Киберсигурност за бизнеса · Малки фирми · Юни 2026

Първите 10 стъпки по киберсигурност за малък бизнес в България

Нямате ИТ отдел, нямате голям бюджет и нямате време. И все пак клиентите ви искат гаранции, КЗЛД има срокове, а един успешен фишинг може да затвори фирмата за седмица. Добрата новина: 80 процента от риска се покрива от десет конкретни стъпки, повечето безплатни или почти безплатни, които всеки управител може да възложи и проследи. Това е практичният списък, подреден по приоритет, с реални цени в лева и без излишен технически жаргон.

Накратко

• Двуфакторното удостоверяване (MFA) е стъпка номер едно и струва нула лева. Включването му на имейла и на всички облачни услуги спира огромната част от завладяванията на акаунти, дори когато паролата вече е изтекла.
• Архивите решават дали ще оцелеете при ransomware. Един офлайн или непроменим (immutable) архив, който атакуващият не може да изтрие, е разликата между прекъсване от няколко часа и затваряне на фирмата. Тествайте възстановяването, не само създаването.
• Човекът е първата и последната линия на защита. Кратко обучение срещу фишинг и ясно правило за проверка на нови банкови сметки спират най-скъпите измами - BEC имейл измамите, които струват на български фирми стотици хиляди левове.
• Регулаторните задължения важат и за малката фирма. Ако обработвате лични данни, имате 72 часа да уведомите КЗЛД при пробив. Ако попадате в обхвата на Закона за киберсигурност (НИС2), задълженията са по-тежки. И двете изискват писмена подготовка предварително.
• Редът има значение. Тези десет стъпки са подредени по съотношение полза към усилие. Първите пет са почти безплатни и покриват по-голямата част от риска; започнете отгоре, не от това, което изглежда най-вълнуващо.
• Не ви трябва скъп софтуер, за да започнете. Повечето от тези стъпки са настройки в инструментите, които вече плащате (Microsoft 365, Google Workspace), плюс дисциплина и един кратък писмен план. Бюджетът идва по-късно и за конкретни нужди.

Всеки контролен лист по киберсигурност, който ще намерите онлайн, има поне сто точки. За малка фирма това е безполезно, защото създава илюзията, че всичко е еднакво важно, а то не е. Реалните атаки срещу малки и средни фирми в България не са изтънчени. Те минават през няколко предвидими врати: завладян имейл акаунт, фишинг към служител, ransomware, който криптира файловете, и измама с фалшива банкова сметка. Ако затворите тези няколко врати, сте покрили несъразмерно голяма част от риска с несъразмерно малко усилие.

Затова този списък е подреден не по азбучен ред и не по технологична логика, а по едно-единствено правило: колко риск премахва стъпката спрямо колко усилие и пари струва. Първите няколко стъпки са близо до безплатни и премахват най-много риск. Колкото надолу слизате, толкова повече инвестиция искат и толкова по-специфичен става рискът, който адресират. Това означава, че дори да спрете на стъпка пет, вече сте в драматично по-добра позиция от деня, в който сте започнали.

Важно уточнение за българския контекст: тези стъпки не са само "добра практика". Част от тях са пряко свързани със задължения по GDPR, по Закона за защита на личните данни и, ако фирмата ви попада в обхвата, по Закона за киберсигурност, който въвежда директивата НИС2. Надзорният орган КЗЛД не очаква от десетчленна фирма същото като от банка, но очаква да можете да докажете, че сте предприели разумни мерки. Този списък е и точно това доказателство.

По-голямата част от пробивите в малки фирми не започват с разбит сървър. Започват с влязъл акаунт - някой се сдобива с паролата на служител и оттам прави всичко останало. Затова първите три стъпки са изцяло за това кой има достъп и колко труден е този достъп за злоупотреба.

Стъпка 1: Включете двуфакторно удостоверяване (MFA) навсякъде. Това е най-важната отделна мярка в целия списък и почти винаги е безплатна. Двуфакторното удостоверяване означава, че освен парола за вход се изисква и втори елемент - код от приложение на телефона или потвърждение. Така дори ако паролата изтече, атакуващият не влиза. Включете го задължително на служебната поща (Microsoft 365 или Google Workspace), на банкирането, на счетоводния и на всяка облачна услуга, която го поддържа. Използвайте приложение за кодове (Microsoft Authenticator, Google Authenticator), а не SMS, където е възможно, защото SMS е по-лесен за прихващане.

Стъпка 2: Въведете мениджър на пароли и спрете повтарянето. Хората използват една и съща парола на десет места, защото не могат да помнят десет. Мениджърът на пароли решава това: служителят помни една главна парола, а програмата пази уникална, дълга, случайна парола за всеки сайт. Когато една услуга бъде пробита, кражбата не се разпространява към останалите. Има добри решения за малки екипи на достъпна цена, а ефектът върху сигурността е огромен спрямо разхода. Комбинирано с MFA от стъпка 1, това на практика затваря най-широката врата към фирмата.

Стъпка 3: Ограничете администраторските права и старите акаунти. Принципът е прост: всеки трябва да има точно толкова достъп, колкото му е нужен за работата, и нито грам повече. Не всеки служител трябва да е администратор на компютъра си. Напусналите служители трябва да губят достъпа си в деня на напускането, а не месеци по-късно. Споделените акаунти, на които никой не знае кой влиза, трябва да изчезнат. Прегледайте кой какъв достъп има, премахнете излишния и направете това периодична задача, защото правата пълзят нагоре с времето, ако никой не ги ревизира.

Ако стъпки 1 до 3 пазят вратата, стъпки 4 и 5 гарантират, че дори някой да влезе, ще оцелеете. Това са двете технически основи, които превръщат катастрофата в неприятност.

Стъпка 4: Направете архиви, които атакуващият не може да изтрие, и ги тествайте. При ransomware атака целта на нападателя е първо да намери и унищожи архивите ви, а после да криптира всичко останало, за да нямате избор освен да платите. Затова архивът, който е свързан постоянно към мрежата, не е истински архив. Нужен ви е поне един екземпляр, който е офлайн или непроменим (immutable) - такъв, който дори администратор не може да изтрие за определен период. Добрата практика е правилото 3-2-1: три копия на данните, на два различни носителя, едно от които извън сайта. И най-важното, което фирмите пропускат: тествайте възстановяването. Архив, който никога не сте възстановявали, е само предположение, че имате архив.

Стъпка 5: Обновявайте навреме операционните системи и програмите. Голяма част от автоматичните атаки използват дупки, които производителят вече е закърпил, но фирмата не е инсталирала корекцията. Включете автоматичните обновления на Windows, macOS, браузърите и основните приложения. Особено внимание на устройствата, изложени към интернет - рутери, защитни стени, всичко с публичен достъп. Спрете да използвате системи, които вече не получават обновления за сигурност, защото те са отворена врата, която никога няма да се затвори. За малка фирма това е предимно въпрос на включена настройка и кратък месечен преглед, а не на скъп инструмент.

Имейлът е входната точка номер едно за атаки срещу български фирми, а човекът зад клавиатурата е този, който в крайна сметка решава дали атаката успява. Тези две стъпки адресират най-скъпите измами, които виждаме на практика.

Стъпка 6: Защитете служебния имейл технически. Освен MFA от стъпка 1, имейл системата ви има няколко настройки, които спират фалшифицирането на подателя и голяма част от фишинга. Това са записите SPF, DKIM и DMARC на домейна ви - технически означава, че само оторизирани сървъри могат да изпращат поща от ваше име, а останалото се отхвърля. Включете и филтрите срещу опасни прикачени файлове и линкове, които идват в абонамента ви за Microsoft 365 или Google Workspace. За BEC измамата от началото на статията тези мерки правят фалшивия имейл далеч по-труден за изпращане и по-лесен за разпознаване.

Стъпка 7: Обучете екипа и въведете правило за проверка на плащания. Технологията спира много, но не всичко, и последната линия е човекът. Не ви трябва скъпа платформа. Трябва ви кратко, конкретно обучение веднъж на няколко месеца, което показва как изглеждат реалните измами на български - фалшивата смяна на банкова сметка, фалшивото съобщение от "управителя", фалшивата фактура. И едно желязно правило: всяка нова или сменена банкова сметка се потвърждава по телефон на предварително известен номер, преди да се плати каквото и да е. Това правило само по себе си спира най-скъпия тип измама, която удря български фирми.

Стъпки 8 и 9 излизат малко по-нагоре по усилието, но са естественото продължение. Те защитават крайните устройства, на които хората работят, и мрежата, която ги свързва.

Стъпка 8: Защитете компютрите и телефоните. Всеки служебен компютър трябва да има включена защита срещу зловреден софтуер. Вграденият Microsoft Defender е напълно достатъчен за повечето малки фирми, стига да е включен и обновяван. Дисковете на лаптопите трябва да са криптирани (BitLocker на Windows, FileVault на macOS), за да не изтекат данни при кражба или загуба на устройство. Служебните телефони, които четат фирмена поща, също са устройства - изисквайте на тях заключване с код и възможност за дистанционно изтриване, ако се загубят. Голяма част от това отново са включени настройки, не нов разход.

Стъпка 9: Подредете мрежата и Wi-Fi. Сменете паролите по подразбиране на рутера и защитната стена - те са публично известни и са честа входна точка. Разделете гостовия Wi-Fi от служебния, за да не са клиентите и фирмените системи в една и съща мрежа. Ако имате системи, които не е нужно да са достъпни от интернет, не ги излагайте. За фирма с отдалечена работа осигурете криптиран достъп (VPN или съвременен еквивалент) вместо директно изложени услуги. Тази стъпка често изисква малко помощ от специалист, но е еднократна настройка с дълготраен ефект.

Десетата стъпка е тази, която почти всички малки фирми пропускат, докато не им потрябва, и тогава вече е късно. Това е писменият план какво правите, ако нещо се случи, заедно със задълженията ви към регулаторите.

Едностраничен план за реакция. Не ви трябва документ от петдесет страници. Трябва ви една страница, която отговаря на няколко въпроса: Кой ръководи реакцията и кой е резервата му? Кои са първите три телефона, на които се звъни (вътрешен ИТ или доставчик, юрист, фирма за реакция при инциденти)? Какво е първото правило (изолирай, не изтривай)? Къде се пазят договорите с клиенти и застрахователната полица? Разпечатайте този лист и го дръжте на място, достъпно без мрежата, защото мрежата може да е точно това, което не работи.

Задължението към КЗЛД. Ако обработвате лични данни - а почти всяка фирма обработва данни на клиенти и служители - при пробив на сигурността имате 72 часа да уведомите Комисията за защита на личните данни, освен ако пробивът е малко вероятно да породи риск за хората. Този срок тече от момента, в който узнаете за пробива, не от момента, в който приключите разследването. Затова планът от предходния абзац трябва изрично да включва кой подготвя това уведомление и каква информация е нужна. Закъсняло уведомление е самостоятелно нарушение, независимо колко добре сте се справили с останалото.

Закон за киберсигурност и НИС2. Ако фирмата ви попада в обхвата на Закона за киберсигурност, който въвежда европейската директива НИС2 - например защото сте в сектор като енергетика, транспорт, здравеопазване, цифрови услуги или сте важен доставчик - задълженията са по-тежки: регистрация, минимални технически мерки и докладване на инциденти в кратки срокове, често с ранно предупреждение в рамките на 24 часа. Първата задача тук е да проверите дали попадате в обхвата изобщо, защото четенето на закона за пръв път в деня на инцидента е лоша позиция. Ако не сте сигурни, това е точно въпросът, който си струва да зададете на специалист предварително.

Когато малка фирма се справи зле с киберсигурността, причината почти никога не е сложна атака. Причината е няколко предвидими грешки, които се повтарят отново и отново.

7.1 Купуване на софтуер преди настройка на безплатното

Фирмите харчат за нов антивирус, докато MFA стои изключен и архивите са непроверени. Скъпият инструмент не компенсира пропуснатата безплатна настройка. Подредете първо безплатните стъпки и едва после преценете къде наистина има нужда от платено решение.

7.2 Архив, който никога не е възстановяван

Много фирми откриват точно в деня на ransomware атаката, че архивът им е бил повреден от месеци, или че е свързан към мрежата и също е криптиран. Архив без тест за възстановяване е само надежда. Тествайте поне веднъж на тримесечие.

7.3 Достъп, който остава след напускане

Напуснал служител, чийто акаунт е активен месеци по-късно, е една от най-честите отворени врати. Деактивирането на достъпа трябва да е част от процеса по напускане, в същия ден, а не задача, която някой ще свърши когато се сети.

7.4 Един човек знае всичко, без документация

Когато цялото ИТ знание е в главата на един човек - често племенникът на управителя или външен приятел - фирмата е беззащитна в момента, в който той не е на разположение. Запишете основните неща: кой какъв достъп има, къде са архивите, кои са важните пароли (в мениджъра на пароли), какъв е планът при инцидент.

7.5 Отлагане заради усещането, че "на нас няма да се случи"

Малките фирми често смятат, че са твърде незначителни за атака. Реалността е обратна: повечето атаки са автоматични и не подбират жертва по размер, а малките фирми са по-лесна цел именно защото отлагат. Десетте стъпки не изискват да станете експерт. Изискват само да започнете отгоре и да не спирате.

Най-честият въпрос на управителите е за бюджета. Истината е, че първите пет стъпки струват близо до нула - те са настройки в инструменти, които вече плащате, плюс малко дисциплина. Реалният разход започва нагоре по списъка и зависи от размера и сектора ви.

Сравнете тези суми с цената на един успешен инцидент. Една BEC измама лесно отнема десетки хиляди левове за минути. Една ransomware атака без работещ архив може да спре фирмата за седмици и да унищожи данни безвъзвратно. Един пробив на лични данни с лошо или закъсняло уведомление до КЗЛД носи и санкция, и репутационна щета. На този фон десетте стъпки не са разход, а най-евтината застраховка, която ще купите.

Откъде да започнете е просто: отгоре. Тази седмица включете MFA на пощата и банкирането и въведете правилото за проверка на банкови сметки. Това са два часа работа и покриват двата най-чести начина, по които българските фирми губят пари. След това слизайте надолу по списъка с темпото, което фирмата издържа. Ако в някой момент усетите, че ви трябва човек, който да подреди всичко това професионално и да провери, че няма пропусната врата, точно това правим за малки фирми всеки ден.

Следваща стъпка

Искате някой да подреди тези десет стъпки вместо вас?

Помагаме на малки и средни български фирми да минат през целия списък: включваме безплатните защити, настройваме архивите и мрежата, обучаваме екипа и изготвяме едностраничния план за реакция и проверката спрямо КЗЛД и Закона за киберсигурност. Без излишен софтуер и без жаргон, с ясна цена и приоритети. Започнете с кратък безплатен разговор и ще ви кажем кои три стъпки да направите първи.