Ескалацията около Иран може да доведе до масови фишинг кампании, deepfake видеа и дезинформационни операции, които да създадат хаос и недоверие в обществото

България не е „далеч“ от подобни рискове – при кибервойна най-уязвими са енергетиката, телекомуникациите, държавните системи и логистичните вериги, казва пред Faktor/bg  
международният експерт по киберсигурност, с над 25 години професионален опит в службите за сигурност и МВР

Интервю на Мая Георгиева

- Проф. Савов, войната срещу Иран и режима на аятоласите е в пълен ход – теория на конспирацията е ли е, ако се запитаме, каква част от тази война е свързана с киберсигурността и какъв е рискът пред нея?

- Не. Това е стандартен слой на съвременната война. Кибероперациите са интегрирани в реалните бойни действия – за разузнаване, саботаж, влияние върху общественото мнение и натиск върху икономиката. В сегашната ескалация (след ударите от 28 февруари 2026 г.) западни правителства и частният сектор публично предупреждават за вероятни кибератаки към регионални цели и към западни компании и критична инфраструктура. Според мен рискът е двоен. От една страна, директен (атаки по инфраструктура, болници, училища, банки, логистика, медии). А от друга, индиректен (дезинформация, deepfake кампании, „hack-and-leak“, психологически операции), които ерозират доверие и ускоряват паника.  

-  Критичната инфраструктура в региона застрашена ли е от кибеартаки, как ще се проявят, как ще ги усетим?

- Да, критичната инфраструктура в региона е реално застрашена при ескалация на конфликта, като рискът не е само във физическите бойни действия, а и в киберпространството. Съвременните конфликти вече се водят паралелно – на бойното поле, в информационната среда и в дигиталните системи, които управляват държавата и икономиката. Именно затова кибератаките често са насочени към инфраструктура, от която зависи ежедневното функциониране на обществото – енергетика, банков сектор, телекомуникации, транспорт, логистика и държавни услуги. 

Например атаки, които могат да спрат цели информационни системи в министерства, агенции, компании, логистични центрове или пристанища. Особено чувствителна остава и индустриалната инфраструктура – системите за управление на електроенергия, вода, газ и транспорт. При тях атаките обикновено се случват чрез компрометирани отдалечени достъпи, остарял софтуер, слаби пароли или непачнати системи. В България има достатъчно от този дефицит, който е риск за националната сигурност. 

Паралелно с това почти винаги се активира и информационен фронт – масови фишинг кампании, фалшиви новини, манипулирани видеа и дезинформационни операции, които целят да усилят усещането за хаос и несигурност.

-  Какви могат да са щетите и за двете страни?

-  Щетите и за двете страни могат да бъдат значителни и да се проявят както в технически, така и в икономически и политически план. За Иран и свързаните с него мрежи съществува риск от разрушителни кибероперации срещу командни и комуникационни системи, пробиви и изтичане на чувствителна информация, както и т.нар. „hack-and-leak“ операции, които могат да подкопаят институционалната легитимност и доверието в управлението. От своя страна САЩ, Израел и техните регионални партньори са по-вероятно да бъдат обект на масови кибератаки, насочени към прекъсване на услуги и нанасяне на икономически щети – чрез DDoS кампании, ransomware атаки, саботаж на корпоративни ИТ системи и удари по доставчици от веригата за доставки.

- Какви според вас ще са защитните стратегии и на двете страни?

- Защитните стратегии на двете страни ще бъдат различни и ще отразяват нивото им на технологична подготовка и оперативни възможности. Държавите с по-висока киберзрялост ще се фокусират върху устойчивостта на системите – сегментиране и изолиране на критичната инфраструктура, повишен мониторинг и активен киберлов. Паралелно с това ще се води активна комуникационна политика за противодействие на дезинформацията и паниката. От другата страна, по-вероятната стратегия е асиметричен отговор – масови DDoS атаки, „hack-and-leak“ операции, използване на прокси групи или хактивистки мрежи за правдоподобно отричане, както и информационни операции, насочени към създаване на страх, недоверие и обществен натиск.

- Има те ли наблюдения върху нивото на подготвеност на иранските експерти по киберсигурност – трябва ли да ги подценяваме?

- През последните 5 години участвам на световните форуми за киберразузнаване и киберсигурност. През месец март бях поканен да участвам на поредният такъв форум в Дубай, но заради войната го отложиха. Имам поглед върху активността и способностите на иранските кибергрупи. Нивото на иранските киберексперти в никакъв случай не бива да бъде подценявано. През последните години различни международни анализи и официални оценки показват, че иранските държавно-свързани кибергрупи действат организирано, упорито и все по-професионално. Те разполагат с капацитет да извършват широк спектър от кибероперации. Важно е да се разбере, че стратегията на Иран в киберпространството често е асиметрична. Целта невинаги е перфектно технологично проникване, а създаване на икономически разходи, оперативен хаос и обществено недоверие. Именно този модел прави подобни операции опасни – защото дори сравнително ограничена атака може да предизвика сериозни вторични ефекти. Неслучайно в подобни геополитически ситуации финансовият сектор, телекомуникациите и критичната инфраструктура преминават в режим на повишена готовност. Ще станем свидетели на дигитален хаос, ако решат да се активират с пълна сила, туй като те имат подкрепата на други сериозни играчи в дигиталното пространство - севернокорейските киберорганизирани престъпни групи. 

- Кои са най-уязвимите цели в региона, това че България е отдалечена, поставя ли я в списъка на застрашените?

- България не е „далеч“ в киберсмисъл, защото дигиталната среда няма географски граници. Най-уязвимите цели при подобен конфликт традиционно са секторите, които поддържат функционирането на държавата и икономиката – енергетиката (производство, пренос и рафинерии), пристанищата и логистичните вериги, телекомуникациите, болниците, банковите и платежните системи, държавните регистри и онлайн услуги, както и медиите, които често са обект на информационни операции с цел влияние и паника. По-реалистичният риск за нас е преливането на атаки към държави от ЕС и НАТО, към компании, които са част от международни вериги за доставки, както и към по-слабо защитени организации. При евентуална ескалация това най-често би се проявило чрез масови фишинг кампании и онлайн измами, DDoS атаки срещу публични услуги и медии, ransomware срещу организации със слаба киберхигиена, както и дезинформационни кампании, насочени към подкопаване на доверието в институциите и обществото. Абсолютно реалистично и като имаме предвид, че сме дигитално неосведомени и неподготвени, това може да доведе до сериозни проблеми.

Препоръката ми е ясна – необходим е киберпревантивен подход. Държавните институции и критичните сектори трябва да бъдат кибер обучени за всички възможни комбинации. Служителите на администрациите да повишат нивото на мониторинг и защита, да актуализират системите си, да ограничат уязвимите отдалечени достъпи и да въведат по-строги механизми за удостоверяване. Паралелно с това е необходимо активно информиране на гражданите и бизнеса за рисковете от фишинг, измами и манипулативна информация. Най-силната защита в подобни ситуации остава комбинацията от технологична защита, обучени хора и бърза институционална реакция. Идват непредсказуеми години. Длъжни сме да се подготвим. Имаме решения, да ги приложим професионално.