Една кибератака - милиарди по-малко: когато пазарната стойност се срива за часове

Преди няколко десетилетия пазарен срив на компания се е изразявал в паника на борсата, крещящи брокери и тежък цигарен дим. Въздухът е бил наситен с никотин, кофеин и страх от уволнение до края на деня.

Телефоните звънят до пръсване, по пода се търкалят смачкани разписки, а някой някъде крещи „продавай!“, докато пазарната стойност се топи в реално време. Обикновено причината е била например пропуснати финансови цели, управленски скандал или рязък спад в продажбите.

Днес един хакер с лаптоп за 500 евро може да изтрие милиарди от пазарната стойност на корпорация. Това не се случва с „магия“, а с най-банална човешка слабост. Например: фишинг имейл примамва служител да въведе парола, уязвимост в софтуерна библиотека позволява извличане на данни или компрометиран API ключ дава достъп до „горещи“ портфейли.

След това хакерът може да инжектира рансъмуер и да заключи системи, да изнесе чувствителни файлове за изнудване или да засегне доставчици и партньори и т.н.

И тази завидна креативност от злонамерени агенти се случва, докато масово мениджъри все още държат паролите си на жълти листчета върху мониторите.

Добре дошли в икономиката на цифровия страх - в който един компрометиран имейл може да изтрие десетилетие доверие.

Пазарите винаги са били чувствителни към несигурността - била тя икономическа, геополитическа или корпоративна. Разликата е, че днес тя не идва от рецесия или погрешна оперативна стратегия, а от линк, прикачен файл или един компрометиран акаунт. И капиталът реагира мигновено. Или както го определи The New York Times - един вирус може да направи това, което преди можеше само централната банка (в случая Федералния резерв).

Случаят Coinbase

На 15 май тази година на Уолстрийт денят започва спокойно. Акциите на Coinbase - вече част от индекса S&P 500 - се търгуват стабилно. До следобед новината избухва: компанията е жертва на мащабна кибератака, при която хакери открадват чувствителни клиентски данни и искат 20 млн. долара откуп.

Реакцията е незабавна. За часове акциите потъват с повече от 7%, а пазарната стойност на компанията се стопява с над 3,5 млрд. долара. NYT предава, че секунди по-късно борсовите терминали се пълнят с поръчки за разпродажба. Трейдъри описват сесията като „дигитален трус“.

Главният изпълнителен директор Брайън Армстронг отказва да плати откупа. Вместо това обявява същата сума - 20 млн. долара - като награда за залавянето на нападателите. Символичен жест, който обаче не спира паниката. В същия ден Coinbase уведомява Комисията за ценни книжа и борси на САЩ, че очакваните разходи по кризата ще достигнат между 180 млн. и 400 млн. долара, основно за компенсации и засилване на защитата.

Причината за пробива може да се нарече дори безумна – служител в чуждестранен колцентър е бил подкупен срещу достъп до клиентски данни. Човешка слабост, превърнала се във финансов риск.

Анализатор на Уолстрийт тогава издава присъдата си: „Crypto’s blue chip has a human bug“, или нещо като „Синият чип на криптопазара е ударен от човешки бъг.“

Ефектът на доминото

Два месеца по-рано, през февруари, криптоборсата Bybit също преживява атака. Хакери компрометират ключовете за достъп до онлайн криптопортфейли и източват над 1,1 млрд. долара. В рамките на часове борсата блокира тегленията, а потребителите виждат съобщение: „Temporary maintenance in progress.“ (Тече временна поддръжка.)

Следват три дни на шок и изпаряване на стойност. Биткойн губи 8% от стойността си (от 102 800 до 94 600 долара), цената на етера спада с 6% (до 2700 долара), а токенът на самата борса BIT се срива с 9%. Общо пазарът изтрива над 10 милиарда долара капитализация.

Според The New York Times това е най-дълбокият удар по доверието в криптопазара след бурята около Binance през 2022 г. Тогава най-голямата борса за дигитални активи в света се оказа под прицел на американските регулатори заради обвинения в нарушаване на санкции и пране на пари.

Проблемът не е само в кражбата сама по себе си, а и в ефекта на доминото - фондове и трейдъри започват паническо разпродаване, регулатори в Сингапур и Дубай започват проверки, а индивидуалните инвеститори се опитват да изтеглят средствата си, опасявайки се, че платформата ще спре да функционира изцяло.

След седмица Bybit възстанови достъпа до акаунтите и започна поетапно компенсиране на засегнатите клиенти като опит да възстанови доверието. Ръководството на борсата обяви, че ще премине изцяло към модел със „студени портфейли“ и многослойна идентификация при достъп до системата.

Ефектът не се ограничава до криптовалутите. През април SK Telecom – най-големият телеком оператор в Южна Корея - потвърди пробив в базата си с клиентски данни. Изтичането засяга договори, телефонни номера, вътрешна кореспонденция.

Само за ден акциите поевтиняват с 8,5%, а пазарната капитализация се свива с 1,4 млрд. долара. Случаят е парадоксален - компанията, която осигурява връзка на милиони хора, не успява да защити собствените си системи.

Анализаторите в Сеул отбелязват, че това е първият случай, при който изтичане на данни има по-осезаем борсов ефект от неуспешен тримесечен отчет.

Последиците продължиха и след първоначалната паника - прогнозите за приходи за 2025 г. бяха понижени с 800 млрд. вона (592 млн. долара), а през август компанията получи глоба от местните регулатори в размер на 134 млрд. вона (около 97 млн. долара) за пропуски в сигурността.

В рамките на месец акциите на SK Telecom се стабилизираха, но доверието на инвеститорите остана колебливо. Компанията започна съвместна програма за повишаване на сигурността с южнокорейското Министерство на науката, насочена към мониторинг в реално време и обучение на персонала по киберустойчивост.

Поуки от щетите

Доклад на IBM от тази година показва, че средната глобална стойност на една кибератака е около 4,4 млн. долара. Това е спад спрямо показателите от предната година (4,88 млн. долара) поради по-бързо откриване и ограничаване на щетите. Причината за подобрението не е магическа - компаниите просто са подобрили защитите си.

Кибератаките се превръщат в нов макрофактор – равностоен на инфлацията, лихвите или дълга. Те удрят системи, но най-вече цели вериги на стойността.

На пръв поглед това изглежда далеч от българския бизнес. Само че няма „далеч“ в икономика, в която данните са глобална валута. Почти всички големи и средни български предприятия, банки и аутсорсинг компании използват външни доставчици за облачни услуги, клиентски бази и плащания. Пробив в партньорска платформа в САЩ или Южна Корея може да блокира достъпа до данни и у нас.

Дори и без директна атака, ефектът е финансов. Спират поръчки, забавят се плащания, блокират се онлайн услуги. Един киберинцидент може да постави компания с ограничена ликвидност в невъзможност да оперира нормално.

Българският бизнес още не осъзнава мащаба на тази зависимост. Но следващият пробив в западна банка, борса или телеком ще покаже, че веригата не свършва на границата.

Кибератаките все по-често поставят под заплаха устойчивостта на бизнеса, но много от тях могат да бъдат избегнати с навременна и проактивна защита. Решения като Endpoint Protection предотвратяват криптирането на критични данни и позволяват ранно откриване на подозрителна активност. Когато това се комбинира с редовни тестове за сигурност (Pen Test) и постоянен мониторинг чрез SOC център, организациите изграждат стабилна и адаптивна защита срещу динамичните киберрискове на съвременната среда.