Home БлогНай-значимите случаи с пробиви на данни в България

Най-значимите случаи с пробиви на данни в България

13/03/2025 by

От 2018г. насам абревиатурата „джи-ди-пи-ар“ стана по-популярна в бизнес жаргона отколкото  „съпорт“ или „импакт“. Създаването на политики и следването на процедури за събиране, съхраняване и обработка на лични данни стана ключова задача на всички бизнес (и небизнес) единици – от фрийлансъри и корпоративни компании до училища и детски кътове за забавление. Редица процеси от ТРЗ, до продажби и маркетинг трябваше да бъдат пренастроени към новите правила, третиращи данните на служители, потребители и клиенти като „ценност“, достойна за защита от правото. Оказа се, че съхраняването на данни е като бомба, която всеки момент може изгърми в ръцете ви, защото сте нарушили “джи-ди-пи-ар-а“.

Следващият израз, който започва да набира популярност е „дейта брийч“ (data breach). За сега той е във всяка втора дума на експертите по кибер сигурност и на практика обозначава точно моментът на „избухване на бомбата“.  Този израз ще започне все по-често да циркулира в разговорите от заседанията на бордовете и съветите на директорите. Справка, на 18 октомври 2024 влезе в сила Директивата за Мрежови и информационни системи (МИС -2/NIS-2), която изисква списък от 10 мерки за киберзащита да са приложени във всички компании (включително техни важни подизпълнители), които оперират в сектори като енергетика, транспорт, здравеопазване, води и отпадъци, доставчици на цифрови услуги и ИКТ обслужване, пощенски и куриерски услуги, управление на отпадъците, различни видове производства – на химикали, на храни, на медицински изделия, на компютри, електронни и оптични продукти, на автомобили и др. Освен съществените глоби, като стимул за съобразяване с изискванията на директивата е предвидена лична отговорност на всеки CEO или член на управителните органи на тези компании. Това означава, че в случай на кибер инцидент, личното имущество на тези лица ще служи за обезщетение на искове за вреди на кредитори, партньори, клиенти, потребители и регулаторни органи.

Чували сме, че данни се крадат или криптирането им е средство за изнудване на големите чуждестранни корпорации – Facebook, Ticketmaster, Twitter, Sony, JP Morgan Chase.

Но какво общо има това с българската действителност?

Затова нека да хвърлим око на най-съществените случаи на „нарушения сигурността на данни“ или накратко „дейта брийч“ (data breach), случили се на нашата територия.

Най-значимите случаи за последните 5 години

Случаите са представени в хронологичен ред по дата на уведомяване на Комисията за защита на личните данни (КЗЛД) и са предадени на база публичната информация, изложена в годишните доклади  на Комисията.

2019г.

Национална агенция по приходите
  • Нарушение – неразрешено разкриване и разпространение на личните данни на общо 6 074 140 физически лица, което включва 4 104 786 живи физически лица, български и чужди граждани, и 1 959 598 починали физически лица от информационните бази данни, поддържани от НАП.
  • Начин на осъществяване на нарушението – външна атака на информационните бази данни.
  • Видове данни – имена, ЕГН и адреси на български граждани, телефони, електронни адреси и друга информация за контакт, данни от годишни данъчни декларации на физически лица, данни от справките за изплатени доходи на физически лица, данни от осигурителни декларации, данни за здравноосигурителни вноски (но не и за медицински статус или информация за лечение на гражданите), данни за издадени актове за административни нарушения, данни за извършени плащания на данъци и осигурителни задължения през „Български пощи” АД, както и данни за поискан и възстановен ДДС, платен в чужбина.
  • Нарушението е класифицирано като „висок риск“ поради сигурна или значителна вероятност данните да бъдат използвани за кражба на самоличност, измама с фалшива самоличност, да причинят вреди като финансови загуби, значителни икономически или социални неблагоприятни последствия за голям брой субекти на данни или уязвими лица, и поради засягането на голям обем лични данни.
  • Размерът на наложената санкция е 5 100 000 лв.
„Банка ДСК“ ЕАД
  • Нарушение – неправомерно разкрити и достъпени от трети лица лични данни на общо 33 492 клиенти на „Банка ДСК“ ЕАД в 23 270 кредитни досиета, в които се съдържат лични данни и на неограничен брой свързани с тях трети лица (в това число техни съпрузи, продавачи, низходящи и възходящи наследници и поръчители).
  • Начин на осъществяване на нарушението – За разлика от НАП в случая с ДСК не е известно информацията да е достигала до широк кръг лица, а освен това проверката започва, след като самата кредитна институция уведомява КЗЛД и съдебните органи. Според изказване на главния изпълнителен директор на банката Виолина Маринова пред Mediapool става дума за случай от 2016 г. За случая за пръв път стана ясно от съобщение на самата ДСК от 23 юни 2019г. В него банката твърди, че български гражданин, в миналото осъден и лежал в затвора по обвинение за банков обир, е информирал банката, че притежава база данни, съдържаща клиентски данни от банката. Човекът казал, че притежава компютърен диск с данни за около 22 000 клиенти, изнесен през 2016 г., когато банката е правила дигитализация. „На база на тази информация банката назначи вътрешно разследване, по време на което беше установено, че не e имало успешна дигитална атака срещу информационните системи на банката. Във връзка с това, ако лице притежава такива данни, те могат да се получат само и единствено по друг, но също така незаконен начин с неправомерно действие във вреда на банката„, гласи още съобщението на ДСК.
  • Видове данни – лични данни на физически лица − клиенти на банката и свързаните с тях трети лица, като са разпространени и достъпени три имена, гражданство, ЕГН, постоянен или настоящ адрес, копия на личните карти и съдържащите се в тях биометрични данни; всички лични данни, съдържащи се в данъчни документи, удостоверяващи доходи и здравноосигурителен статус на кредитополучателите и трети лица по тях, както и данни за здравословно състояние (като в някои кредитни досиета се съдържат решения на ТЕЛК за намалена работоспособност), номера на разплащателни сметки, както и регистрационни номера и дати на нотариални актове с положени подписи.
  • Нарушението е класифицирано като „висок риск“ поради сигурна или значителна веротяност данните да бъдат използвани за кражба на самоличност, измама с фалшива самоличност, да причинят вреди като финансови загуби, значителни икономически или социални неблагоприятни последствия за голям брой субекти на данни или уязвими лица, и поради засягането на голям обем лични данни.
  • Размерът на наложената санкция е 1 000 000 лв., потвърдена от съда и платена в началото на 2024г.

2021г.

Изнудване на банкова институция[i] от вътрешен служител

  • Нарушение – В банкова институция е получено електронно съобщение с твърдения за нарушаване на сигурността. Изпратилият съобщението заявява, че разполага с кредитното портфолио на банката, данни за банкови карти и списък с лични данни на клиенти на банката. Като доказателство е предоставен линк към файлов сървър, съдържащ три файла, за които е установено, че са истински данни от банковите системи. Лицето, изпратило имейла, дава срок от 72 часа банката да преведе парични средства, в противен случай ще предостави кредитното портфолио на други банки в България и ще го сподели в интернет пространството, а номерата на банковите карти ще предостави на нелегални организации в т.нар. dark web, като уведоми КЗЛД, медиите и социални мрежи.
  • Начин на осъществяване на нарушението – в хода на разследването е установено, че служител на банката съзнателно е нарушил и/или избегнал част от мерките за сигурност и съответствие, което е довело до нарушаване на сигурността на личните данни. Заеманата от него длъжност е свързана с достъп до голям обем данни при изпълнение на служебните задължения. В резултат на извършените проверки и анализи на информационните системи, цифровите устройства и регистрационните файлове е установено, че чрез своите идентификационни данни (потребителско име и парола) служителят е създал справка с обем и съдържание, идентични с тези, получени в банката като доказателство за предполагаемата успешна кибератака.

2022г.

„Български пощи“

На 16.04.2022 г. в 08:30 ч. е установена невъзможност за функциониране на софтуерните приложения в пощенските станции.

  • Нарушение – Вследствие на допускане и необезвреждане на злонамерен софтуер в компютърната мрежа спират основни услуги, нарушени са целостта и поверителността на информацията.
  • Начин на осъществяване на нарушението – установено е, че причината е хакерска атака – пробив на сигурността на информационната инфраструктура посредством зловреден софтуер Mimikatz.Установено е, че на SQL клъстера, на който са базите данни, съдържащи лични данни, фигурира нерегламентиран администраторски акаунт и голяма част от файловете и базите са криптирани в резултат на хакерска атака, криптирани са и бекъпите на базите данни. Външните нападатели не са имали непосредствен физически контакт с информационната система. Използвана е уязвимост в сигурността на Microsoft пощенски сървър. Достъпени са всички виртуални машини във виртуалния клъстер.
  • Видове даннни -Личните данни на физически лица (клиенти, в т.ч. пенсионери, клиенти на контрагенти по сключени договори и служители на дружеството), съдържащи се в бази данни с приблизително 4 675 393 бр. записи, като базите данни са криптирани. Личните данни на физически лица (име, презиме, фамилия, ЕГН/ЛНЧ/служебен номер; адрес: свободен текст, пощенски код, населено място, област; телефон; адрес на електронна поща; финансови данни: заплати, пенсии, парични преводи; информация за здравословното състояние/здравни данни, в т. ч. ТЕЛК/НЕЛК решения: за служителите на дружеството; трудов стаж: за служителите на дружеството; трудово възнаграждение: за служителите на дружеството; банкова сметка: за служителите на дружеството).
  • КЗЛД е определила риска като „висок“ и е наложила глоба в размер на 1 000 000 лева.

2023г.

Рансъмуер атака срещу компания за управление веригата на доставки
  • Обект на атаката е динамична, дигитално ориентирана компания за управление веригата на доставки със седалище в България и дъщерни дружества в Румъния и Унгария, доставчик над 30 години на технологично и оперативно усъвършенствани решения с висока добавена стойност в областта на транспорта, управлението на товари, логистиката, 3PL/4PL услугите, електронната търговия, пристанищните и морските операции и митническото посредничество.
  • Начин на осъществяване – осъществена е рансъмуер атака срещу домейн контролер и файлов сървър на дружеството, в който се съдържат лични данни на физически лица, обработвани от дружеството и негови партньори в холдингова група. Атаката от тип „ransomwarе Lockbit 3.0“ . Рансъмуер или „шифроваща вредителска програма“ е софтуер, с който се шифрова информацията на заразения компютър, след което се изнудва потребителя да плати откуп, за да получи ключ за дешифриране. Вирусът е създаден от група хакери, наричаща себе си – LockBit Ransomware Group.

LockBit 3.0 е група Ransomware-as-a-Service (RaaS) – бизнес модел за киберпрестъпления, при който участниците в заплахата предоставят (продават) инструменти и инфраструктура за рансъмуер на други лица или групи, известни като филиали, които искат да извършват атаки с рансъмуер с цел печалба. Обикновено RaaS се доставя чрез услуга, базирана на абонамент, подобно на легитимна платформа за софтуер като услуга – SaaS. LockBit 3.0 възприема базиран на партньори рансъмуер подход, при който неговите филиали използват различни тактики, за да се насочат към критични инфраструктури на широк кръг бизнес организации.

  • LockBit 3.0 използва модулен подход и криптира полезния товар до изпълнението, което представлява значителни пречки пред анализа и откриването на зловредния софтуер. Групата, създала LockBit 3.0, си поставя цели, включващи не просто криптиране на информацията с последващо искане на откуп за декриптиращ ключ, но и кражба на данни и изнудване.
  • Разузнавателните и правоохранителните служби класифицират групата зад тази заплаха като много опасна. Смята се, че ръководителите са рускоговорещи, тъй като в кода на вируса е заложено да не атакува сървърите и машините с регионални настройки за Русия. Начинът на действие е активно „хакване“, с проучване, с използване на многообхватни техники за проникване и проследяване. Според специалисти по киберсигурност анализът на кода на LockBlt 3.0 показва, че в него са заложени техники за използване на елементи от стандартни софтуерни библиотеки, така че да бъдат заблудени операционната система и антивирусните програми, с цел да не определя активността му като подозрителна. Следва да се отбележи, че тази група си е поставила за цел да направи LockBit 3.0 „най-великия вирус инструмент на всички времена“, като за целта са разработили ефективен механизъм за постоянно му усъвършенстване.

При разследването на инцидента е установено, че инфраструктурата на проверяваното дружество е била подложена на „човешки“ ръководена, активна хакерска дейност, с целенасочени опити за нерегламентирано копиране на данни. Достъпът до данните на файловия сървър е бил през домейн контролера, който е бил превзет (хакнат) пръв. След осъществяване на достъп до домейн контролера оттам е стартирано криптиране върху файловия сървър заедно с нерегламентираното копиране на файлове. Достъпът до домейн контролера е чрез директен експлойт на RDS Web Gateway или отгатната парола на служител на дружеството.  

Видове данни – лични данни на физически лица. Общият брой на файловете в засегнатата директория е 122 165 (сто двадесет и две хиляди сто шестдесет и пет) броя файлове. Във файловете от засегнатата директория се съдържат лични данни на обработваните от дружество и неговите партньори общо 1691 (хиляда шестстотин деветдесет и един) броя физически лица (субекти на данни). Категориите физически лица, до чиито лични данни е осъществен неоторизираният достъп, са български граждани – служители на дружеството, както и служители и клиенти на останалите 8 (осем) дружества в холдинговата група, спрямо които  проверяваният субект действа в качеството на обработващ лични данни, на основание сключените договори за предоставяне на услуги.

Очевидно България не остров на спокойствието

и местните компании и институции са обект както на вътрешни, така и на външни злонамерени атаки. Последиците от тези събития са както съществени финансови загуби изразяващи се:

  • в разходи за разследване на причината и причинителя на атаката,
  • в разходи за възстановяване на ИТ инфраструктура и изгубени данни,
  • плащане на откуп,
  • плащане на глоби,
  • разходи по уведомяване на регулатора и засегнатите физически лица (техният брой е видно се измерва в в  хиляди, дори милиони)
  • обезщетения по исковете на засегнатите лица – могат да се претендират дори само неимуществени вреди, напр. изживан стрес или обоснован страх от кражба на самоличност или злоупотреба с лични данни.

Така и накърнена репутация и загуба на доверие от страна на потребители, клиенти и партньори.

Никой не е застрахован от data breach,

освен ако не се е застраховал срещу това събитие.

На българския пазар се предлагат застраховки, които покриват загубите и щетите, изброени по-горе, в резултат на неправомерно разкриване на лични данни или конфиденциална информация (бизнес данни).

Ако имате нужда от повече информация за този вид застраховане, попитайте ме на tanya.boeva@train-you.com или през LinkedIn профила ми.

[i] В годишните си доклади след 2020г. КЛЗД не посочва имената на засегнатите компании.

    (Visited 1 times, 1 visits today)

    Last modified: 13/03/2025

    Вашият коментар

    Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *

    Close Search Window