Назад към блога
Регулации22 мин четене

Уведомление до КЗЛД за 72 часа: готовият план, който спестява глобите при инцидент с лични данни

A

Alexander Sverdlov

Анализатор по сигурността

9.06.2026 г.
Уведомление до КЗЛД за 72 часа: готовият план, който спестява глобите при инцидент с лични данни

КЗЛД · 72-часов план · Юни 2026

Уведомление до КЗЛД за 72 часа: готовият план, който спестява глобите при инцидент с лични данни

Петък вечер 21:47 ч. IT администраторът ви праща съобщение в Viber: "Един от счетоводителите е въвел паролата си в подменена страница, имейлите му изглежда са били чели от някой друг. Какво правим?" Часовникът по чл. 33 от GDPR току що тръгна. До неделя 21:47 ч. трябва да решите дали и как уведомявате КЗЛД, как уведомявате засегнатите физически лица по чл. 34, и как документирате решението си в Регистъра по чл. 33(5). Това е работният протокол, който прилагаме при реални инциденти в български компании, шаблоните на двете уведомления, и шестте грешки, които превръщат малък инцидент в глоба от 50 000 до 320 000 лв.

Основни изводи

  • 72-часовият срок по чл. 33 GDPR не започва от момента на компромет, а от момента, в който администраторът узнае за нарушението (час 0). Точното документиране на този час е първото нещо, което КЗЛД иска и първото нещо, което повечето български компании не са направили
  • Подаването на уведомление, когато инцидентът не попада в обхвата на чл. 33 (без вероятност от риск за правата на физическите лица), е практическа грешка, която обременява администратора с допълнителни задължения и в няколко случая от последните 24 месеца е довело до проверка от КЗЛД
  • Уведомлението по чл. 34 към засегнатите физически лица е отделно решение с по-висок праг (висок риск, не просто риск). От 47 инцидента в български компании, които сме обработвали последните 30 месеца, чл. 34 уведомление е било задължително в 11 случая и преценено в 8
  • КЗЛД приема предварително (initial) уведомление в рамките на 72 часа дори когато все още не са установени всички факти. Допълването с подробности по чл. 33(4) се изпраща след това с препращане към първоначалния номер на преписката. Това е практически най-важният параграф в чл. 33 за компании с непълна вътрешна форензика
  • Регистърът по чл. 33(5) е задължителен и без уведомление към КЗЛД. Дори когато решите да не уведомявате, инцидентът трябва да се впише с обосновка защо. Липсващ регистър е една от трите най-чести причини за глоба при проверка по жалба
  • При проверка КЗЛД иска: датата на узнаване, хронологията на действията в първите 72 часа, копие на уведомлението, шаблона на уведомление до физическите лица (дори ако решите да не го изпращате), и протокол за оценка на риска. Подготовка на тези пет документа предварително отнема 8 часа и спестява средно 4 до 7 дни в реално време

CEO на 124-човешка консултантска фирма в София ми се обади в неделя в 14:30 ч. Главният счетоводител беше получил фишинг имейл в петък следобед, въвел беше паролата си в подменена Microsoft 365 страница, и в неделя сутрин IT отделът беше засякъл подозрителни inbox правила, пренасочващи имейли с думите "фактура", "плащане" и "IBAN" към архивна папка. Атакуващият беше чел поща в продължение на 41 часа. В пощата имаше около 3 200 имейла с лични данни на клиенти на фирмата, включително ЕГН-та, копия на лични карти от стандартни KYC процедури, и финансови данни за около 480 физически лица.

Часовникът по чл. 33 беше тръгнал в петък в 17:20 ч., когато счетоводителят е получил първото съобщение от вътрешния SIEM за неуспешен последващ login от непознат IP в Малайзия. IT отделът не беше реагирал тогава, защото алертът беше класифициран като нископриоритетен. Истинското узнаване, документирано в нашия запис, беше неделя в 09:14 ч., когато IT мениджърът отвори тикет в системата за инциденти. От този час до края на крайния срок оставаха 67 часа.

На минута 40 от обаждането започнахме процедурата. На час 6 имахме предварителна оценка на риска, доказателства за достъп до пощата и решение за подаване на първоначално уведомление към КЗЛД. На час 22 беше подадено електронното уведомление през портала на КЗЛД с препратка към очакваните допълнителни данни. На час 36 беше изпратено уведомлението към 480-те засегнати физически лица по чл. 34. На час 48 беше затворена форензичната работа. На час 60 беше подадено допълнителното уведомление с пълните факти.

КЗЛД не наложи глоба. Преписката беше затворена след 11 седмици с препоръка за подобряване на MFA конфигурацията и Conditional Access политиките. По-долу е протоколът, който приложихме, с реалните срокове и шаблони, които можете да адаптирате към собствения си инцидент.

Раздел 1

Кога точно стартира 72-часовият брояч и защо това решава всичко

Чл. 33(1) GDPR указва срока с прецизен текст: "без необосновано забавяне и когато е възможно, не по-късно от 72 часа след узнаване". Думата "узнаване" е техническият термин, който определя час 0. КЗЛД и Европейският комитет по защита на данните (ЕКЗД) са разяснили дефиницията в Guidelines 9/2022 на ЕКЗД и в Решение № ПД-001-2024 на КЗЛД. Узнаването е моментът, в който администраторът има достатъчна степен на сигурност, че е настъпило нарушение на сигурността на лични данни.

Тази формулировка прави две практически разлики, които повечето български компании не правят правилно. Първо, узнаването не е моментът на компромета. Ако паролата е била открадната в петък в 17:20, но IT мениджърът е научил за нея в неделя в 09:14, час 0 е неделя в 09:14. Второ, узнаването не е първият неустановен сигнал. Един алерт от SIEM-а в петък, който е бил класифициран като нископриоритетен и не е довел до разследване, не стартира брояча. Узнаването изисква наличие на достатъчна сигурност, не просто хипотеза.

КЗЛД проверява тази дефиниция строго при всяка проверка. Първото нещо, което искат в писменото запитване, е документиран хронологичен запис на това кога са се случили събитията и кога администраторът е разбрал. Ако записът показва, че алертът в петък е бил пренебрегнат и инцидентът е научен реално чак в неделя, КЗЛД приема неделя като час 0. Ако записът обаче показва, че алертът е бил видян от дежурен в петък, отбелязан като "проверка след почивните дни" и след това забравен, КЗЛД ще приеме петък като час 0 и ще съществува потенциална глоба за забавено уведомление.

Тригерите, които стартират брояча, са пет: (1) IT инцидент с потвърдена компрометация на акаунт или система с лични данни, (2) загубено или откраднато устройство съдържащо лични данни, (3) грешно изпратен документ или имейл към грешен получател, ако обемът е значителен или съдържанието е специфично, (4) злонамерено вътрешно действие от служител с достъп, (5) физическо нарушение на сигурността (кражба на хартиени документи, неоторизирано влизане в офис). Ransomware атака стартира брояча в момента, в който е потвърдена; не в момента, в който екипът е надеждно изключил всички възможни алтернативни обяснения.

72-часовият времеви прозорец по чл. 33 GDPR 72-часов прозорец по чл. 33 GDPR: реален пример Час 0 = моментът на узнаване, не моментът на компромет Ч0 Узнаване Регистрирайте точен час в системата Ч6 Изолация Спрете теча Първа оценка на риска Ч12 Решение DPO + правен за уведомление да/не Ч24 Подаване Първоначално уведомление към КЗЛД Ч48 Чл. 34 Уведомление до засегнати физически лица Ч72 Допълване Пълен доклад + регистър по чл. 33(5) Изключение: чл. 33(1) изречение 2 "Когато няма вероятност да доведе до риск за правата и свободите на физическите лица" не се изисква уведомяване, но регистърът е задължителен
Фигура 1. Реалните 6 контролни точки в 72-часовия прозорец по чл. 33 GDPR.

Практически съвет от 47-те инцидента, които сме придружавали: документирайте час 0 в самото начало на инцидента с конкретни доказателства (timestamp от тикет системата, screen-shot от поща, лог запис) и не променяйте по-късно. Опит за "оптимизиране" на час 0 е една от грешките, които КЗЛД разпознава най-бързо.

⚠️

Раздел 2

Тестът за вероятност от риск: кога уведомявате и кога не

Не всеки инцидент с лични данни се уведомява. Чл. 33(1) указва уведомление само когато нарушението "вероятно ще доведе до риск за правата и свободите на физическите лица". Това е критериум с три нива (никакъв риск, риск, висок риск), приложен по конкретен анализ, и въз основа на него зависят и двата задължителни доклада (към КЗЛД по чл. 33 и към физическите лица по чл. 34).

ЕКЗД Guidelines 9/2022 описват тестовете в детайли. Накратко: оценете типа на компрометираните данни, контекста на обработването, естеството и обхвата на нарушението, лекотата на идентификация на физическите лица, тежестта на потенциалните последици, и специалните характеристики на администратора и засегнатите лица. Резултатът се документира писмено и се добавя към регистъра по чл. 33(5), независимо от решението.

Шест типови сценария от практиката ни в България, с приетата практика от КЗЛД:

Сценарий Уведомление КЗЛД (чл. 33) Уведомление лица (чл. 34)
Откраднат криптиран лаптоп без задни врати Не Не
Откраднат некриптиран лаптоп с клиентска база Да Да
Грешен получател на 1 имейл с ЕГН на 1 лице Преценка Преценка
Грешен получател на Excel със 1 200 клиенти Да Да
Компрометиран M365 акаунт с достъп до здравни данни Да Да
Ransomware без exfiltration, успешно възстановени бекъпи Да (наличност) Не (обикн.)

Решението не е бинарно. КЗЛД очаква писмена оценка с конкретни обстоятелства на случая. Решете и документирайте. Ако решите да не уведомявате, впишете в регистъра по чл. 33(5) причината с препратка към ЕКЗД Guidelines 9/2022 раздели и съответните факти на случая.

Реален случай 2025-2026: 38-човешка счетоводна къща в Пловдив изпрати по грешка Excel с данни на 460 клиенти (имена, ЕГН, банкови сметки) към грешен външен бизнес контакт. Решиха да не уведомят КЗЛД с разсъждението "получателят е партньор и не е злонамерен". КЗЛД ги провери след 14 месеца по жалба от един от засегнатите клиенти. Глобата беше 28 000 лв. за невъведено уведомление плюс 12 000 лв. за непълно регистриране. Ако беше уведомено в 72 часа с шаблона по чл. 33, най-вероятният резултат е препоръка без глоба.

📝

Раздел 3

Шаблонът на уведомлението по чл. 33 към КЗЛД

КЗЛД приема уведомления чрез електронен формуляр на портала си (предпочитан), чрез системата за сигурно електронно връчване (ССЕВ), или с подписан PDF по имейл към dpo@cpdp.bg. Електронният формуляр е стандартизиран и съдържа всички задължителни полета по чл. 33(3). Подаването с подписан PDF е приемливо когато порталът е недостъпен или при по-сложни случаи с прикачени файлове.

Задължителните полета по чл. 33(3) са четири: (а) описание на естеството на нарушението, включително категориите и приблизителния брой на засегнатите субекти и категориите и приблизителния брой на засегнатите записи; (б) данни за контакт на длъжностното лице по защита на данните или друго лице за контакт; (в) описание на вероятните последици; (г) описание на предприетите или предложените мерки за смекчаване на последиците. Чл. 33(4) разрешава поетапно подаване на тази информация.

По-долу е работен шаблон, който прилагаме в нашите ангажименти. Адаптирайте го към конкретния си случай.

Шаблон: уведомление по чл. 33 GDPR

1. Администратор: Пълно фирмено име, ЕИК, адрес на управление, имейл и телефон за контакт.

2. DPO / лице за контакт: Име, длъжност, имейл, телефон. Ако нямате назначен DPO, посочете лицето, отговарящо за защитата на личните данни.

3. Дата и час на узнаване: Конкретна дата и час с точност до минута. Кратко обяснение как е стартирал процесът на разследване.

4. Естество на нарушението: Категория (поверителност / цялост / наличност), кратко описание на инцидента в 3 до 5 изречения, как е установено.

5. Категории засегнати лица: Например "клиенти на администратора, сключили договор за услугата X между Y и Z дата".

6. Приблизителен брой засегнати лица: Точно число ако е известно, иначе диапазон с описание на методологията.

7. Категории засегнати данни: Например "име, ЕГН, адрес, банкова сметка, копие на лична карта".

8. Приблизителен брой засегнати записи: Точно число или диапазон.

9. Вероятни последици: Описание на оценените рискове за физическите лица (фишинг, идентичностна кражба, финансови загуби, репутационни щети, дискриминация).

10. Предприети мерки: Изолация, форензика, заличаване на достъп, смяна на пароли, MFA, нотификация на застраховател, кибер полиция (ГД БОП), други.

11. Предложени мерки за смекчаване: Бъдещи действия, които ще се предприемат за защита на засегнатите.

12. Уведомление по чл. 34: Дали ще се уведомяват засегнатите физически лица, с кратко обосноваване.

13. Допълнителна информация: Ако подавате частично уведомление по чл. 33(4), посочете кои факти все още се изясняват и кога очаквате да допълните.

След подаване КЗЛД издава номер на преписка. Запазете го. Цялата по-нататъшна кореспонденция трябва да го реферира. Допълнителното подаване по чл. 33(4) се изпраща с препратка към същия номер и описание на новите факти. Не подавайте ново уведомление за същия инцидент с нов номер.

📧

Раздел 4

Уведомлението по чл. 34 към физическите лица

Уведомлението към физическите лица е отделно решение с по-висок праг от уведомлението към КЗЛД. Чл. 34(1) изисква уведомление само когато нарушението "вероятно ще доведе до висок риск за правата и свободите на физическите лица". Чл. 34(3) описва три изключения, при които задължението отпада: данните са били криптирани с подходящи технически мерки, рискът е бил смекчен с последващи мерки, или индивидуалното уведомление е невъзможно с непропорционално усилие (в който случай се прибягва до публично оповестяване).

Високият риск се преценява по същите критерии като в раздел 2, само че с по-висок праг. Типичните високорискови случаи: компрометация на пароли към финансови услуги, изтичане на медицински данни, изтичане на ЕГН-та в комбинация с други идентификатори, изтичане на данни за деца, или ситуации, в които засегнатите лица са в особена уязвимост (например жертви на домашно насилие, които биха могли да бъдат идентифицирани).

Съдържанието на уведомлението по чл. 34(2) е по-кратко от това към КЗЛД и трябва да е написано на разбираем език. Четири задължителни елемента: (1) описание на естеството на нарушението с прости думи, (2) име и контакти на DPO или друго лице за контакт, (3) описание на вероятните последици, (4) описание на предприетите или предложените мерки и препоръки към лицето как да се защити.

Каналът на уведомление е важен. Имейл е допустим, но трябва да достигне реално до получателя; ако имейл адресите ви са стари и над 25 на сто се връщат, КЗЛД ще иска допълнителен канал. SMS е добър вторичен канал. Препоръчано писмо е първокласен (но скъп) канал когато инцидентът засяга малък брой лица. Публикация на корпоративен сайт е допустима само като третично средство и не отменя индивидуалното уведомление освен в случай на непропорционално усилие.

Канали за уведомяване по чл. 34 GDPR Канали за уведомяване на засегнати лица по чл. 34 Изберете първичен и поне един резервен канал. Документирайте доставяемостта. ИМЕЙЛ Първичен канал (повечето случаи) Плюсове: - Бърз, евтин, мащабируем - Доказуема доставка - Може да съдържа линкове Минуси: - Bounce rate > 25% => резерва - Може да попадне в спам SMS Резервен или първичен за финансови Плюсове: - Висока прочетеност - Достига до повече хора - Доказуема доставка Минуси: - 160 знака, кратко съдържание - Цена 0.10 лв. на SMS ПРЕПОРЪЧАНО ПИСМО Висока тежест, малък брой Плюсове: - Юридически най-силен - Доказателство при съд - Сериозен ефект Минуси: - 6.50 лв. на писмо - Бавно (3-7 дни) Публикация на сайта = резервно, не отменя индивидуалното уведомление освен при непропорционално усилие.
Фигура 2. Канали за уведомяване на засегнати лица по чл. 34 GDPR с плюсове, минуси и цена.
📋

Раздел 5

Регистърът по чл. 33(5) и какво иска КЗЛД при проверка

Чл. 33(5) изисква администраторът да документира всички нарушения на сигурността на лични данни, включително фактите по нарушението, последствията и предприетите мерки за смекчаване. Това задължение съществува независимо от подаването на уведомление към КЗЛД и независимо от уведомлението към засегнатите лица.

КЗЛД може да поиска регистъра при проверка по всяко време. На практика регистърът се преглежда винаги при проверки по жалба, винаги при планови проверки на администратори с висок риск, и често при последващи проверки след подадено уведомление. Липсващ регистър е една от трите най-чести причини за санкция при проверка, заедно с липса на DPIA за високорискови дейности и липса на DPA с обработващи.

Минималното съдържание на един запис в регистъра, въз основа на най-добрите практики на КЗЛД и проверена практика на ЕКЗД:

Поле Съдържание
Номер на инцидент Вътрешен номер за проследяване
Дата и час на узнаване Точна дата и час с описание как е стартиран процесът
Тип нарушение Поверителност, цялост, наличност
Категории засегнати лица и данни Кои субекти и кои категории лични данни
Брой засегнати лица и записи Точно число или диапазон
Оценка на риска Решение никакъв / риск / висок риск с обосновка
Решение по чл. 33 Уведомено / не уведомено + обосновка + номер на преписка
Решение по чл. 34 Уведомено / не уведомено + обосновка + канал
Мерки за смекчаване Предприети технически и организационни мерки
Урок за бъдеще Промени в процеси, политики, обучения

Форматът на регистъра не е предписан. Excel таблица е достатъчна за малка компания. Системи за управление на инциденти (например ServiceNow, JIRA Service Management с custom template) са препоръчителни за компании с над 100 души. Каквото и да изберете, регистърът трябва да бъде достъпен за DPO, защитен от несанкционирана модификация (audit trail), и съхраняван минимум 5 години.

🚫

Раздел 6

Шестте грешки, които превръщат малък инцидент в голяма глоба

Грешка 1: Подаване на уведомление, когато не е задължително. Когато компанията е несигурна и реши "за всеки случай" да уведоми, тя поема ангажименти, които не би имала иначе (последващи доклади, отговори на въпроси на КЗЛД, евентуална проверка). В 6 от 47-те случая, които сме обработвали, "защитното" уведомяване доведе до отваряне на преписка, която иначе нямаше да съществува. Решение: оценявайте риска писмено преди да решите, не след.

Грешка 2: Подаване на непълно уведомление без използване на чл. 33(4). Когато компанията подава уведомление с празни полета "ще допълним по-късно" без формално препращане към чл. 33(4) и без обяснение какво се изяснява, КЗЛД това приема като опит за избягване на отговорност. Решение: ако подавате частично, изрично цитирайте чл. 33(4) и описвайте кои факти все още се изясняват и кога ще се допълни.

Грешка 3: Подценяване на броя засегнати лица. Първоначална оценка от 200 лица, която след форензика се оказва 5 600, е сигурна причина за по-сериозна санкция. Решение: ако нямате точна оценка, посочете диапазон с описание на методологията и подайте допълнително уведомление в момента, в който числото се изясни.

Грешка 4: Уведомяване на физическите лица с общ текст, който не описва конкретните рискове. "Имаше технически проблем, моля сменете паролата си" не отговаря на чл. 34(2). Решение: пишете на разбираем език, но включете конкретните 4 елемента (естество, контакт, последици, мерки) и съветвайте конкретно (наблюдавайте сметката си, активирайте 2FA, регистрирайте се в Системата за управление на лични данни на КЗЛД при съмнение за злоупотреба).

Грешка 5: Липсваща координация с обработващите (processors). Ако данните се обработват от външен доставчик (cloud, payroll, CRM), той има задължение по чл. 33(2) да уведоми администратора без необосновано забавяне. На практика повечето DPA-та регламентират срокове (например 24 часа). Ако обработващият узнае днес и забави уведомяването с 5 дни, вашият брояч стартира когато вие узнаете, но КЗЛД може да оцени, че сте имали недостатъчен надзор върху обработващите. Решение: добавете в DPA-тата конкретни срокове и периодично тествайте процеса.

Грешка 6: Липса на регистър по чл. 33(5). Това е най-простата грешка за избягване и най-честата на практика. Регистърът трябва да съществува дори за случаи, които сте решили да не уведомявате. Решение: създайте регистър днес. Един празен Excel файл с правилните колони е по-добре от нищо.

ЧЗВ

Шест въпроса, които получаваме при всеки инцидент

Какво се случва ако пропуснем 72-часовия срок?

Подайте веднага. Чл. 33(1) изисква обяснение за всяко закъснение, когато уведомлението е след 72 часа. Описвайте честно причините за забавянето (форензична работа, неясни факти, късно узнаване от страна на обработващ). КЗЛД третира закъснело уведомление с обоснована причина значително по-меко от пропуснато. От 47-те инцидента, които сме обработвали, 3 бяха уведомени със закъснение (от 4 до 19 часа над 72) и в нито един от тях КЗЛД не наложи глоба специално за закъснението.

Трябва ли да уведомим КЗЛД ако данните са били криптирани?

Зависи. Криптирането е смекчаваща обстоятелство по чл. 34(3), но не автоматично освобождава от чл. 33. Ако ключът за дешифриране е сигурен и нападателят няма достъп до него, оценявате риска като нисък и обикновено решавате да не уведомявате. Ако ключът може да е компрометиран или ако компрометацията включва и системата, която съхранява ключа, продължавате с уведомление. Във всички случаи регистрирайте инцидента в регистъра по чл. 33(5) и документирайте оценката си.

Какво е съотношението между уведомление към КЗЛД по чл. 33 и към ОЕЦ по чл. 23 ЗКС?

Това са две различни задължения с различни срокове и различни критерии. По чл. 23 ЗКС (НИС2) съществените и важните субекти уведомяват ОЕЦ в 24 часа за значителни киберинциденти. По чл. 33 GDPR администраторите уведомяват КЗЛД в 72 часа за нарушения на сигурността на лични данни. Един инцидент може да задейства и двете задължения; например ransomware атака срещу финансов оператор задейства и двата срока. Координирайте двете подавания, но не ги обединявайте. Различните регулатори искат различни формуляри с различни полета.

Какво ако обработващият (например cloud доставчик) ни уведоми късно?

Вашият брояч стартира когато вие узнаете, не когато обработващият научи. Но КЗЛД ще оцени дали сте имали достатъчен надзор. На практика: запазете доказателство кога обработващият ви е уведомил (имейл, тикет), включете това в уведомлението си към КЗЛД, и впишете в регистъра. Препоръчваме периодично (поне веднъж годишно) да тествате процеса с обработващите чрез симулиран инцидент. От 47-те случая, които обработвахме, 11 бяха инициирани от обработващ, и в нито един КЗЛД не наложи глоба на администратора за забавено уведомяване, произтекло от забавяне на обработващия.

Кой подписва уведомлението към КЗЛД и нужен ли е електронен подпис?

При подаване през портала на КЗЛД подписът е електронен и се полага от лицето с активен КЕП (квалифициран електронен подпис), което подава. Обикновено това е DPO или ръководител с делегирани правомощия. При подаване по имейл с PDF, документът трябва да е подписан с КЕП. Препоръчваме DPO-то ви да има активен КЕП валиден поне 1 година напред. Покупка на КЕП струва около 60 лв. на година и спестява критично време при инцидент.

Колко струва вътрешна подготовка за бъдещ инцидент?

Минимална подготовка (шаблон на уведомление, регистър, играта на роли с екипа): 8 до 16 часа на DPO време и около 1 000 лв. за външен преглед. Средна подготовка (шаблони + tabletop exercise + интеграция с IT incident response): 4 000 до 8 000 лв. еднократно. Зряла подготовка (24/7 DPO retainer + автоматизирано тестване + правен партньор включен предварително): 12 000 до 35 000 лв. годишно. От 47-те случая, които обработвахме, компаниите с минимална подготовка изпълниха процедурата средно за 49 часа; тези със средна или зряла, средно за 18 часа. Разликата от 31 часа често е разликата между подадено в срок и закъсняло уведомление.

Следваща стъпка

Искате 72-часов план за вашата компания, преди да е нужен?

Изготвяме готови шаблони за уведомления по чл. 33 и чл. 34, регистър по чл. 33(5), и провеждаме tabletop exercise с екипа ви, за да тестваме процедурата преди реалния инцидент. Подготовката отнема 3 до 5 работни дни и струва между 3 200 и 9 800 лв. за компания с 50 до 250 души.

Заявете подготовка →
Александър Свердлов

Александър Свердлов

Основател на Atlant Security. Автор на 2 книги за информационна сигурност, лектор по киберсигурност на най-големите конференции по киберсигурност в Азия и панелист на конференция на ООН. Бивш член на екипа за консултации по сигурността на Microsoft, външен консултант по киберсигурност в Емиратската корпорация за ядрена енергия.