Методологическое руководство

Системы Business Intelligence (BI) — Power BI, Tableau, Qlik Sense, SAP BusinessObjects, Oracle BI, Yandex DataLens — стали критически важными инструментами управления бизнесом. Они агрегируют данные из множества источников (ERP, CRM, баз данных, файлов Excel) и представляют их в виде отчетов, дашбордов и визуализаций. Когда возникает судебный спор — о фальсификации отчетности, о недостоверности управленческих данных, о хищениях через искажение KPI — именно отчеты BI становятся ключевым доказательством. Однако суд не может принять распечатку дашборда как безусловную истину. Как доказать, что данные в отчете были сфальсифицированы? Как восстановить историю изменений отчета? Как выявить, кто и когда подменял источники данных? Ответы на эти вопросы дает экспертиза систем BI для подачи иска в суд.

Союз «Федерация судебных экспертов» (сайт: https://kompexp.ru/) разработал методологию исследования BI-систем, объединяющую принципы цифровой криминалистики, анализа логов, восстановления данных и процессуального права. В данной статье, написанной в методологическом ключе, мы представим: классификацию BI-систем, методы извлечения и консервации данных, анализ файлов отчетов, исследование логов BI-серверов, восстановление удаленной истории, перекрестную верификацию с источниками, а также приведем три реальных кейса. Статья предназначена для экспертов, юристов и IT-специалистов.

Глава 1. Методологические основы экспертизы BI-систем

BI-системы — это программные платформы для сбора, обработки и визуализации данных из различных источников. Архитектура типовой BI-системы включает: уровень источников данных (базы данных, файлы, API, облачные хранилища); уровень ETL/ELT (извлечение, трансформация, загрузка); уровень хранилища данных (Data Warehouse, Data Mart); уровень семантической модели (метаданные, связи, вычисления); уровень визуализации (дашборды, отчеты, графики). Экспертиза систем BI для подачи иска в суд требует понимания всех этих уровней и методов их исследования.

Научная методология базируется на синтезе дисциплин: цифровая криминалистика — анализ логов BI-сервера, журналов запуска отчетов, логов доступа; анализ данных — проверка целостности и согласованности данных из разных источников; формальная верификация — анализ формул и вычислений в семантической модели.

Глава 2. Классификация BI-систем и источников доказательств

Для экспертизы критична классификация по типу развертывания и архитектуре.

• Облачные BI — Power BI Service, Tableau Online, Qlik Cloud, Yandex DataLens. Данные и журналы хранятся у провайдера. Экспертиза через API, выгрузку метаданных, запрос резервных копий.

• On-premise BI — Power BI Report Server, Tableau Server, Qlik Sense Enterprise, SAP BusinessObjects. Эксперт может получить доступ к серверу, создать образ диска, проанализировать логи и БД.

• Desktop BI — Power BI Desktop, Tableau Desktop, Qlik Desktop. Файлы отчетов (.pbix, .twb, .qvf) хранятся локально.

Источники доказательств по степени надежности: Уровень A — логи BI-сервера (наивысшая надежность, трудно подделать). Уровень B — резервные копии файлов отчетов. Уровень C — метаданные семантической модели. Уровень D — ETL-скрипты. Уровень E — файлы отчетов в текущем состоянии.

Глава 3. Методология консервации и извлечения данных из BI-систем

Сохранение доказательств — первый и критический этап. Методология Союза «Федерация судебных экспертов»:

• Для облачных BI — выгрузка метаданных через API, запрос логов доступа у провайдера (Office 365 Management Activity API для Power BI), нотариальный осмотр дашбордов.

• Для on-premise — graceful shutdown сервера, создание побитовых образов дисков с помощью аппаратных write-blocker-ов, затем анализ файлов БД и логов.

• Для Desktop BI — изъятие и консервация файлов .pbix, .twb/.twbx, .qvf с фиксацией хеш-сумм SHA-256.

• Фиксация времени — все действия документируются, chain of custody обязательна.

Глава 4. Методология анализа файлов Power BI (.pbix)

Power BI — одна из самых популярных BI-систем. Файл .pbix — это ZIP-архив. Методология анализа:

• Распаковка — 7-zip или встроенные средства.

• Анализ DataModelSchema (JSON-файл) — поиск подозрительных мер DAX: IF(MAX(Table[Date]) = DATE(…), [Value]*K, [Value]), скрытые умножения, деления.

• Анализ DataModelStorage — извлечение данных и сравнение с исходными источниками.

• Анализ Connections — проверка, не был ли источник подменен (Server, Database).

• Анализ метаданных — дата создания, изменения, автор (если сохранились в свойствах).

• Сравнение версий — анализ различий между несколькими .pbix (если сохранялись).

Глава 5. Кейс № 1: Анализ DAX-формулы в Power BI, выявивший завышение KPI на 25%

Техническая фабула: Акционеры заподозрили генерального директора в завышении KPI для получения бонуса.

Эксперты применили методологию:

• Изъяли файлы .pbix за 6 месяцев.

• Распаковали каждый.

• Проанализировали DataModelSchema. Нашли меру DAX: KPI_Actual = IF(MAX(Table[Date]) = DATE(2023,12,31), [Revenue]*1.25, [Revenue]).

• Сравнили с предыдущими версиями .pbix — в версии от 01.12.2023 этой меры не было, она появилась 20.12.2023.

• В метаданных файла нашли идентификатор автора изменения.

• Сопоставили с логами Power BI Service — изменение внес пользователь с ID генерального директора.

Суд удовлетворил иск.

Глава 6. Методология анализа Tableau (.twb/.twbx)

Tableau использует .twb (XML) и .twbx (ZIP-архив с данными). Методология:

• Для .twbx — распаковка.

• Анализ XML — поиск тегов: <connection> (источники данных), <calculated-field> (вычисляемые поля). Подозрительные формулы: IF [Date] = #2023-12-31# THEN [Revenue]*1.25 ELSE [Revenue] END.

• Анализ экстрактов (.hyper) — извлечение данных, сравнение с исходными.

• Анализ логов Tableau Server — таблицы _connections, _history в базе данных репозитория (PostgreSQL).

• Восстановление истории — из логов можно узнать, кто и когда изменял источники данных, запускал обновления.

Глава 7. Кейс № 2: Анализ логов Tableau Server, выявивший подмену источника данных перед аудитом

Техническая фабула: Компания готовилась к аудиту. За день до аудита финансовый директор изменил источник данных в дашборде Tableau с prod_db на audit_copy_db.

Эксперты:

• Изъяли логи Tableau Server.

• Проанализировали таблицу _connections в базе данных репозитория.

• Нашли запись: 10.12.2023 14:23:45 — пользователь «fin_director» изменил источник данных для дашборда с prod_db на audit_copy_db.

• IP-адрес изменения совпал с рабочим компьютером финансового директора.

• Эксперты изъяли старую версию дашборда из резервной копии и сравнили данные — расхождение на 56 млн руб.

Суд удовлетворил иск.

Глава 8. Методология анализа Qlik Sense (.qvf и Repository)

Qlik Sense хранит приложения в .qvf (ZIP) и использует базу данных Repository (PostgreSQL) для логов. Методология:

• Анализ .qvf — распаковка, анализ файла LoadScript (скрипты загрузки). Поиск подозрительных строк: WHERE условия, отсекающие данные; SET переменные, изменяющие значения; IF условия в скриптах.

• Анализ Repository — таблицы logs, task_log, reload_task. Извлечение истории изменений приложений: кто, когда, какие изменения вносил в скрипты.

• Восстановление удаленных приложений из бэкапов Repository.

• Перекрестная верификация — сравнение данных в .qvf с данными в источниках.

Глава 9. Кейс № 3: Восстановление удаленной истории из базы данных Repository Qlik Sense

Техническая фабула: ООО «Торг-Сервис» подало иск к экс-администратору BI. Администратор удалил историю обновлений.

Эксперты:

• Получили доступ к серверу Qlik Sense.

• Проанализировали базу данных Repository.

• Извлекли из таблицы logs (которая не очищается стандартными средствами) все записи об изменениях приложений за 2 года.

• Восстановили 345 записей, показывающих, что экс-администратор изменял скрипты загрузки данных, завышая показатели на 15–20% перед квартальными отчетами.

• Сопоставили временные метки с логами входа.

Суд удовлетворил иск.

Глава 10. Методология анализа логов BI-серверов (Power BI Service, Tableau Server)

Логи BI-серверов — ценный источник информации. Методология:

• Power BI Service — через Office 365 Management Activity API (или PowerShell) получить логи событий: CreateReport, DeleteReport, UpdateReport, ViewReport, ExportReport.

• Tableau Server — доступ к базе данных репозитория (PostgreSQL), таблицы _connections, _history, _background_tasks.

• Анализ — SQL-запросы для выявления аномалий: массовый экспорт отчетов; изменение источников данных перед аудитом; удаление критических дашбордов; аномальное время активности.

• Сопоставление с другими источниками — IP-адреса из логов сопоставляются с VPN-логами, AD-логами.

Глава 11. Методология восстановления удаленных отчетов из резервных копий

Удаление отчета в BI не всегда окончательно. Методология восстановления:

• Облачные BI — запрос к провайдеру резервной копии (Power BI Service: корзина хранит 90 дней; Tableau Online: по запросу).

• On-premise — восстановление из собственных SQL-бэкапов БД репозитория, из файловых бэкапов.

• Desktop BI — анализ теневых копий Windows (VSS), корзины, временных файлов.

• Оценка полноты — коэффициент восстановления R = N_восстановленных / N_удаленных (по логам).

Глава 12. Методология анализа ETL-процессов (Power Query, Tableau Prep, Qlik Load Script)

ETL-скрипты часто содержат «закладки» — скрытые фильтры, трансформации, корректировки. Методология:

• Power Query (M) — извлечение кода из .pbix (файл DataModelSchema или Report). Поиск конструкций: Table.SelectRows с условиями, Table.TransformColumns с вычислениями, Table.RemoveRows.

• Tableau Prep — анализ .tfl файлов (JSON).

• Qlik Load Script — анализ LoadScript из .qvf. Поиск WHERE, DROP, SET.

• Сравнение с эталонной версией — diff скриптов из резервных копий.

Глава 13. Методология перекрестной верификации данных BI с источниками

Данные в BI-отчетах — это агрегация из источников (ERP, CRM, базы данных). Методология:

• Идентификация источников — анализ подключений в файле отчета.

• Запрос выгрузки данных из источников по судебному определению (ст. 66 АПК РФ).

• Сравнение — повторный запуск ETL на тестовой среде и сравнение результата с BI-отчетом.

• Вычисление меры расхождения Δ = |X_bi — X_source| / X_source. Ненулевое расхождение доказывает подмену данных в BI.

Глава 14. Методология оценки достоверности и целостности отчетов BI

Метрологический подход:

• Проверка хеш-сумм файлов отчетов.

• Сравнение с резервными копиями — наличие идентичных файлов за прошлые периоды подтверждает неизменность.

• Перекрестная верификация — сопоставление данных отчета с данными из первичных источников (ERP, CRM).

• Статистическая оценка аномалий — для выявленных расхождений вычисляется вероятность случайного возникновения (p-value).

• Указание погрешности — для числовых показателей (±0,01%).

Глава 15. Заключение: экспертиза BI — фундамент правосудия

Экспертиза систем BI для подачи иска в суд — это сложная, но формализованная дисциплина, требующая знаний форматов файлов (.pbix, .twb, .qvf), языков запросов (DAX, M, MDX), логов BI-серверов и методов восстановления данных.

В статье представлена методология: классификация, консервация, анализ файлов Power BI (DAX), Tableau (XML, логи репозитория), Qlik (скрипты, Repository), анализ логов серверов, восстановление удаленных отчетов, анализ ETL-процессов, перекрестная верификация с источниками. Три кейса (подмена KPI в Power BI, смена источника в Tableau, восстановление из логов Qlik) демонстрируют практическую применимость.

Повторим ключевую фразу: экспертиза систем BI для подачи иска в суд — единственный способ получить инженерно обоснованные доказательства из BI-отчетов. Союз «Федерация судебных экспертов» (https://kompexp.ru/) готов помочь. Обращайтесь! 🟩