В полном одиночестве вы работаете с бухгалтерской программой. Но кто-то беспристрастно следит за каждым вашим шагом! Все коллеги ушли, а охранник спит. Так кто же это?
Таинственная история
Однажды холодным апрельским утром мне позвонила аудитор и взволнованным голосом рассказала загадочную историю.
Сотрудник аудиторской компании, в которой она работает, открыл бухгалтерскую базу данных у одного из заказчиков. После этого база данных оказалась преобразованной в новый формат, а данные бухгалтерского учета в ней – искаженными.
На следующее утро представители обеих сторон собрались за большим столом в офисе заказчика. Несколько минут я сидел, не говоря ни слова, и, наслаждаясь терпким ароматом чая, пристально рассматривал каждого участника встречи. Помещение было наполнено шумом людской речи. Все говорили в один голос, и каждый пытался доказать свою невиновность.
Положив перед собой чистый лист бумаги, я громко произнес: «Прошу внимания! Теперь все молчат. Я задаю вопросы, и только тот, кого спрашиваю, мне отвечает». Через пять минут общими усилиями была восстановлена хронология таинственного происшествия.
Около десяти часов утра в офис заказчика приезжает аудитор. Со своего ноутбука он входит в сеть и открывает базу данных. При этом его действиями по телефону руководит внештатный системный администратор заказчика. После этого никто из бухгалтерии заказчика базу данных открыть уже не может.
Заказчик понимает: что-то произошло, и вызывает системного администратора. Около двух часов дня он приезжает, и уже через час бухгалтерия возобновляет свою работу. Казалось бы, все хорошо, но на следующее утро выясняется, что баланс по некоторым счетам нарушен.
Наступила минута тишины. Разгадка, казалось, была где-то рядом... «Для собравшихся будет откровением, что база данных фиксирует абсолютно все действия пользователей. Давайте вместе рассмотрим записи этого электронного протокола и найдем истину», – прервал я молчание.
Пара движений мышкой – и на экране монитора возникает хронологический список действий пользователей базы данных. Он рассказал о том, что же произошло на самом деле...
Не хватает знаний?
Поможет решительность!
В 9:57 аудитор пытается открыть базу данных заказчика, но программа сообщает, что база данных нуждается в обновлении. Это происходит потому, что программа на ноутбуке аудитора имеет более новую версию по сравнению с той, которую использует бухгалтерия заказчика.
Несмотря на неоднократные предупреждающие сообщения программы, которые выдаются на русском языке, аудитор, не вчитываясь в них, отвечает на все вопросы утвердительно. В результате в 10:01 база данных оказывается преобразованной в новый формат.
После этого аудитор приступает к работе с базой данных. Бухгалтерия заказчика также пытается открыть базу данных, но безуспешно. Программы на их компьютерах «не понимают» новый формат данных и поэтому «вылетают».
Бойтесь троянцев
Через четыре часа на помощь приезжает бесшабашный системный администратор. Оказывается, что за все время работы он так и не наладил сервер, чтобы каждую ночь автоматически выполнялось создание архивной копии данных. Поэтому назад пути уже нет!
Базу данных в исходное состояние вернуть невозможно. Единственное решение – установить новую версию программы на все компьютеры бухгалтерии. Однако эту новую версию, в которой бухгалтерия заказчика до этого не нуждалась, необходимо еще купить!
Горе-специалист не унывает – он тайком устанавливает последнюю взломанную версию программы и со спокойной совестью уезжает. Уже в 15:05 все сотрудники бухгалтерии вновь работают с базой данных. Внешне новая программа практически не отличается от старой, и поэтому о случившемся быстро забывают.
В бухгалтерии заказчика никто не понимает, какой «подарок» преподнес им их системный администратор. Серьезные программистские фирмы неизбежно откажут в обслуживании взломанной программы. Значит, ее предстоит легально купить, а это уже ощутимые финансовые затраты.
Наша служба и опасна и трудна
Объявлен небольшой перерыв. Все дружно потянулись на кухню за чаем. Можно сказать, что счет встречи был 1:1. Один виновный со стороны аудитора, другой – со стороны заказчика. Однако я чувствовал, что в этом деле есть еще один нечистый на руку игрок.
«Давайте попробуем выполнить преобразование базы данных. Аудитор наглядно продемонстрирует нам, какие действия он при этом предпринимал», – произнес я, когда все собрались вновь. Бухгалтерия заказчика работала с несколькими базами данных, аудитор же преобразовал только одну из них. Я сделал копию базы данных в старом формате для нашего небольшого эксперимента.
И вот уже аудитор понуро и покорно садится за компьютер. Всем показалось, что я хочу лишь наглядно доказать его вину, однако... Я сказал: «Мы печатаем оборотно-сальдовую ведомость по всем счетам. После – преобразуем базу данных». Оборотная ведомость распечатана. Аудитор преобразовывает базу данных.
Я открываю преобразованную базу данных, формирую оборотно-сальдовую ведомость, и... все присутствующие видят, что данные копейка в копейку совпадают с теми, что были ранее распечатаны! В помещении царят всеобщее удивление и замешательство.
И вновь беспристрастные записи протокола работы помогают внести ясность. Мы видим, что главный бухгалтер в тот день задержалась на работе дольше обычного. Записи показывают, что она внесла множество исправлений в прошлогодние документы. При этом правка большинства из них занимала всего 5–7 секунд! Это означает, что человек отлично знал, что делает.
«Сейчас я буду открывать эти документы и попрошу главного бухгалтера отвечать собравшимся так же быстро, как делалась их правка, что именно и зачем в них было исправлено», – сказал я. Первый документ и... долгие запутанные объяснения. Второй – то же самое... И третий...
Документов в тот вечер исправлено было очень много. Разбираться с каждым бессмысленно. Ведь самое главное, в чем убедились участники расследования, что остатки после «сбоя программы» почему-то нарушились именно по тем счетам, проводки по которым формируют исправленные документы.
Уроки истории
Расследование было закончено. Оно развивалось драматически и стремительно. «Дело на одну трубку» – как говаривал великий сыщик Шерлок Холмс. Участники встречи расходились молча.
Надеюсь, этот эпизод из жизни, который произошел совсем недавно, научит нас чему-то. Аудиторы будут работать только с копиями баз данных заказчиков. Системные администраторы непременно наладят ночное архивирование данных. А главные бухгалтеры будут помнить, что в мире нет тайного, что никогда не станет явным.
Ловцы виртуальных улик
После того как вы отправили ненужную информацию в корзину вашего компьютера, она не исчезает бесследно. Например, остаются так называемые скрытые файлы, файлы с ранее внесенными изменениями и т. п. Этот мусор периодически вычищают системные администраторы.
Хлам из обрывков файлов интересует, пожалуй, лишь специалистов в области компьютерно-технической экспертизы – одной из разновидностей экспертизы судебной. В частности, они занимаются восстановлением уничтоженных компьютерных файлов и хронологией изменений, вносимых в программу (следовой картиной преступления). Безусловно, восстановить данные без потерь невозможно, но специалистам достаточно малого. Немного дедукции – и обычные цифры превращаются в отменные иллюстрации использования компьютера: когда, что, где и, главное, кто совершил преступление.
Эксперты далеко не всегда ищут файлы с отчетами по «черной» бухгалтерии. Нередко к ним обращаются руководители фирм, уверенные, что бухгалтер совершил подлог и присвоил энную денежную сумму. Одно из таких экспертных заключений хранится вместе с уголовным делом № 031-0461-98 в архиве Привокзального суда г. Тулы. Бухгалтер знала, что каждое ее действие фиксирует протокол работы пользователей, и даже внесла в него изменения, чтобы скрыть преступление. Уловка не помогла. Экспертиза зафиксировала несанкционированное изменение протокола и определила, каким образом «обвиняемая совершила хищение товарно-материальных ценностей на крупную сумму». Подробности – в следующих номерах журнала.
Антон СЕКАЧЁВ
Статья получена: Клерк.Ру