Някой напуска компанията в петък. В понеделник служебният му профил още работи. Никой не бърза да го спре. Няма инцидент, няма аларма. Само един „временен“ достъп, който остава активен.

Месеци по-късно точно такива пропуски често се оказват входната врата за проблеми. Сериозни проблеми.

В киберсигурността това рядко изглежда като на филм, в който хакери от Азия с черни качулки цъкат по клавиатурата и прибират печалбата. По-често прилича на управленска немарливост, която се натрупва тихо, докато един ден не стане публичен проблем.

Докладите IBM Cost of a Data Breach от години сочат една и съща тенденция. Компрометираните идентификационни данни са сред най-честите начални вектори за пробив и сред най-скъпите като последици. В последните издания на изследването този тип инциденти водят до щети от средно над 4 млн. долара на пробив, а времето за откриване и овладяване често надхвърля 9 месеца. Тези числа са базирани на реални случаи, събирани от стотици организации по света.

Проблемът не е в това, че някой „хаква“ системата. Всичко лошо произлиза от това, че системата вече познава нападателя.

Такъв е контекстът, в който избухва и случаят с нидерландската телекомуникационна компания Odido. В началото на 2026 г. компанията потвърждава, че при киберинцидент е получен достъп до данни на приблизително 6,2 милиона клиенти. Става дума за имена, адреси, дати на раждане, телефонни номера, имейли и в отделни случаи чувствителни идентификационни данни. Това е обем информация, който позволява пълноценна кражба на самоличност.

Първоначалните данни от разследването, цитирани в нидерландски и международни медии, сочат, че нападателите са използвали социално инженерство и фишинг, представяйки се за IT персонал от компанията, за да получат достъп до служебни акаунти. През тях са влезли в системи за обслужване на клиенти и са извлекли данни за около 6,2 млн. потребители.

CRM вече е обект на стратегическа отговорност. Пробивът в потребителските данни на една компания може да направи повече щети от финансов скандал, защото нарушава основната валута на бизнеса - личната връзка с клиента

Пробив в доверието: CRM системите са новото слабо звено на бизнеса

Важно е какво стои зад този механизъм. Подобни атаки работят именно защото в големи организации съществуват множество акаунти с широки права за достъп — за обслужване на клиенти, външни доставчици, поддръжка на системи. Колкото по-сложна е инфраструктурата и колкото повече години се наслагват системи и доставчици, толкова повече „легитимни“ входни точки има.

Услугите на Odido не спират. Няма срив на мрежата. Няма драматични кадри. Но данните вече са извън контрола на компанията. А това е проблем, който не може да се „рестартира“.

Още по-показателен, макар и по-малък като мащаб, е случаят с международната верига детски градини Kido във Великобритания. Историята излиза извън IT страниците на медиите, защото засяга малки деца и техните семейства. За родители това вече е по-скоро истински кошмар, отколкото административен провал.

По информация от британски медии и разследванията по случая, достъп е получен до вътрешни системи на веригата, използвани за администрация и комуникация с родители. Оттам са извлечени записи, за които някои медии твърдят, че засягат 8 000 деца и техните семейства.

Компрометираната информация включва имена, дати на раждане, домашни адреси, имейли и телефонни номера. В част от случаите става дума и за снимки от вътрешни платформи, използвани за споделяне на информация с родителите.

След атаката част от данните се появяват в хакерски форуми, а родителите са уведомени от компанията и от местните регулатори. Някои семейства съобщават за последващи подозрителни контакти, включително опити за измами.

Застраховка срещу кибератаки купува време и ресурси след пробив - истинската устойчивост обаче се гради с вътрешни мерки и дигитална хигиена

Цената на кибератаката: Кой какво плаща, когато компаниите нямат защита

След пробива групата, поела отговорност за атаката, първоначално публикува част от данните като доказателство за достъп и отправя искане за откуп. Случаят предизвиква силна обществена реакция във Великобритания именно заради данните за деца. Под този натиск хакерите по-късно заявяват в комуникация с компанията, че са премахнали информацията от публичните си канали.

Проблемът е, че в момента, в който данни се появят в хакерски форуми или изтекат извън контрола на организацията, няма механизъм, който да гарантира, че не са копирани от трети страни. Затова и британски експерти по киберсигурност коментират, че подобни твърдения имат ограничен ефект - веднъж изтекли, данните могат да продължат да циркулират в затворени канали независимо от първоначалния източник.

По публично достъпната информация няма индикации за сложен технически пробив в инфраструктурата. Става дума за достъп до системи, които по дизайн са предназначени за служители и администратори. Точно тези среди често включват и външни софтуерни доставчици и поддръжка, което увеличава броя на хората с легитимен достъп.

Последствията обаче са същите като при големите корпоративни пробиви: регулаторни проверки, задължение за уведомяване на засегнатите лица, репутационен удар и дългосрочен риск за засегнатите семейства.

Ако такива зашеметяващи въображението инциденти могат да се случат на големи, международни компании, то заплахите са в пъти по-сериозни, когато става дума за малък или среден бизнес, без специализиран IT екип и политики.

Текучеството, аутсорсингът и хибридната работа създават среди, в които достъпите се дават бързо, но се отнемат бавно. А „наследените“ акаунти, създадени за проекти отпреди години, остават да живеят собствен живот.

В български контекст това звучи познато. Много компании работят с комбинация от вътрешни IT екипи и външни предприятия. Системи се надграждат на пластове. Права за достъп се дават „временно“, но рядко се ревизират системно. При смяна на роля или напускане формалното изтриване на акаунти невинаги е първи приоритет. Това не е злонамереност. Това е управленска рутина, която подценява риска.

Междувременно зависимостта от данни расте. Финтех компании, логистични оператори, онлайн търговия и общо взето всичко дигитално. Тези бизнеси съхраняват масиви от лична информация, която има реална пазарна стойност за престъпни групи.

В началото на 2026 г. България направи ключова стъпка, като прие изменения в Закона за киберсигурност, с които националното законодателство вече е приведено в съответствие с изискванията на европейската директива NIS2. Това не е само техническа актуализация: обхватът на регулираните сектори се разширява до 18 области, включително производство, пощенски и куриерски услуги, управление на отпадъци и ИКТ услуги, а висшето ръководство на компаниите получава лична отговорност за управлението на киберриска.

За по-малките компании изискванията на NIS2 често изглеждат като сложен и ресурсоемък процес – от тълкуването на регулаторните текстове до изграждането на реални политики и механизми за контрол. Именно тук ролята на доверения технологичен партньор става ключова. А1 подпомага бизнеса със структурирани пакети за постигане на съответствие – „NIS2 – анализи, процеси, процедури“, „NIS2 – професионални услуги“ и „NIS2 – услуги за киберсигурност“, които обединяват оценка на риска, изграждане на вътрешни политики, внедряване на технологични решения и постоянен мониторинг. В технологичния слой решения като A1 Endpoint Protect осигуряват защита на крайните устройства срещу зловреден софтуер и ransomware, а Security Operations Center (SOC) предоставя 24/7 наблюдение и анализ на заплахи, така че инцидентите да бъдат откривани и управлявани в реално време. A1 Cyber Backup допълва защитата с надеждно архивиране и възстановяване на данни, което минимизира оперативните щети при инцидент. Така компаниите могат да покрият законовите изисквания по предвидим и управляем начин, без да изграждат сложна инфраструктура от нулата и без да отклоняват значителен ресурс от основната си дейност.

Новите правила установяват и по-строги срокове за докладване на инциденти – значим пробив трябва да бъде съобщен до 24 часа след установяването му, с актуализация до 72 часа и окончателен отчет до един месец. Затова е важно дори и малките фирми да обърнат сериозно внимание на защитата на ценната информация и ИТ системи.

Пропуските в киберхигиената вече имат и финансова тежест: санкциите за неспазване достигат до 10 милиона евро или 2% от глобалния годишен оборот на компанията при по-сериозни нарушения.

Но това задава минимум. Промените не могат да компенсират липсата на реален контрол върху достъпите и отговорностите. Законът не следи кой какво е направил със забравен акаунт на служителя X.