Пробив в потребителска база в Сърбия доведе до изтичане на данни, изнудване и международно разследване
Хората обичат историите за сривове. Има нещо утешително в това да видиш как нещо се чупи шумно, да знаеш къде е проблемът, кой е виновен, кога е започнало.
Истински неприятните ситуации нямат толкова ясна история.
Те започват с една версия, после с втора, после с опит двете да бъдат държани едновременно. Отвън всичко изглежда подредено, защото трябва да изглежда така. Отвътре картината се сглобява в движение, с липсващи части и хора, които говорят за едно и също, но използват различни езици.
Решения се взимат, преди да има пълна информация, после се променят, после се обясняват със задна дата. Всеки е в процес, никой не е в контрол. И колкото по-дълго продължава това, толкова по-малко има значение как е започнало всичко.
Затова най-скъпата част от един киберпробив често не е самата атака, а денят след нея.
Данните са достатъчно ясни. В проучване на Absolute Security сред 750 директори по информационна сигурност 55% казват, че организацията им е преживяла кибератака, рансъмуер или пробив през последните 12 месеца. От тях 57% посочват, че възстановяването е отнело повече от 4,5 дни, а при 19% усилията са продължили до две седмици. Нито един не отчита пълно възстановяване в рамките на ден. Финансовите вреди достигат средно 2,5 млн. долара на инцидент. Това е фазата, в която се натрупват щетите.
Институционалните анализи описват същия модел. В реален случай, разгледан от американската агенция по киберсигурност CISA през 2025 г., атакуващите остават в системите продължително време не заради липса на технологии, а заради пропуски в управлението. Уязвимостта е била известна, но неотстранена. План за реакция е съществувал, но не е бил упражняван. Сигналите от системите за наблюдение не са били следени последователно.
Резултатът е забавена реакция и по-дълго „присъствие“ на атакуващите в инфраструктурата. Изводът е прост – инструментите не компенсират липсата на координация.
През последните дни Telekom Srbija потвърди пробив в част от потребителската си база, свързана със сателитната услуга m:SAT TV. Първоначалната комуникация беше внимателна – засегнат е ограничен обем данни, основните услуги работят без прекъсване, няма риск за мрежата.
Само че още в рамките на часове тази версия започна да се разширява.
Появиха се данни за около 160 000 потребителски записа, включително имена, адреси, дати на раждане, телефони и идентификационни номера. Компанията потвърди и опит за изнудване, като комуникацията с извършителите се води съвместно със сръбското Министерство на вътрешните работи. Включи се прокуратурата, започна разследване с участие на специализирани звена за киберпрестъпления, Интерпол и международни партньори.
Това вече не е „ограничен инцидент“, а многопластова криза с паралелни процеси – технически, правни и комуникационни, които се развиват едновременно и при различна степен на яснота.
Значението му се засилва и от контекста на самата услуга. Telekom Srbija през последните години консолидира сателитните си платформи и прехвърля значителни потребителски бази към собствена инфраструктура в региона. Това превръща подобни системи в част от по-широка операционна зависимост, а не в изолиран продукт. Именно в такава среда реакцията след инцидент има по-голямо значение от самия инцидент.
При Telekom Srbija техническата част бързо остава само един от елементите. Паралелно текат комуникация с клиенти, координация с органите на реда, оценка на обхвата, ограничения на достъпа и поддържане на нормална работа. Тези процеси не са синхронни и изискват различни решения в различни моменти.
Разследването предполага контрол и дискретност, докато клиентите очакват яснота. Ограничаването на достъпи намалява риска, но може да забави операциите. В резултат организацията започва да работи в режим на постоянен компромис.
Същият модел се вижда и в проучванията. В последния глобален анализ на Verizon са разгледани над 22 000 инцидента, от които над 12 000 са потвърдени пробиви. В почти една трета има участие на външни партньори, експлоатацията на уязвимости нараства с над една трета, а рансъмуерът присъства в близо половината случаи.
Европейската рамка вече го формулира ясно. През юни 2025 г. Съветът на ЕС прие план за реакция при киберкризи, който поставя координацията между технически екипи, управление и публична комуникация в центъра на отговора при инциденти. В документа се подчертава, че управлението на последствията е също толкова критично, колкото и ограничаването на самата атака.
В България този модел вече има конкретни измерения. С измененията в Закона за киберсигурност от февруари 2026 г. обхватът се разширява към широк набор от сектори, включително производство, логистика, куриерски услуги и ИКТ. Въвеждат се кратки срокове за уведомяване – до 24 часа за първоначален сигнал и до 72 часа за последваща информация. Ако това може да се случи в компания като Telekom Srbija, с ИТ отдел и подготвен план за реакция, то перспективите пред по-малките или не толкова технологично подготвени фирми, изглеждат още по-мрачни. Затова водещият системен интегратор в България А1 предлага на корпоративните си клиенти професионални решения за киберсигурност и въвеждане на политики, чрез които да се предпазят от потенциални заплахи от този тип. Сред тях са и специално обособени пакети за постигане на съответствие с изискванията на обновения закон за киберсигурност, който вече включва и мерките, очертани от ЕС директивата NIS2.
Това означава, че реакцията започва преди да има пълна картина, а решенията се взимат паралелно с разследването и под регулаторен натиск. Отговорността е изрично поставена на ниво висше ръководство.
Случаят с Telekom Srbija показва как изглежда това на практика. Няма срив на услуги и няма момент на катастрофа. В същото време са налице всички елементи на сложна криза – изтичане на данни, изнудване, институционално разследване и необходимост от внимателна комуникация.
Това е типът инцидент, при който щетата не се случва наведнъж. Организацията продължава да работи, но под натиск от решения, които неизбежно имат цена.
Именно този период определя реалната стойност на кризата. Не самият пробив, а управлението след него – колко бързо се взимат решения, доколко са координирани и как се отразяват върху доверието и операциите.
