Важно
Как започна пробивът
По данни от Vivacom/United Group, инцидентът е засегнал облачните среди, използвани от бизнес клиенти в България. Изследванията показват не директна атака към мрежата на оператора, а уязвимост в инфраструктура на облачен доставчик, свързан с услугата. В първите часове екипите изолират системите, информират клиентите и стартират форензика с международни партньори.Какво изтече и какво означава
Макар официалната проверка да е в ход, експертни оценки сочат, че компрометираната информация може да включва файлови хранилища, бизнес имейли, бази данни с клиенти и метаданни от виртуални сървъри. Това създава реален риск за измами с идентичност, фишинг и вторични атаки срещу компании от критични сектори като финанси, транспорт и здравеопазване.Методът зад кулисите
Анализите на инцидента сочат комбинация от експлоатация на уязвимост в облачна платформа и възможно злоупотребяване с администраторски токени. Форензиката търси дали достъпът е придобит чрез компрометирани акаунти или чрез уязвим API. Това е класически supply-chain сценарий, при който атаката към доставчик засяга стотици клиенти едновременно.Кой стои зад атаката?
Формално приписване още няма. По първоначални оценки целевата група може да е свързана с държавно спонсорирани актьори, тъй като атаката съвпада с вълна от кампании срещу инфраструктура в Централна и Източна Европа. Правоохранителните органи в България работят съвместно с ENISA и Europol.Кого засегна и колко струва
- Обхват: стотици бизнес клиенти в България, включително в сектори с висока чувствителност.
- Категории данни: файлове, имейл съобщения, бази с клиенти, метаданни от облачни среди.
- Правни действия: предстоят регулаторни проверки по GDPR и секторни наредби.
- Финансов ефект: според бенчмаркове за региона средната цена на пробив е ~€3.5 млн. на организация. Със засегнати облачни среди сумарният ефект може да надхвърли €50–70 млн. в първата година (уведомления, поддръжка, правни разходи, репутационни щети).
Графики
Vivacom Cloud 2025: индикативни първогодишни разходи (EUR млн.)
Състав на разходите (индикативно разпределение)
Обхват на засегнати клиенти (индикативно)
Пет урока за организациите
- Облачните услуги не са черна кутия. Изисквайте прозрачност и контроли от доставчиците.
- Токените са новите ключове. Използвайте ротация, ограничаване и мониторинг на достъпа.
- Сегментацията е задължителна. Критичните данни не бива да съществуват само в една облачна среда.
- Независим мониторинг. DLP и UEBA за облачни приложения трябва да са активирани.
- Репетиции на сценарии. Планирайте tabletop учения за изтичане през доставчик.
Прагматичен чеклист за CISOs
- Инвентаризация на всички облачни интеграции и API токени.
- MFA + out-of-band за администраторски достъп.
- Мониторинг на аномалии: обем/география/час на трансфер.
- Data minimization – критичните PII и бизнес тайни да са сегментирани.
- Договорни клаузи с облачни доставчици за SLA при инциденти и право на одит.
Лично мнение на автора
Случаят с Vivacom е лакмус: в ерата на облачните услуги няма локални инциденти. Всичко е свързано — от доставчика на платформа до клиента на клиента. Най-важният урок е, че доверието трябва да бъде заменено с наблюдавано доверие. Кой има токените, какво може да изнесе и кой ще забележи — това са трите въпроса, които трябва да си зададе всеки CISO.Често задавани въпроси
Компрометирана ли е Vivacom или доставчикът?
Какви данни са засегнати?
Колко клиенти са засегнати?
Какво да направят засегнатите организации?
Какво следва за Vivacom?
Поуката? Ако бизнесът ви е в облака, инцидентите на доставчика са ваши инциденти. Въпросът не е „дали“, а „кога и как ще реагирате“.
Източници: United Group (официално съобщение); Novinite; ENISA; Europol; TechRadar Pro; The Hacker News; IBM – Cost of a Data Breach 2025; PwC Cyber Threats Report 2025.