из различных источников. Архитектура типовой BI-системы включает: уровень источников данных (базы данных, файлы, API, облачные хранилища); уровень ETL/ELT (извлечение, трансформация, загрузка); уровень хранилища данных (Data Warehouse, Data Mart); уровень семантической модели (метаданные, связи, вычисления); уровень визуализации (дашборды, отчеты, графики). Инженерная экспертиза систем BI для подачи иска в суд требует понимания всех этих уровней.

Научная методология базируется на синтезе дисциплин: цифровая криминалистика — анализ логов BI-сервера, журналов запуска отчетов, логов доступа; анализ данных — проверка целостности и согласованности данных из разных источников; формальная верификация — анализ формул и вычислений в семантической модели.

Глава 2. Классификация BI-систем и источников доказательств

Для экспертизы критична классификация по типу развертывания и архитектуре.

• Облачные BI — Power BI Service, Tableau Online, Qlik Cloud, Yandex DataLens. Данные и журналы хранятся у провайдера. Экспертиза через API, выгрузку метаданных, запрос резервных копий.

• On-premise BI — Power BI Report Server, Tableau Server, Qlik Sense Enterprise, SAP BusinessObjects. Эксперт может получить доступ к серверу, создать образ диска, проанализировать логи и БД.

• Desktop BI — Power BI Desktop, Tableau Desktop, Qlik Desktop. Файлы отчетов (.pbix, .twb, .qvf) хранятся локально. Эксперт анализирует файлы напрямую.

Источники доказательств: файлы отчетов (.pbix, .twbx, .qvf) — содержат данные, формулы, источники; логи BI-сервера (журналы запуска, обновления, доступа); метаданные семантической модели (связи, вычисления); журналы ETL-процессов; резервные копии.

Глава 3. Методология консервации и извлечения данных из BI-систем

Сохранение доказательств — первый этап. Методология Союза «Федерация судебных экспертов»:

• Для облачных BI — выгрузка метаданных через API, запрос логов доступа у провайдера, нотариальный осмотр дашбордов.

• Для on-premise — создание побитовых образов дисков сервера с write-blocker, затем анализ файлов БД и логов.

• Для Desktop BI — изъятие и консервация файлов .pbix, .twb, .qvf с фиксацией хеш-сумм SHA-256.

• Фиксация времени — все действия документируются, chain of custody обязательна.

Глава 4. Инженерный анализ файлов Power BI (.pbix)

Power BI — одна из самых популярных BI-систем. Файл .pbix — это ZIP-архив, содержащий: DataModelSchema — метаданные модели (таблицы, связи, меры, вычисления на DAX); DataModelStorage — сжатые данные; Report — JSON-описание визуализаций; Settings — настройки соединений.

Инженерный метод:

• Распаковка .pbix.

• Анализ DataModelSchema: проверка формул DAX на наличие недокументированных корректировок (например, IF(ISFILTERED(…), value * 1.1, value)).

• Анализ источников данных в файле Connections — проверка соответствия заявленным источникам.

• Анализ времени последнего обновления.

• Восстановление истории изменений через сравнение версий .pbix (если сохранялись).

Глава 5. Кейс № 1: Спор о завышении KPI в Power BI — выявление подмены формул в DAX

Техническая фабула: Акционеры заподозрили генерального директора в завышении KPI для получения бонусов. Истец предоставил распечатки дашборда Power BI.

Эксперты:

• Изъяли файлы .pbix за 6 месяцев.

• Распаковали каждый.

• Проанализировали DataModelSchema, нашли меру DAX: KPI_Actual = IF(MAX(Table[Date]) = DATE(2023,12,31), [Revenue]*1.25, [Revenue]).

• Это означало, что 31.12.2023 KPI автоматически завышался на 25%.

• Сравнили с предыдущими версиями .pbix — в версии от 01.12.2023 этой меры не было, она появилась 20.12.2023.

• Автор изменения идентифицирован по метаданным файла.

Суд удовлетворил иск.

Глава 6. Инженерный анализ Tableau (.twb/.twbx)

Tableau — еще одна популярная BI-система. Файл .twb — это XML-файл с метаданными; .twbx — ZIP-архив с данными.

Инженерный метод:

• Для .twbx — распаковка.

• Анализ XML-структуры: поиск вычисляемых полей (calculated fields) с подозрительными формулами.

• Проверка источников данных — теги <connection>.

• Анализ логов Tableau Server (при on-premise) — журнал vizportal фиксирует, кто и когда запускал отчеты, изменял источники.

• Анализ времени обновления экстрактов (.hyper).

Глава 7. Кейс № 2: Обнаружение подмены источника данных в Tableau перед аудитом

Техническая фабула: Компания готовилась к аудиту. За день до аудита финансовый директор изменил источник данных в дашборде Tableau с реальной базы на «подчищенную» копию.

Эксперты:

• Изъяли логи Tableau Server.

• Проанализировали таблицу _connections в журнале vizportal.

• Обнаружили, что 10.12.2023 14:23 источник данных был изменен с prod_db на audit_copy_db.

• IP-адрес изменения совпал с рабочим компьютером финансового директора.

• Эксперты также извлекли из логов старый источник данных и сравнили с новым — выявили расхождения в суммах на 12 млн руб.

Суд удовлетворил иск.

Глава 8. Инженерный анализ Qlik Sense (.qvf)

Qlik Sense использует файлы приложений .qvf (ZIP-архив с JSON).

Инженерный метод:

• Распаковка .qvf.

• Анализ файла LoadScript — скрипты загрузки данных, где могут быть скрытые фильтры или трансформации.

• Анализ файла DataModel — структура данных.

• Анализ логов Qlik Sense Server (Repository база данных PostgreSQL) — кто, когда, какие изменения вносил.

Глава 9. Кейс № 3: Восстановление удаленной истории обновлений Qlik Sense из логов Repository

Техническая фабула: Компания подала иск к экс-администратору, который перед увольнением удалил историю обновлений дашборда Qlik Sense.

Эксперты:

• Получили доступ к серверу Qlik Sense.

• Проанализировали базу данных Repository (PostgreSQL).

• Извлекли из таблицы logs (которая не очищается стандартными средствами) записи о всех обновлениях приложения за 2 года.

• Восстановили 234 записи о том, что менеджер изменял скрипты загрузки данных, завышая показатели.

• Сопоставили с IP-адресами из логов доступа.

Суд удовлетворил иск.

Глава 10. Инженерный анализ логов BI-серверов (Power BI Service, Tableau Server)

Логи BI-серверов — ценный источник информации. Методология:

• Power BI Service — через Office 365 Management Activity API можно получить логи: CreateReport, DeleteReport, UpdateReport, ViewReport.

• Tableau Server — журналы vizportal, backgrounder, dataserver.

• Анализ — поиск аномалий: массовый экспорт отчетов в нерабочее время; изменение источников данных перед аудитом; удаление критических дашбордов.

• Сопоставление с другими источниками — логи AD, логи VPN.

Глава 11. Методология восстановления удаленных отчетов из резервных копий

Удаление отчета в BI не всегда окончательно. Методология восстановления:

• Облачные BI — запрос к провайдеру резервной копии (Power BI Service хранит бэкапы 30 дней; Tableau Online — по запросу).

• On-premise — восстановление из собственных SQL-бэкапов БД репозитория.

• Desktop BI — анализ теневых копий Windows (VSS), корзины, временных файлов.

• Оценка полноты — коэффициент восстановления R = N_восстановленных / N_удаленных (по логам).

Глава 12. Инженерный анализ ETL-процессов (Power Query, Tableau Prep, Qlik Load Script)

ETL-скрипты часто содержат «закладки» — скрытые фильтры, трансформации, корректировки. Методология:

• Power Query (M) — анализ кода M-языка: поиск конструкций Table.SelectRows с условиями, удаляющими определенные строки; Table.TransformColumns с подозрительными вычислениями.

• Tableau Prep — анализ .tfl файлов.

• Qlik Load Script — анализ скриптов на наличие WHERE условий, DROP TABLE.

• Сравнение с эталонной версией — diff скриптов из резервных копий.

Глава 13. Методология перекрестной верификации данных BI с источниками

Данные в BI-отчетах — это агрегация из источников (ERP, CRM, базы данных). Методология:

• Идентификация источников — анализ подключений в файле отчета.

• Запрос выгрузки данных из источников по судебному определению.

• Сравнение — повторный запуск ETL на тестовой среде и сравнение результата с BI-отчетом.

• Вычисление меры расхождения Δ = |X_bi — X_source| / X_source. Ненулевое расхождение доказывает подмену данных в BI.

Глава 14. Инженерная оценка достоверности и целостности отчетов BI

Метрологический подход:

• Проверка хеш-сумм файлов отчетов.

• Сравнение с резервными копиями — наличие идентичных файлов за прошлые периоды подтверждает неизменность.

• Перекрестная верификация — сопоставление данных отчета с данными из первичных источников (ERP, CRM, Excel).

• Статистическая оценка аномалий — для выявленных расхождений вычисляется вероятность случайного возникновения.

• Указание погрешности — для числовых показателей.

Глава 15. Заключение: инженерная экспертиза BI — фундамент правосудия

Инженерная экспертиза систем BI для подачи иска в суд — это сложная, но формализованная дисциплина, требующая знаний форматов файлов (.pbix, .twb, .qvf), языков запросов (DAX, M, MDX), логов BI-серверов и методов восстановления данных.

В статье представлена методология: классификация, консервация, анализ файлов Power BI (DAX), Tableau (XML), Qlik (скрипты), анализ логов серверов, восстановление удаленных отчетов, анализ ETL-процессов, перекрестная верификация с источниками. Три кейса (подмена KPI в Power BI, смена источника в Tableau, восстановление из логов Qlik) демонстрируют практическую применимость.

Повторим ключевую фразу: инженерная экспертиза систем BI для подачи иска в суд — единственный способ получить инженерно обоснованные доказательства из BI-отчетов. Союз «Федерация судебных экспертов» (https://kompexp.ru/) готов помочь. Обращайтесь! 🟩