Киберсигурност в застраховането: реални уязвимости, регулации и какво значи това за България

Застраховането е в епицентъра на киберриска: съдържа богати PII/финансови данни, работи с обширна екосистема от брокери/аутсорсинг доставчици и е регулаторно натоварен сектор. През 2024–2025 г. европейската рамка се затегна — DORA вече се прилага от 17 януари 2025 г., а NIS2 увеличава прага на очакванията за оперативна киберустойчивост. Това поставя българските застрахователи пред трезв въпрос: „Къде сме най-уязвими днес и как го доказваме утре пред регулатора?“

TL;DR

Най-критичните рискове: социално инженерство към доставчици (supply chain), злоупотреба с привилегии/токени в облачни CRM/портали, уязвими трансфери на данни (SFTP/MFT), и инциденти без зловреден код — само с легитимен достъп.

Топ уязвимости и вектори на атака (2024–2025)

1) Supply-chain достъп през облачни платформи (CRM, портали към брокери)

Комбинация от социално инженерство → token abuse → масови експорти остава най-ефективният сценарий срещу застраховането. Причината: много роли с широки четящи права и интеграции към външни доставчици.
Как се материализира в България: локални дружества и клонове ползват регионални SaaS/CRM и външни контакт центрове. Рисковете се усилват при споделени акаунти, липса на least privilege и слабо следене на обеми експорт.

2) Уязвими преноси на данни (MFT/SFTP) и „една дупка – много жертви“

Случаите от типа MOVEit показаха как дефект в масово използван инструмент за трансфер компрометира десетки милиони записи в различни индустрии, включително финансови услуги/застраховане. Български участници са индиректно изложени чрез международни партньори и бордер-кросинг обработка на данни.

3) Рансъмуер без рансъмуер (живеене от земята)

Тренд „malware-less“: проникване чрез валидни акаунти (VPN/IdP), повишаване на привилегии и изнудване след exfiltration, дори без криптиране. В застраховането това често става през отдалечени брокерски терминали или партньорски портали.

4) Данни за самоличност и полицейни номера на полици

Застрахователните полици и щетни досиета имат висока ценност за identity theft и финансови измами; глобалните отчети за разхода при пробиви подчертават именно тези категории.

Какво изискват DORA и NIS2 – „контроли с доказателства“

DORA (Регламент 2022/2554) вече се прилага за застрахователи и посредници: управление на ИКТ риска, тестване на оперативната устойчивост (вкл. TLPT на база TIBER-EU), инцидент-репортинг, строги правила за ICT third-party risk и регистър на всички договори с доставчици по чл. 28. NIS2 разширява обхвата и изискванията към „съществени/важни“ субекти (вкл. части от финансовия сектор). България е в процес на донастройка на Закона за киберсигурност. Национална координация: GovCERT/НЕРИКС и Дирекция „Киберсигурност“ към МЕУ осигуряват 24/7 контакт за инциденти; КФН е надзор за сектора.

Прагматична пътна карта за български застрахователи (12 месеца)

Картографирайте интеграциите (RoI по DORA чл. 28).
Затегнете достъпа: IdP-централизация, MFA, just-in-time привилегии.
Данъчен контрол върху експортите: DLP/UEBA за SaaS.
Укрепете MFT/SFTP.
Red Team по TLPT-логика.
Инцидент-репортинг и доказуемост.
Трети страни: договорни клаузи за журналинг и тестове.
Данни за самоличност: tokenization на критични полета.
AI/генеративни услуги: регистър и model risk.
Комуникация към клиенти: готови freeze инструкции.

KPI-та за борд и регулатор

MTTD/MTTR по SaaS инциденти.
% интеграции с MFA и conditional access.
Брой блокирани експорти извън работно време.
Покритие на TLPT сценарии.
Процент доставчици със security addendum.

Български контекст

Регулаторно припокриване: DORA + NIS2.
Екосистема от посредници: множество МСП брокери.
24/7 контактни точки: GovCERT/НЕРИКС и Дирекция „Киберсигурност“.

Мини-чеклист за следващите 30 дни

Регистър на всички ICT доставчици и трансфери.
Забрана на bulk export без двустепенно одобрение.
Преглед на брокерските портали: IdP, MFA.
MFT хардениране и план за авариен трансфер.
Подготвен пакет за уведомяване (GovCERT/КФН/клиенти).

Източници

ENISA, Finance Sector Threat Landscape 2024/25.
EIOPA, DORA Framework.
NIS2 транспониране в България.
IBM, Cost of a Data Breach 2025.
GovCERT Bulgaria, контакти и препоръки.
Прецедент MOVEit (MFT уязвимост).

Мини-речник на термините

DORA – Регламент за дигитална оперативна устойчивост във финансовия сектор.
NIS2 – Директива за високо общо ниво на киберсигурност.
Supply chain атака – компрометиране през трета страна.
Token abuse – злоупотреба с валидни токени/сесии.
UEBA – анализ на поведението на потребители за аномалии.
TLPT / TIBER-EU – тестове за проникване на база разузнаване.
RoI – регистър на всички договори с ICT доставчици по DORA.
Malware-less – атаки без зловреден код, с легитимни акаунти.

Bottom line: най-голямата дупка не е zero-day в кода, а „незабелязаният“ експорт през доверен акаунт. В застраховането това е бизнес-риск, регулаторен риск и репутационен риск в едно.