В петък сутринта през февруари 2025 г. служителите на голяма застрахователна компания в България отварят системите си и виждат съобщение, което те не са писали. Файловете са криптирани. На екрана – искане за откуп в размер на няколко милиона евро. Приблизително 7% от годишния премиен приход на дружеството.

До обяд уебсайтът на компанията излиза с обяснение, което не обяснява нищо. „Технически затруднения." Клиентите не разбират какво е станало. Служителите получават инструкция да не коментират. Регулаторът е уведомен. Полицията – също.

И после – тишина. Цяла година.

Никаква информация за инцидента не достига до публичното пространство до пролетта на 2026 г., когато информацията стига до медиите. Дали е бил платен откуп – все още не е ясно. Дали данните на клиентите са изтекли – също. Компанията решава един конкретен въпрос: как да продължи да работи, без някой да разбере какво се е случило.

Този модел е глобален.

Осем скрити за всяка една призната

Изследователската компания BlackFog проследява ransomware атаките в реално време. За първите три месеца на 2026 г. регистрира 264 публично оповестени случая. И още 2160, за които никой не е чул. Съотношението е едно към осем. За всяка публична история за „пробит“ бизнес има осем компании, които плащат тихо, наемат forensic екипи със споразумение за конфиденциалност (NDA), сменят ключовете и продължават да работят – така сякаш нищо не е било.

В списъка на скритите пробиви има корпорации от Fortune 500, банки, застрахователи, здравни оператори. Компании с борд, с одитори, с юрисконсулти. Мълчанието е стратегия.

Когато финансовият директор седне с юрисконсулта и главния служител по сигурността, сметката изглежда почти рационална. Хакерите искат няколко милиона. Възстановяването от резервни копия ще спре оперативната дейност за седмици. Публичното оповестяване ще свали борсовата цена, ще привлече колективни искове, ще предизвика проверки от регулатора, ще накара клиентите да питат дали техните данни са били сред откраднатите.

Изводът обикновено е един и същ. Скритото плащане излиза в пъти по-евтино от честното признание.

Данните на Chainalysis за 2025 г. потвърждават тази логика в цифри. Общият обем на платените откупи в криптовалута спада с 8% до 820 милиона долара. Едновременно с това броят на публично обявените жертви на leak сайтове расте с 50% – над 8 000 организации за годината. Повече компании попадат в публичните списъци на групите за изнудване, по-малка част от жертвите плащат, но средният размер на откупа расте рязко – до близо 60 000 долара. За една година тази цифра е нараснала близо четири пъти.

Пазарът се пренасочва. Големите жертви отказват. Малките и средните плащат бързо и мълчат.

Change Healthcare: когато плащането не купува мълчание

Най-показателната история от последните две години идва от американското здравно подразделение Change Healthcare. През февруари 2024 г. компанията плати 22 милиона долара на групата BlackCat, за да си върне данните и да ги запази от изтичане. Групата взе парите и изчезна.

Данните на 193 милиона души – най-голямата загуба на здравна информация в историята на САЩ – бяха публикувани въпреки плащането. Общите щети за компанията-майка UnitedHealth: 3,09 милиарда долара. Плащането не спря изтичането. Само отложи момента, в който мащабът на пробива стана публичен.

Chainalysis отбелязва още нещо – цената на достъпа спада. Плащанията на брокери за първоначален достъп, хакери, които пробиват мрежа и продават входа на следваща група, са паднали до 439 долара средно, спрямо 1427 долара през 2023 г. Достъпът до компания, която е платила милиони, за да остане тиха, се препродава днес за по-малко от 800 лева.

Регулаторите губят търпение

Change Healthcare промени и правната сметка. Комисията по ценни книжа и борси в САЩ изисква публичните компании да оповестяват съществените кибер инциденти в рамките на четири работни дни. През октомври 2024 г. падат първите санкции – четири компании (Unisys, Avaya, Check Point, Mimecast) получават общо над 7 милиона долара глоби за подвеждащо оповестяване на кибер инциденти. Няколко седмици по-късно, Intercontinental Exchange – собственик на Нюйоркската фондова борса – се съгласява да плати 10 милиона долара за забавено докладване.

Има обаче и по-тежък прецедент, който главните служители по сигурността в цял свят следят внимателно. През октомври 2022 г. федерален съд в Калифорния признава Джо Съливан – главен служител по сигурността на Uber – за виновен по два федерални състава: препятстване на разследване и укриване на престъпление. Съливан е платил 100 000 долара в биткойн на хакерите, пробили Uber през 2016 г., и ги е накарал да подпишат договор. Плащането беше представено като награда за етично разкриване на уязвимост – рутинна програма, в която компаниите плащат на изследователи, откриващи слабости в системите им. Присъдата – 3 години условно и 50 000 долара глоба – беше по-мека от очакваната. Съдията добави обаче предупреждение, което вече се цитира в курсовете по корпоративно управление:

„Ако имам подобен случай утре, дори ако подсъдимият е с характера на Папа Франциск, той ще влезе в затвора."

Европейската версия на същата логика е NIS2. В България директивата беше транспонирана със закъснение. Парламентът приема измененията на Закона за киберсигурност едва на 5 февруари 2026 г., след като Европейската комисия започна процедура за нарушение и отнесе случая до Съда на ЕС.

Новите правила изискват засегнатите организации да подадат ранно предупреждение до CERT.bg в рамките на 24 часа от откриването на инцидент. Санкциите достигат 10 милиона евро или 2% от глобалния оборот.

Досегашният модел „платихме, оправихме, никой не научи" вече може да има правни последици. При определени обстоятелства мълчанието се превръща в укриване.

Ситуацията у нас

Bloomberg цитира експерт от индустрията с една от най-точните формулировки за местната култура около инцидентите:

„Много лоша практика е, че бизнесът си позволява да плати откупа и да не го обяви, мислейки си, че ще „замете“ този инцидент, защото се приема за срамен проблем. Това отваря една зееща дупка, която няма край."

Числата подкрепят това наблюдение. Според данни на Check Point Research от 2025 г., компаниите в България са били атакувани средно 1650 пъти на седмица през последното полугодие.

Според ГДБОП, минимум 10 бизнеса всеки месец губят от стотици хиляди до милиони левове. Публично известните инциденти са няколко на година. Разликата между тези числа е точно тъмната зона, за която целият текст говори.

Застрахователният случай, с който започнахме, е една конкретна илюстрация.

В тази среда ролята на доставчици на решения за киберсигурност като А1 е да помогнат на компаниите да подготвят процеса преди инцидента: как се открива пробив, кой взема решения, кога се уведомяват институциите, как се пазят доказателства и как се възстановява работата без прибързани плащания. При открити несъответствия експертните екипи на А1 препоръчват и подходящи за конкретния бизнес професионални решения за киберзащита на данните – Cyber Backup, ИТ системите, устройствата – A1 Endpoint Protect със SentinelOne. При ransomware кризата най-опасният момент често не е самата атака, а първите часове след нея, когато паниката може да замени процедурата.

Трите цени

Мълчанието има три цени, които рядко се сумират в една таблица.

Първата е репутационна и идва по-късно от очакваното. Всяко скрито плащане финансира следващата атака – статистически с висока вероятност срещу компания в същия сектор, използваща същите инструменти, с подобна уязвимост. Индустриите, в които мълчанието е норма, стават по-уязвими за целия сектор, защото никой не се учи от чуждите грешки.

Втората е регулаторна. С влизането на NIS2 в България мълчанието вече е нарушение. Компаниите, които не докладват в 24-часовия прозорец, поемат отговорност, която далеч надвишава първоначалния откуп.

Третата е екзистенциална. Плащането не гарантира изтриване на данните. Те продължават да съществуват, преминават през ръцете на брокери и в един момент се появяват на място, което няма как да бъде контролирано.

Компанията, която платила за тишина, обикновено купува само време. И то се оказва много по-скъпо от истината.