Защита от хакерски атаки за фирми: Защо антивирусът и защитната стена не спират нищо (и никога не са спирали)
A
Alexander Sverdlov
Анализатор по сигурността
21.03.2026 г.
Анализ от практиката · Обновено март 2026
Харчите пари за антивирус, купихте си хардуерна защитна стена, плащате лиценз за endpoint protection. И въпреки всичко това — компаниите около вас продължават да биват хаквани. Не е случайно.
💫 Основни изводи от тази статия
Наличието на антивирусна система и защитна стена след 2009 г. не е било препятствие за всички случили се пробиви в сигурността.
95% от успешните кибератаки използват човешка грешка, не техническа уязвимост в сигурността
Реалната защита идва от комбинация на хора, процеси и технологии — не само от устройства и софтуер
Средната цена на един пробив в сигурността за малка и средна фирма в Европа е над 3.4 млн. евро за 2025 г.
Съществуват конкретни, достъпни стъпки, които вашата фирма може да предприеме още тази седмица
Антивирусът не е спрял нито един значим пробив след 2009 г.
Ще ви разкажа нещо, което много доставчици на IT сигурност не искат да чуете: купуването на антивирусен софтуер и хардуерна защитна стена не е спряло нито един от значимите хакерски пробиви в корпоративна среда от поне 2009 насам. Нито един. Не е преувеличение — това е документиран факт, видим от всеки публично известен случай на пробив.
Спомням си един разговор от преди няколко години с IT директора на средно голяма счетоводна кантора в София. Беше горд: „Имаме Sophos на всяка машина, Fortinet защитна стена, плащаме по 80 лева на машина на месец за всичко това." Три месеца по-късно се обадиха отново. Бяха шифровани от ransomware. Влезлите хакери бяха използвали откраднати идентификационни данни на един служител — получени чрез фишинг имейл. Нито Sophos, нито Fortinet бяха видели нещо нередно.
Не е изненадващо. Нека погледнем какво се е случвало в глобален мащаб. Можете да разгледате визуализацията на World's Biggest Data Breaches & Hacks — интерактивна база данни с всеки значим пробив от 2004 г. насам. Погледнете графиката внимателно. Какво виждате? Target (2013, 40 милиона карти), Yahoo (2016, 3 милиарда акаунта), Equifax (2017, 147 милиона записа), SolarWinds (2020, стотици компании едновременно), Colonial Pipeline (2021)... Всички тези организации са имали антивирус. Всички са имали защитни стени. Повечето са имали и dedicated security екипи.
⚠️ Реален пример: SolarWinds (2020)
Хакерите от групата Cozy Bear (свързана с руското разузнаване) са прекарали над 9 месеца в мрежите на засегнатите компании. Не са ги спрели нито антивируси, нито защитни стени, нито SIEM системи. Влезли са чрез компрометирана актуализация на легитимен IT инструмент — SolarWinds Orion. Засегнати са над 18 000 организации, включително части от американското правителство.
Защо се е стигнало до тук? Отговорът е прост, но неудобен: индустрията за киберсигурност ни е продавала продукти, решаващи проблемите от 2005 г., докато атакуващите са преминали към напълно различни методи. Антивирусът работи на принципа на познатите „сигнатури" — като описание на известни вируси. Хакерите отдавна са спрели да пишат класически вируси. Те използват легитимни инструменти, откраднати пароли, и изключително убедителни имейли.
🕵️
Анатомия на атаката
Как изглежда реалната хакерска атака срещу фирма
Има голяма разлика между хакерските атаки, показани по филмите, и реалността. Черен екран с летящи зелени символи е хубаво за кино — но истинската атака изглежда скучно, бавно и изключително целенасочено. Именно затова е толкова ефективна.
Типичната съвременна атака срещу малка или средна фирма протича в следните фази:
🔍 Фаза 1: Разузнаване (1–4 седмици)
Хакерът разглежда LinkedIn профилите на вашите служители, уебсайта ви, вашите публикации в социалните мрежи. Търси имена, позиции, имейл формати, технологии, партньори. Всичко това е публично достъпно и никой антивирус не може да го спре, защото се случва извън вашата мрежа.
📧 Фаза 2: Фишинг или социално инженерство (1–3 дни)
Изпраща се целенасочен имейл — т.нар. spear phishing. Не масов спам, а конкретно съобщение до конкретен човек. „Здравей Мария, изпращам ти актуализираната оферта от нашата среща миналата седмица." Имейлът изглежда от позната фирма, с правилно лого и подпис. Вграденият линк води към страница, копираща портала ви за вход в Office 365.
🔐 Фаза 3: Влизане с легитимни данни
Служителят въвежда паролата си. Хакерът вече има валиден потребителски акаунт. Влиза в Office 365, чете имейлите, разбира кой взима финансови решения, кои са ключовите системи. Нищо в тази стъпка не изглежда като „атака" за антивируса — влязъл е легитимен потребител с правилна парола.
📈 Фаза 4: Lateral movement (дни до седмици)
Хакерът се „разхожда" из мрежата ви. Използва легитимни Windows инструменти — PowerShell, WMI, Remote Desktop — за да се придвижи от машина на машина. Търси администраторски права, финансови данни, клиентски бази. Всичко изглежда като нормална IT активност за стандартна защитна стена.
🔥 Фаза 5: Удар (минути)
Когато хакерът е готов — и само тогава — идва финалният удар. Ransomware, ексфилтрация на данни, унищожаване на backup-и, изпращане на фалшиви платежни нареждания. Всичко това се случва бързо и обикновено извън работно време.
Забелязвате ли нещо? В нито един момент от тези пет фази традиционен антивирус или периметрова защитна стена не е имал шанс да спре нещо. Не защото е слаб — а защото е проектиран за напълно различен тип атака.
👤
Данни от практиката
Човешкият фактор: 95% от пробивите започват с хора, не с технологии
Ежегодният Verizon Data Breach Investigations Report е може би най-авторитетното изследване в областта на киберсигурността. Анализира хиляди документирани пробива годишно. И година след година стига до един и същи извод: над 74% от всички пробиви включват човешки елемент — грешка, социално инженерство, злоупотреба с привилегии или открадната парола. Когато прибавим и случаите на компрометирани доверени трети страни, цифрата доближава 95%.
Имахме клиент — производствена фирма с около 80 служители — която беше инвестирала сериозно в техническа защита. Хубав firewall, endpoint detection, редовно patch management. Когато направихме симулиран фишинг тест без предупреждение, 34% от служителите кликнаха на линка и 21% въведоха идентификационните си данни. Един от тях беше IT администраторът. Никакъв технически инструмент не би предотвратил атаката в реален сценарий.
74%
от пробивите включват човешки елемент (Verizon DBIR 2024)
194 дни
среден престой на хакера в мрежата преди засичане
$4.9M
средна цена на пробив глобално (IBM 2024)
Най-честите „входни врати" в реда на тяхната честота:
1
Фишинг и spear phishing
Целенасочени имейли, имитиращи познати контакти или доверени брандове. Все по-трудни за разпознаване с помощта на AI генерирано съдържание.
2
Откраднати или слаби пароли
Повторно използвани пароли от предишни течове на данни. Атаките „credential stuffing" са напълно автоматизирани и изключително ефективни.
3
Компрометирани трети страни
Вашият доставчик на счетоводен софтуер, IT аутсорс партньорът ви, системата за управление на сградата. Хакерите влизат при тях и оттам — при вас.
4
Незакрити уязвимости (unpatch-нат софтуер)
VPN системи, Exchange сървъри, уеб приложения с известни уязвимости. Хакерите сканират интернет в реално време за незакрити системи.
5
Злонамерени вътрешни лица
Недоволни служители или такива, наети от конкуренти. Имат легитимен достъп и знаят точно какво да търсят.
✅
Решения
Какво реално работи срещу модерните хакерски атаки
Нека бъдем ясни: не казваме, че антивирусът и защитната стена са безполезни. Те са необходими, но недостатъчни. Истинската защита изисква многопластов подход. Ето какво действително прави разлика:
💪 1. Многофакторна автентикация (MFA) навсякъде
Ако трябва да изберете само едно нещо от тази статия, нека е MFA. Microsoft твърди, че MFA блокира над 99.9% от автоматизираните атаки с откраднати пароли. Внедряването е безплатно при Office 365 и Google Workspace и отнема под половин ден. И въпреки това по-малко от 40% от малките фирми в България го използват.
📚 2. Обучение на служителите — редовно, не еднократно
Еднократният обучителен курс по „информационна сигурност" не работи. Работи симулирано фишинг тестване, последвано от конкретно, персонализирано обратно обучение на хората, паднали в капана. Водещи платформи като KnowBe4 или Proofpoint Security Awareness Training могат да намалят клик-рейта на фишинг с над 60% за 12 месеца.
🔗 3. Принцип на минималния достъп (Least Privilege)
Всеки служител трябва да има достъп само до това, което му е необходимо за работата му — нищо повече. Ако хакерът компрометира акаунта на маркетинг координатора, той не трябва да може да стига до финансовите данни или клиентската база. Сегментирането на достъпи ограничава радиуса на щетата при всяка атака.
📋 4. Управление на patch-ове (Patch Management)
Повечето успешни атаки използват уязвимости, за които вече има наличен patch. WannaCry — атаката, засегнала над 200 000 компютъра в 150 държави — е използвала уязвимост, за която Microsoft е пуснала кръпка 2 месеца по-рано. Имайте процес за прилагане на критични актуализации в рамките на 72 часа.
🔌 5. EDR вместо (или в допълнение на) традиционен антивирус
Endpoint Detection & Response (EDR) инструментите работят по напълно различен принцип от антивируса: те наблюдават поведението, не сигнатурите. Решения като Microsoft Defender for Endpoint, CrowdStrike Falcon или SentinelOne могат да засекат аномалии в поведението, дори когато не познават конкретния зловреден код.
💾 6. Backup-и с проверена изолация
Правилото 3-2-1: 3 копия на данните, на 2 различни носителя, 1 от тях офлайн или в изолирана „неизменяема" среда (immutable backup). При ransomware атака разликата между „загубихме всичко" и „върнахме се онлайн за 4 часа" е именно тази. Много фирми имат backup-и, но никога не са ги тествали.
📢 7. Incident Response план — написан преди да го имате нужда
Кой взима решенията при атака? Кой уведомява клиентите? Кой се обажда на адвоката? Кой говори с медиите? Тези въпроси не трябва да се решават в 2 часа сутринта, докато сървърите ви са заключени. Един прост, практичен план за реагиране при инциденти може да намали щетите с порядъци.
💰
Финансовото измерение
Колко реално струва един хакерски пробив на вашата фирма
„Ние сме малки, никой не ще ни атакува" — това е вероятно най-скъпото погрешно убеждение в бизнеса. Реалността е точно обратната: малките фирми са предпочитана мишена, именно защото имат по-слаба защита, по-малко ресурси за реагиране и честосъдържат ценни данни (клиентски карти, банкови данни, медицинска информация, IP).
Типичните разходи при един ransomware инцидент за малка фирма (50–200 служители):
Престой и загубена производителност (средно 21 дни)
€180 000 – 400 000
Разходи за IT възстановяване и forensics
€40 000 – 120 000
Правни и регулаторни разходи (GDPR, уведомления)
€25 000 – 80 000
Репутационни щети и загубени клиенти
Неизмеримо
Общо (консервативна оценка)
€250 000 – 600 000+
За сравнение: цялостен одит по киберсигурност и внедряване на мерките от предишния раздел обикновено струва между 5 000 и 25 000 евро за фирма от тази категория. Математиката е очевидна — въпросът е дали ще направите инвестицията преди или след инцидента.
🕐
Практически план
Конкретни стъпки, които вашата фирма може да предприеме тази седмица
Не е нужно да правите всичко наведнъж. Следващите стъпки са наредени по въздействие/усилие и можете да ги прилагате последователно:
⏱️ Тази седмица (безплатно или почти безплатно)
Включете MFA за всички Office 365 / Google Workspace акаунти
Проверете кои служители имат администраторски права — и намалете ги
Проверете дали имейлите ви имат SPF, DKIM и DMARC записи (използвайте mxtoolbox.com)
Проверете дали вашите имейли са в бази данни с изтекли пароли на haveibeenpwned.com
📅 Следващите 30 дни
Проведете базово обучение по фишинг осведоменост за всички служители
Тествайте backup-ите си — не само дали се правят, а дали реално се възстановяват
Направете инвентаризация на всички системи с достъп от интернет
Изключете RDP (Remote Desktop) от публичния интернет или поставете го зад VPN с MFA
📌 Следващите 90 дни
Поръчайте независим одит по киберсигурност за идентифициране на всички критични уязвимости
Внедрете EDR решение на всички корпоративни устройства
Напишете Incident Response план — дори и от 2 страници
Прегледайте договорите с всички трети страни, имащи достъп до вашите системи
📋
Независима оценка
Защо одитът по киберсигурност е отправната точка, а не последната стъпка
Много фирми правят следната грешка: закупуват инструменти и прилагат мерки, без първо да разберат какво точно трябва да защитят и откъде реално могат да бъдат атакувани. Резултатът е скъп, но неефективен „лабиринт" от продукти, покриващи се взаимно в едни области и оставящи зейнали дупки в други.
Независимият одит по киберсигурност решава именно това. Не ви казва какво да купите — казва ви какво е реалното ви ниво на риск, кои са конкретните уязвимости и в каква приоритетна последователност да ги адресирате. Добрият одит включва:
Техническо тестване
Penetration testing, сканиране на уязвимости, преглед на конфигурации на мрежово оборудване и системи
Оценка на достъпите
Кой има достъп до какво, прилага ли се принципът на минималните привилегии, има ли „призрачни" акаунти
Преглед на политики и процеси
Съществуват ли писмени политики? Спазват ли се? Има ли план за реагиране при инциденти?
Оценка на хората
Симулирани фишинг тестове, оценка на нивото на осведоменост, идентифициране на служители с висок риск
Разликата между фирма, която е преминала независим одит, и такава, която не е, е видима дори в начина, по който IT екипът говори за сигурността — от „имаме антивирус и сме ОК" към „имаме конкретен план, знаем рисковете и ги управляваме активно".
❓
Отговори
Често задавани въпроси
Значи ли това, че трябва да спрем да плащаме за антивирус?
Не. Антивирусът и защитната стена са необходима базова хигиена — особено срещу масови, автоматизирани атаки. Проблемът е когато се третират като единствена или достатъчна мярка. Те са частта от защитата, отговорна за „шума" в интернет. За целенасочена атака са почти безполезни.
Нашата фирма е малка. Хакерите нямат интерес от нас, нали?
Точно обратното. Повечето ransomware атаки са напълно автоматизирани — скенерите обикалят интернет и търсят незакрити системи, без значение чии са. Освен това малките фирми са привлекателни именно защото имат по-слаба защита. Много атаки срещу крупни компании всъщност започват от по-малък доставчик или партньор.
Законово задължени ли сме да защитаваме данните на клиентите си?
Да. GDPR изисква подходящи технически и организационни мерки за защита на личните данни. При пробив с последствия за физически лица сте задължени да уведомите КЗЛД в рамките на 72 часа. Глобите могат да достигнат до 4% от глобалния годишен оборот или 20 милиона евро, което от двете е по-голямо. Освен регулаторния риск, съществува и граждански иск от засегнатите лица.
Трябва ли ни специализиран служител по киберсигурност?
Не задължително. Много от базовите мерки могат да бъдат приложени от настоящия IT администратор или IT партньор — при правилна насока и обучение. За по-сложни задачи — одит, penetration testing, изграждане на цялостна стратегия — е по-рентабилно да ангажирате специализирана компания по проект, отколкото да наемате щатен служител с рядка квалификация.
Как да разберем дали вече сме компрометирани без да знаем?
Средният хакер прекарва близо 194 дни в мрежата, преди да бъде засечен. Признаци, които изискват незабавно разследване: необичаен трафик извън работно време, изключително бавна работа на системи без техническа причина, антивирусни предупреждения, дори ако са „почистени", непознати потребителски акаунти или акаунти с непознати привилегии. При съмнение — обадете се на специалист преди да предприемате действия сами.
Трябва ли да плащаме откуп при ransomware атака?
Официалната позиция на повечето правителства и специалисти по киберсигурност е: не плащайте. Плащането не гарантира възстановяване на данните, маркира ви като „платец" за бъдещи атаки и директно финансира престъпната организация. Правилно изградената backup стратегия е единственият надежден отговор на ransomware. Ако нямате такава — изградете я сега, не след атаката.
Готови ли сте да разберете реалното си ниво на защита?
Atlant Security провежда одити по киберсигурност, включващи техническо тестване, оценка на хората и процесите, и конкретен план за действие — не просто доклад. Започнете с безплатна оценка, за да разберете откъде сте уязвими.
Последна актуализация: март 2026 · Автор: Екипът на Atlant Security
Тази статия е с информационна цел. Статистическите данни са базирани на публично достъпни доклади, включително Verizon DBIR 2024, IBM Cost of a Data Breach Report 2024, и Microsoft Digital Defense Report 2024. Конкретните рискове за вашата организация могат да варират значително в зависимост от индустрията, размера и съществуващите мерки за сигурност.
Александър Свердлов
Основател на Atlant Security. Автор на 2 книги за информационна сигурност, лектор по киберсигурност на най-големите конференции по киберсигурност в Азия и панелист на конференция на ООН. Бивш член на екипа за консултации по сигурността на Microsoft, външен консултант по киберсигурност в Емиратската корпорация за ядрена енергия.
