Как открихме 7 нарушения в публичен сайт за 15 минути — без достъп до системите

Не ни трябваше парола. Не ни трябваше достъп до сървъра. Отворихме браузъра, заредихме публичния сайт на една община и за 15 минути открихме 7 нарушения на ЗКС, GDPR и ЗЕУ — всяко от които може да доведе до глоба.

Ето какво намерихме — и как да проверите своя сайт по същия начин.

1. Gmail и ABV за служебна поща

На страницата „Контакти" видяхме имейли на служители с @gmail.com и @abv.bg. Това е тройно нарушение:

  • ЗКС, чл.22, т.5 — липса на контрол върху веригата на доставки. Google и ABV не са договорни доставчици на общината.
  • GDPR, чл.28 — няма договор за обработка на лични данни с Google/ABV.
  • ЗЕУ — електронната кореспонденция на администрацията трябва да е в защитена среда.

Как да проверите: Отворете страницата „Контакти" на вашия сайт. Ако виждате @gmail.com, @abv.bg или @hotmail.com — имате проблем.

2. Липса на SPF, DKIM и DMARC

Проверихме DNS записите на домейна. Нямаше нито SPF, нито DKIM, нито DMARC. Това означава, че всеки може да изпраща фалшиви имейли от името на общината.

  • ЗКС, чл.22, т.8 — криптографски мерки и защита на комуникациите.
  • ЗКС, чл.22, т.1 — липса на политика за сигурност на информацията.

Как да проверите: Отидете на mxtoolbox.com → въведете домейна → вижте дали има SPF, DKIM, DMARC записи.

3. Липса на cookie банер с реален избор

Сайтът зареждаше Google Analytics, YouTube iframe и Facebook widget преди потребителят да даде съгласие. Cookie банерът или липсваше, или имаше само бутон „Приемам" без опция за отказ.

  • GDPR, чл.6 и чл.7 — обработка на лични данни без валидно съгласие.
  • Директива 2002/58/ЕО (ePrivacy) — задължителен consent преди non-essential cookies.

Как да проверите: Отворете сайта в Incognito. Ако виждате YouTube, Facebook или Analytics заявки преди да натиснете каквото и да е — нарушение.

4. Политика за поверителност от 2018 или 2021 г.

Намерихме Privacy Policy, актуализирана последно през 2021 г. Не споменаваше ЗКС, NIS2, DPO контакт, нито процедура за уведомяване при инциденти.

  • GDPR, чл.13 и чл.14 — задължение за актуална информация.
  • ЗКС, чл.23 — процедура за уведомяване при инциденти (24/72 часа към СЕРИКС).

Как да проверите: Отворете Privacy Policy на вашия сайт. Проверете датата. Ако е преди 2026 г. и не споменава ЗКС — остаряла е.

5. Mixed content — HTTP линкове в HTTPS сайт

Сайтът имаше HTTPS сертификат, но вътрешни ресурси (изображения, скриптове) се зареждаха по HTTP. Това е mixed content — браузърът показва предупреждение и криптирането на страницата е компрометирано.

  • ЗКС, чл.22, т.8 — криптографски мерки.
  • ЗЕУ, Наредба за общите изисквания — задължителен HTTPS за всички публични системи.

Как да проверите: Отворете сайта в Chrome → F12 → Console. Ако виждате „Mixed Content" предупреждения — имате проблем.

6. IP адрес на сървъра в URL

При клик на определени линкове URL-то показваше директно IP адрес вместо домейн (например http://185.xxx.xxx.xx:8080/page). Това разкрива инфраструктурата и улеснява атаки.

  • ЗКС, чл.22, т.6 — оценка на ефективността на мерките за сигурност.
  • ЗКС, чл.22, т.1 — политики за анализ на риска.

Как да проверите: Навигирайте из сайта и следете URL лентата. Ако виждате IP адрес или нестандартен порт (:8080, :3000) — сървърната архитектура е разкрита.

7. YouTube embed без cookie consent

YouTube видеата бяха вградени с обикновен iframe, без youtube-nocookie.com. Това означава, че Google поставя tracking cookies на посетителя преди каквото и да е съгласие.

  • GDPR, чл.6 — обработка без правно основание.
  • GDPR, чл.28 — липса на договор за обработка с Google.

Как да проверите: Вижте source кода на страницата (Ctrl+U). Търсете „youtube.com/embed". Ако не е „youtube-nocookie.com/embed" — нарушение.

Какво означава това за вашата организация?

Всяко от тези 7 нарушения е видимо публично — без парола, без достъп, без хакване. Всеки гражданин, журналист или проверяващ от МЕУ може да ги открие за минути.

С влизането в сила на ЗКС (ДВ бр.17/13.02.2026) МЕУ ще изисква доказателства за изпълнение, не само декларации. НСОРБ изрично предупреди за това в консултативния си материал от 13.02.2026 г.

Санкциите:

  • Лична глоба на ръководителя: 500–5 000 EUR (чл.21 ЗКС)
  • При неизпълнение на предписание: 2 500–12 000 EUR, повторно 5 000–25 000 EUR (чл.28 ЗКС)
  • Максимална санкция: до 10 000 000 EUR или 2% от годишния оборот (чл.29 ЗКС)

Какво да направите сега?

  1. Безплатен AI скен — нашият инструмент проверява публичния ви сайт за основните нарушения за секунди → avigentis.eu/app
  2. Свалете 48-точковия чеклист — пълният списък на проверките в 8 нормативни блока → Свали PDF
  3. Свържете се с нас — за пълен одит с доклад за МЕУ → avigentis.eu/kontakt

Авигентис ЕООД е консултант по киберсигурност, не гарант. Отговорността за изпълнение на ЗКС се носи от субекта (чл.21 ЗКС).