Киберсигурността в България: между елементарните грешки и NIS 2

Българският бизнес продължава да изостава в прилагането на добри практики по киберсигурност, като основната слабост остават елементарните грешки на служителите, става ясно от анализ на ситуацията в страната.

Според Любомир Тулев, специалист по киберсигурност и основател и изпълнителен директор на CyberXperts, над 70% от успешните кибератаки у нас стават заради изтичане на потребителско име и парола на служители. „Редовната смяна на пароли и двуфакторната верификация могат да предотвратят голяма част от пробивите без допълнителни разходи“, коментира той.

В същото време, компаниите у нас се оказват неподготвени за новия европейски регламент NIS 2, който вече е в сила и в България. „Много фирми бъркат NIS 2 с GDPR, но реално изискванията са коренно различни. NIS 2 изисква конкретни технически и административни мерки, а не само политики и процедури“, обяснява Тулев.

България прие и обнародва Закона за транспониране на NIS 2 едва през февруари 2025 г., със закъснение спрямо крайния срок от 17 октомври 2024 г. Регламентът предвижда сериозни санкции за неспазване – за собствениците глобите варират между 500 и 5 000 евро, а за компании от критични сектори могат да достигнат до 2% от глобалния годишен оборот.

Рисковете от кибератаки продължават да растат, като новият инструмент в ръцете на злонамерените лица е изкуственият интелект. Компанията Anthropic разработва AI модел на име Mythos, насочен към офанзивна киберсигурност. Той е способен да анализира код и критична инфраструктура, като открива неизвестни уязвимости. Моделът все още не е пуснат за общо ползване и преминава през проверка, но вече предизвиква сериозен интерес, включително от Европейската комисия и германските власти, които искат да го тестват върху банкова инфраструктура.

Пример за рисковете от подобни атаки е инцидентът от 2022 г., когато за първи път в света бе осъществена триизмерна атака срещу CEO на клон на китайска банка в Хонконг, довела до кражба на 17 млн. евро. Подобни атаки, подпомогнати от AI, могат да бъдат насочени и към български компании, особено ако те не предприемат необходимите мерки за защита.

Въпреки сериозността на заплахата, нивото на киберсигурност в българския бизнес остава ниско. „Компаниите трябва да осъзнаят, че киберсигурността не е разход, а инвестиция в бъдещето им. Забавянето с NIS 2 е показателно за липсата на зрялост в тази сфера“, заключава Любомир Тулев.