През последните години все повече кибератаки не започват с пробив в инфраструктурата, а с достъп, който вече съществува – откраднат, купен, сглобен от различни източници.
Има една граница, която хората дълго време приемахме за сигурна.
Можеш да изгубиш данни. Можеш да изгубиш пари. Можеш дори да изгубиш контрол върху система. Но поне няма как да останеш без самоличността си. Ако нещо се случва от твое име, то ти стоиш зад него.
През последните години видяхме, че не можем да приемем това за даденост. Не защото някой е станал по-добър в това да „се представя“ вместо вас, а защото корпоративните системи отдавна са спрели да работят с хора, а разчитат на достъпи.
В тях няма „ти“, има профил, права и история на действията. Ако всичко това се представи последователно, системата приема, че нещата са наред - без да се интересува как изглеждате днес.
През последните години все повече инциденти не започват с пробив в инфраструктурата, а с достъп, който вече съществува – откраднат, купен, сглобен от различни източници. Този достъп не се държи като нападател, а като служител. Влиза в „правилните“ системи, говори с „правилните“ инструменти, прави промени, които изглеждат напълно легитимни. И в един момент засегната система губи способността да различи кой взима решения вътре в нея.
Това се случва в напълно обикновени бизнес процеси, които не изглеждат като „кибератака“, а като нормален работен ден. Реалните примери не са изключение и у нас.
В българска компания, която работи с международни доставчици, кореспонденцията по имейл върви както обикновено – фактури, срокове, потвърждения. В един момент се появява съобщение от партньора с уведомление за промяна на банкова сметка. Тонът е същият, подписът е същият, темата е логична. Няма причина да се поставя под съмнение. Плащането се извършва.
Едва по-късно става ясно, че имейлът е изпратен от човек, който от седмици има достъп до пощата на реалния контрагент. През това време той не прави нищо, което да го издаде – не променя разговорите, не прекъсва процесите, не се набива на очи. Изчаква момент, в който една нормална операция ще мине без допълнителна проверка, и тогава се включва. В практиката това често изглежда почти банално – промяна на един IBAN в имейл, който никой не проверява извън същия канал.
Този модел вече има измерения в България, които трудно могат да се игнорират. Разследвания през последната година показват десетки засегнати компании и щети за милиони евро, включително отделен случай със загуба от над 10 млн. лева.
Компаниите в България рядко говорят публично за подобни казуси. Не защото не се случват, а защото щетата не е само финансова. Тя е и репутационна, и оперативна, и често удря доверието в самата организация. Затова тези истории обикновено остават извън новините и се появяват единствено през фрагменти – експертни оценки, разследвания или анонимизирани примери.
Тази тишина обаче започва да става все по-трудна за поддържане. С въвеждането на новите изисквания за киберсигурност в Европа, известни като NIS2, компаниите вече трябва да докладват значими инциденти и да поемат по-ясна отговорност за управлението на риска. Това означава, че част от тези ситуации, които днес остават скрити, постепенно ще започнат да излизат на повърхността. Технологичната компания А1 предлага на клиентите си специализирани пакети от решения, с които да постигнат съответствие с изискванията на обновения закон. В това число са не само „традиционни“ решения като киберзащита на данните като A1 Cyber Backup, на устройствата Endpoint Protect, или защитни стени от ново поколение. Сред тях са и професионални консултации за установяване на пропуски и подготовка и въвеждане на политиките за сигурност и документацията, която е необходима, за да са организациите едновременно защитени от киберзаплахи, но и изрядни пред закона.
Общото между много от атаките не е технологията, а механизмът – достъп до комуникация, разбиране на процеса и намеса в точния момент. Този тип пробиви се описват най-често като компрометиране на бизнес комуникация (Business Email Compromise) или по-широко – злоупотреба с идентичност.
Според анализи на индустрията именно такива атаки стоят зад значителен дял от финансовите щети при киберинциденти, като при някои изследвания имейл-базираните измами достигат около 60% от всички застрахователни претенции в киберсигурността.
В последните години към тях се добавя и нов слой, свързан с deepfake технологии – не толкова като визуална измама, а като средство за допълнително легитимиране на достъпа чрез глас, видео или поведенчески модел. В основата обаче стои едно и също: системата приема действията за валидни, защото идват от профил с правилните права.
Това, което прави тези атаки различни от класическите представи за киберинцидент, е, че те не нарушават начина, по който работи бизнесът. Те го използват. Плащането се одобрява по същия процес, по който винаги се одобрява. Имейлът изглежда като част от съществуващ разговор. Дори проверките, ако има такива, често се извършват вътре в същия компрометиран канал. Така системата не просто допуска грешка – тя няма основание да я разпознае като грешка.
Анализ на Microsoft от миналата година описва атаки, при които достъпът започва с фишинг и прихващане на кодове за многофакторна автентикация – това е допълнителна защита, при която освен парола се изисква и еднократен код. След това нападателите влизат в системи за управление на служители и променят банкови сметки за изплащане на възнаграждения. Няма нужда от източване на данни или блокиране на системи. Достатъчно е да се направи промяна, която системата приема като валидна, защото идва от потребител с правилните права.
Разследващи компании като Binary Defense описват тези атаки като тихи, защото не задействат типичните сигнали за инцидент, а използват нормалната функционалност на системите.
Подобен вход през доверие, а не през уязвимост, стои и зад инцидента с Marks & Spencer, където достъпът е получен чрез външен доставчик. Последствията са оперативни – прекъснати онлайн услуги, забавени процеси, натрупващи се загуби. Причината обаче отново не е технически срив, а това, че някой е получил възможност да действа като част от организацията.
Такава динамика се вижда и при инциденти, свързани с облачната платформа Snowflake, където достъпът е осъществен чрез реални потребителски данни, без компрометиране на самата платформа. В някои случаи тези данни са били откраднати много преди самия инцидент и остават валидни във времето. На практика това означава, че един стар, забравен достъп може да бъде използван години по-късно без да предизвика съмнение.
Тук се появява по-дълбокият проблем. Идентичността в дигитална среда вече не е нещо фиксирано, а нещо, което може да бъде съставено. Данни от различни източници – пароли, сесии, токени за достъп – могат да се комбинират в работещ профил. Сесийният токен, например, е елемент, който казва на системата, че потребителят вече е удостоверен и не е необходимо ново влизане. Ако такъв токен бъде откраднат, той дава възможност за директен достъп без допълнителна проверка.
Когато подобни елементи се съберат, резултатът не е просто компрометиран акаунт, а функционираща идентичност, която може да извършва действия в системата без да предизвиква съмнение. Това е причината все по-голяма част от атаките да не използват зловреден софтуер. Те разчитат на същите инструменти, които използват и служителите – имейл, ERP системи, платформи за управление на достъп. Разликата е единствено в това кой стои зад действията.
В българския контекст този риск се усилва от начина, по който са организирани процесите. В много компании комуникацията по имейл остава основен канал за вземане на решения – включително финансови. Промени в банкови сметки, потвърждения на плащания и
одобрения често се извършват без независима верификация извън този канал. Когато самият канал е компрометиран, цялата логика на доверие започва да работи срещу компанията.
Това е и причината подобни атаки да се появяват не като единични събития, а като повтарящ се модел. Нападателят разчита на предвидимост на процесите. Колкото по-рутинна е една операция, толкова по-лесно може да бъде използвана. За да се предпазят от такива мрачни сценарии, голяма част от организациите у нас, се обръщат към технологичен партньор, който да им съдейства – с обучения за служителите, включително симулации на phishing атаки, с които да тестват нивото на информираност и бдителност на екипа си. Такава допълнителна подготовка вече далеч не е лукс, предвид новите изисквания на закона за киберсигурност, след като NIS2 е част от нормативната уредба и в България, които носят със себе си не само финансов и оперативен риск, но и лична отговорност за мениджърите и собствениците на атакуваните компании. Затова сред решенията, които А1 предлага на клиентите си, са обучения по киберсигурност за служителите им и одит на ИТ системите, за да се идентифицират потенциални уязвимости.
Промените в регулаторната рамка в Европа и България вече адресират точно този тип риск. Изискванията за управление на достъп, отчетност и контрол върху действията в системите се преместват от техническо към управленско ниво. Причината е ясна – когато идентичността може да бъде използвана от трета страна, всяко решение, взето вътре в системата, трябва да се разглежда и като потенциален риск, а не само като изпълнение на процес. Това променя начина, по който трябва да се мисли за киберсигурността.
