Вече трети пореден ден България се намира под безпрецедентен дигитален натиск. Масовите имейли със заплахи за взривни устройства и „вербувани самоубийци“ заляха не просто стотици училища, но и критична инфраструктура – националните летища в София и Варна, болници, стратегическия Дунав мост и сградите на БНТ и БНР. И докато МВР уверява, че всичко е под контрол и се задействат планове по установената законова процедура, а ГДБОП търси следите на сървъри в Италия, историята ни дава отличен контекст за това какво всъщност се случва.
За да разберем защо днес институциите изглеждат безпомощни, трябва да погледнем назад и да си припомним как се справяше държавата с бомбените заплахи преди.
В близкото минало България редовно преживяваше вълни от бомбени заплахи, но те имаха съвсем друг характер, мащаб и извършители. През годините традиционният пик на фалшивите сигнали у нас беше около края на сроковете или по време на матури. Сценарият беше класически – ученик звъни от уличен телефон или от скрит мобилен номер, за да провали контролно по математика. МВР разплиташе тези случаи в рамките на броени часове до два-три дни. Извършителите бързо биваха локализирани по клетката на мобилния оператор или чрез камерите около телефонните кабини, а наказанието обикновено беше глоба за родителите и сериозно обществено порицание.
Друг традиционен пример от миналото бяха сигналите срещу Съдебната палата в София или Пловдив, които обикновено се подаваха сутрин с цел отлагане на конкретно наказателно дело. И в тези ситуации полицията действаше по познат шаблон, който включваше евакуация, проверка със следови кучета и последващо бързо разкриване на поръчителя, който често се оказваше роднина на подсъдимия. Причината тези сигнали да се разкриват за часове беше, че те бяха изцяло аналогови и локални. Извършителят се намираше физически на територията на страната, използваше българска мрежа и оставяше реални следи, което правеше работата на криминалистите сравнително лесна.
Истинският шок за българската система за сигурност дойде през март 2023 г., когато за първи път страната ни се сблъска с новата еволюционна форма на този феномен. Тогава стотици училища в София, Варна, Бургас и Плевен бяха парализирани от масови имейли, изпратени от акаунти с руски имена. В този момент киберслужбите ни се изправиха пред стена. Оказа се, че заплахите се разпращат чрез автоматизирани ботове, използващи VPN мрежи за скриване на реалното местоположение и криптирани имейл услуги в чужбина. Разкриването на подобни извършители изисква сложни международни съдебни поръчки, преговори с технологични гиганти в САЩ или Европа и отнема месеци, а понякога е практически невъзможно, ако сървърите се намират в държави, които отказват сътрудничество. Тогава България за първи път разбра, че старите процедури на МВР са безполезни срещу глобалния кибертероризъм.
България далеч не е сама в този капан, тъй като сценарият за масирано дигитално тестване чрез заплахи вече беше разигран в няколко съседни държави, където резултатите от разследванията бяха идентични. В разгара на войната в Украйна през 2022 г. Сърбия бе залята от хиляди сигнали за бомби на летището в Белград, в училища и вододобивни централи. Сръбската полиция установи, че имейлите идват от седем различни държави, използващи швейцарски криптирани услуги.
На разследващите отне месеци, с помощта на Европол, за да установят, че става дума за координирана хибридна кампания, чиито автори така и не бяха физически арестувани, но бяха локализирани извън границите на страната. По абсолютно същия начин бе ударена и Северна Македония, където ситуацията ескалира дотолкова, че учениците не ходиха на училище с месеци заради ежедневни заплахи. Властите в Скопие тогава арестуваха няколко местни младежи, увлечени по кибертехнологиите, но признаха, че основното ядро на атаката е дошло от чужди IP адреси с цел дестабилизация на новата членка на НАТО.
Анализът на миналото ни показва едно – времето на локалните хулигани свърши. Настоящата тридневна атака срещу България не е дело на уплашен ученик или ядосан гражданин. Мащабът, при който едновременно се удрят летища, стратегически мостове, медии и болници в цялата страна, изисква сериозна организация, логистика и софтуерни ресурси.
Това е хладнокръвен тест на националните ни рефлекси в реално време. Когато институциите казват, че извършителите още не са установени и няма задържани, това е болезнена илюстрация на факта, че нашите служби се опитват да борят кибервойна от двадесет и първи век с методи и ресурс от миналия век. И докато държавата се задоволява с това просто да констатира, че сигналите са фалшиви и да прилага засилени мерки за сигурност, авторите на тези атаки получават точно това, което искат – подробна карта на нашите слабости, времето ни за реакция и капацитета ни за справяне с кризи.
