Един от най-големите уроци за дигиталната икономика през последната година не идва от фалит, срив на платформа, или масова измама, а от нещо по-тихо и по-притеснително: месеци, в които никой не разбира, че данните на почти цяла държава вече са компрометирани.
Южнокорейският гигант в електронната търговия Coupang, често наричан „корейския Amazon“, е изградил репутацията си върху светкавични доставки и агресивен растеж. Но когато става дума за киберсигурност, реакцията му се оказва значително по-бавна.
Пробив в системите на компанията започва през юни 2025 г. през сървъри в чужбина, но Coupang разбира за него едва през ноември същата година, след като клиент подава сигнал за подозрителна активност.
Това води до изтичане на имена, телефонни номера, имейли, лични адреси на над 33-34 милиона потребители. Става дума за огромна част от пълнолетното население на страната и според правителството е най-големият подобен случай, поне в историята на Южна Корея.
Почти пет месеца Coupang функционира нормално, докато данните на десетки милиони стават достъпни за неоторизиран достъп.
Първоначално компанията говори за „разкриване“ на около 4500 акаунта. Само дни по-късно мащабът е коригиран до над 30 милиона. Под натиск от регулаторите терминологията също се променя – от „разкриване“ към „изтичане“.
Междувременно местни медии обобщават ситуацията с едно изречение: „Цялата нация е жертва“.
Разследването сочи, че атаката не е дело на сложна външна операция, а на човек с вътрешен достъп. Заподозреният е бивш софтуерен разработчик, работил по системи за автентикация. След края на договора си той запазва вътрешен криптографски ключ, който му позволява да генерира фалшиви токени и да се представя за легитимен потребител.
Според публично достъпни данни на властите той е китайски гражданин, напуснал страната.
Главният директор по информационна сигурност на Coupang свидетелства, че става дума за „привилегирована роля“, даваща достъп до ключови системи. Южнокорейският депутат Чой Мин-хи допълва пред The Wall Street Journal, че въпросният ключ е останал активен дори след напускането на служителя. С други думи, проблемът не е пробив през защитна стена, а слаб вътрешен контрол.
Компанията подчертава, че не са засегнати пароли, кредитни карти или платежни данни. Това обаче не успокоява властите. Изтеклата информация е достатъчна за мащабни фишинг атаки и таргетирано профилиране. Друг южнокорейски политик го формулира пред Financial Times така:
„Все едно ключовете за домовете на почти всички в страната да са откраднати“.
Последиците – засега
Политическата реакция е остра. Президентът Ли Джей-мьонг нарече случая „събуждане“ за страната и заяви, че е „поразително“ как най-големият онлайн търговец не е открил пробива цели пет месеца.
„Погрешната практика да не се полагат нужните грижи за защитата на личните данни – ключов актив в ерата на изкуствения интелект и дигитализацията – трябва напълно да се промени“, коментира още той.
Ръководството на Coupang също плаща тежка цена. Директорът на южнокорейското подразделение подава оставка. Основателят и председател Бом Ким обаче дълго време не се появява лично с извинение, което предизвиква допълнително обществено недоволство.
Компанията обещава да „засили значително информационната сигурност“ и да направи всичко възможно, за да възстанови доверието.
Спрямо корейското законодателство глобата може да достигне до 3% от средните годишни приходи за последните няколко години – сума, която анализатори изчисляват на около 750 млн. долара. Законът позволява и наказателни обезщетения до петкратния размер на реалната вреда, макар подобни разпоредби рядко да се прилагат строго.
Според IGAWorks активните потребители на дневна база са спаднали с около 2 милиона.
Случаят с Coupang не е изолиран. Южнокорейските компании SK Telecom, KT, Lotte Card и водещата криптоборса Upbit също са докладвали сериозни пробиви. Надзорните органи признават, че инвестициите в киберсигурност в страната са „потресаващо недостатъчни“ спрямо САЩ. Един експерт го обобщава просто пред Financial Times:
„Компаниите тук гледат на защитата на данните като на разход, а не като на застраховка.“
Истинският урок от случая обаче е друг. Най-големият риск вече не е самата атака, а и времето, в което тя може да остане невидима. Coupang не спира да работи. Няма срив. Няма изнудващ имейл. Бизнесът върви, докато доверието се свлича надолу като невидима лавина.
Може ли да се случи в България?
Може, и още как.
В България подобен пробив би изглеждал по-малък само по мащаб, но не и по ефект.
Зависимостта от дигитални платформи у нас нараства с всеки ден. Онлайн търговия, логистика, финтех услуги – всички те стъпват върху масиви от лични данни. При подобен сценарий ударът не би бил само репутационен, а и чисто търговски, защото доверието в условия на малък пазар се губи още по-бързо.
Какво се прави по темата? Регулаторната ни рамка още наваксва. Транспонирането на европейската директива NIS2, която въвежда по-строги изисквания за управление на киберриска и докладване на инциденти, продължава да се бави, въпреки че законопроектът е внесен в парламента от края на 2024 г. и вече е минал първо четене.
Настоящата политическа обстановка надали ще ускори процеса.
Страната ни е в наказателна процедура заради закъснението, което на практика означава, че част от новите изисквания за управление на киберриска и докладване на инциденти още не са задължителен стандарт за бизнеса. Темпото, с което се появяват уязвимости дори при големи компании, показва, че нуждата от защита ще става все по-належаща. Това означава, че компаниите, които разчитат регулацията да ги подтикне към киберхигиена, почти неизбежно ще реагират със закъснение. Във времена на нарастваща киберуязвимост, по-добре защитени са разумните мениджъри, които поставят киберустойчивостта като неделима част от цялостната политика на компаниите. Това включва както обучения на служителите, така и налагане на стриктни процедури за достъпа до фирмена информация. Технологични компании като А1 предлагат „като услуга“ експертни решения, с които подпомагат организациите, които не разполагат с достатъчно специализирани екипи по киберсигурност. Сред тях са A1 SOC, Endpoint Protection и Data Loss Prevention.
На европейско ниво посоката е към повече инвестиции в обучение и надеждни системи, повече изисквания от акционерите и правителствата и по-ясна връзка между киберсигурността и икономическата устойчивост. Затова и Европейската комисия увеличава финансирането за киберсигурност по програмата си Digital Europe – инструмент за инвестиции в дигитална инфраструктура и технологии – с фокус върху защита на критична инфраструктура, публични услуги и чувствителни данни.
В тази среда случаят с Coupang изглежда като предупреждение колко скъпо струва закъснялата реакция в икономика, зависима от доверие и данни.
