Cyber security za firme: vodič za mala i srednja preduzeća u BiH

Cyber security za firme u BiH ne znači skupu opremu i odjel od deset ljudi. Za malo ili srednje preduzeće osnovna zaštita svodi se na nekoliko mjera koje pokrivaju najveći dio rizika: dvofaktorsku autentifikaciju, redovne sigurnosne kopije izvan mreže, ažuriranje sistema, obuku zaposlenih i plan reagovanja kada se incident dogodi. Većina uspješnih napada na manje firme ne koristi napredne tehnike, nego iskorištava osnovne propuste koji se mogu zatvoriti s ograničenim budžetom.

Vlasnici malih i srednjih preduzeća (MSP) u Bosni i Hercegovini često misle da su premali da bi bili meta. To je pogrešna pretpostavka. Automatizovani napadi ne biraju žrtvu po veličini, nego po ranjivosti. Računovodstvena agencija u Mostaru, proizvodna firma u Zenici ili web shop iz Banje Luke jednako su izloženi kao i velika korporacija, a najčešće imaju slabiju zaštitu i manje resursa za oporavak.

Zašto su mala i srednja preduzeća u BiH posebno izložena

Manje firme su privlačna meta zato što imaju vrijedne podatke, ali ograničenu zaštitu. Pristupaju bankovnim računima, podacima klijenata i poslovnim partnerima, ali rijetko imaju posvećen sigurnosni tim. Napadač s automatizovanim alatom ne razmišlja o tome je li firma iz Sarajeva ili iz Tuzle, nego skenira internet i napada sve što ima otvorenu ranjivost.

Nekoliko faktora dodatno pogoršava situaciju u regiji:

• Oslanjanje na jednog "IT čovjeka" koji održava sve, ali nije specijalizovan za sigurnost.
• Zastarjeli sistemi koji se ne ažuriraju jer "rade kako treba" i niko ih ne želi dirati.
• Slaba kultura sigurnosti gdje se lozinke dijele putem poruka, a sumnjivi mejlovi otvaraju bez razmišljanja.
• Nedostatak plana za incident pa kada se napad dogodi, firma improvizuje umjesto da reaguje po definisanom postupku.

Posljedica jednog uspješnog napada za malu firmu može biti veća nego za korporaciju: dani prekida rada, gubitak povjerenja klijenata i troškovi oporavka koji ponekad prelaze godišnji profit.

Najčešće prijetnje s kojima se firme realno susreću

Phishing i kompromitacija poslovnog mejla

Najčešći ulazni vektor je obična mejl poruka. Napadač se predstavlja kao dobavljač, banka ili direktor i traži uplatu, prijavu na lažnu stranicu ili otvaranje priloga. Kompromitacija poslovnog mejla (BEC) posebno je opasna jer ne zahtijeva nikakav virus, samo da neko vjeruje pošiljaocu i izvrši uplatu na pogrešan račun.

Ransomware (ucjenjivački softver)

Ransomware šifrira sve fajlove na mreži i traži otkupninu. Za firmu bez ispravnih sigurnosnih kopija to znači potpuni zastoj. Plaćanje otkupnine ne garantuje povrat podataka i samo finansira dalje napade, zbog čega su offline sigurnosne kopije ključna odbrana.

Slabe i ponovljene lozinke

Kada se ista lozinka koristi za više servisa, jedno curenje podataka kod treće strane otvara vrata svim računima firme. Bez dvofaktorske autentifikacije, ukradena lozinka je dovoljna za potpun pristup.

Ranjivosti na javno dostupnim sistemima

Web stranice, prodavnice, VPN pristupi i serveri izloženi internetu redovno se skeniraju. Neažurirana komponenta s poznatom ranjivošću može biti iskorištena automatski, bez ikakve interakcije zaposlenih. Upravo ovdje pomaže penetracijsko testiranje koje otkriva propuste prije nego što to učini napadač.

Praktični koraci: šta uraditi prvo

Dobra vijest je da najveći dio rizika pokrivaju mjere dostupne i manjim firmama. Evo redoslijeda po kojem ima smisla krenuti, od najveće koristi prema sofisticiranijim mjerama.

1. Uključite dvofaktorsku autentifikaciju (2FA) na mejlu, bankovnim aplikacijama i svim ključnim servisima. Ovo je najjeftinija mjera s najvećim učinkom.
2. Uspostavite sigurnosne kopije po pravilu 3-2-1: tri kopije podataka, na dva različita medija, od kojih je jedna izvan lokacije i odvojena od mreže. Redovno testirajte da li se podaci zaista mogu vratiti.
3. Ažurirajte sve: operativne sisteme, aplikacije, web stranice i mrežnu opremu. Većina napada koristi ranjivosti za koje već postoji zakrpa.
4. Obučite zaposlene da prepoznaju phishing i sumnjive zahtjeve. Čovjek je najčešća i najjeftinija meta, ali i najbolja prva linija odbrane kada je educiran.
5. Ograničite privilegije: niko ne treba administratorska prava ako mu ne trebaju za svakodnevni posao. Manje privilegija znači manju štetu kada se račun kompromituje.
6. Napravite plan reagovanja na incident: ko se zove, koje sisteme prvo isključiti, kako obavijestiti klijente. Plan napisan unaprijed štedi sate u panici.

Koliko košta i kako rasporediti budžet

Sigurnost nije jedan trošak nego niz odluka koje se skaliraju s veličinom firme. Tabela ispod prikazuje okvirne nivoe ulaganja prema veličini i izloženosti preduzeća. Cifre su orijentacione i služe za planiranje, ne kao fiksna ponuda.

Profil firme	Prioritetne mjere	Relativno ulaganje
Mikro firma (do 10 zaposlenih)	2FA, backup, ažuriranja, osnovna obuka	Nisko, uglavnom vrijeme i jeftini alati
Malo preduzeće (10-50)	Sve navedeno + centralizovano upravljanje uređajima, godišnji sigurnosni pregled	Srednje, uz vanjskog partnera po potrebi
Srednje preduzeće (50-250)	Sve navedeno + nadzor 24/7 (SOC/MDR), penetracijsko testiranje, plan reagovanja	Više, opravdano vrijednošću podataka i prekida

Ključ je da se ulaganje veže za stvarni rizik. Firma koja prima online uplate i čuva podatke o karticama ima drugačiji profil rizika od stolarske radionice. Procjena ranjivosti pomaže da se novac usmjeri tamo gdje najviše vrijedi, umjesto da se kupuje skupa oprema koja rješava problem koji firma nema.

Plan za prvih 30 dana

Ako krećete od nule, nije potrebno raditi sve odjednom. Konkretan plan za prvih mjesec dana daje vidljiv rezultat i pravi temelj za sve ostalo. Predloženi raspored po sedmicama:

• 1. sedmica - inventar i pristupi: popišite koje sisteme, aplikacije i online naloge firma koristi i ko im ima pristup. Ugasite naloge bivših zaposlenih i uklonite pristup koji više nije potreban. Ne možete zaštititi ono što ne znate da imate.
• 2. sedmica - 2FA i lozinke: uključite dvofaktorsku autentifikaciju na mejlu, bankovnim i ključnim poslovnim servisima. Uvedite menadžer lozinki kako bi svaki nalog imao jedinstvenu lozinku.
• 3. sedmica - kopije i ažuriranja: postavite automatske sigurnosne kopije po pravilu 3-2-1 i napravite jedan testni povrat podataka da provjerite da kopija zaista radi. Ažurirajte operativne sisteme i aplikacije.
• 4. sedmica - ljudi i plan: održite kratku obuku za zaposlene o phishingu i napišite jednostavan plan reagovanja na incident s kontaktima i prvim koracima.

Nakon ovih mjesec dana firma već pokriva većinu osnovnih rizika. Sve naprednije mjere, poput stalnog nadzora ili penetracijskog testiranja, grade se na ovom temelju, a ne umjesto njega.

Kada angažovati vanjskog partnera

Mnoge mjere firma može uvesti sama. Postoje, međutim, oblasti gdje se isplati angažovati specijaliste, jer zahtijevaju znanje i alate koje nema smisla graditi interno:

• Penetracijsko testiranje koje simulira realan napad i otkriva ranjivosti prije napadača. Korisno prije lansiranja nove aplikacije ili kao godišnja provjera.
• Nadzor i odgovor (MDR/SOC) koji prati sisteme 24/7 i reaguje na sumnjive aktivnosti, jer napadi se ne dešavaju samo u radno vrijeme.
• Odgovor na incident kada se napad već dogodio i treba brzo ograničiti štetu, sačuvati dokaze i vratiti poslovanje u funkciju.
• Priprema za ISO 27001 ako firma posluje s klijentima koji zahtijevaju formalne sigurnosne standarde.

Za firme u Mostaru i širem području Hercegovine, lokalni partner ima prednost poznavanja regulatornog i poslovnog konteksta BiH. Ako niste sigurni gdje vam je trenutna izloženost, kratki upitnik za penetracijsko testiranje pomaže da se procijeni obim i prioriteti prije bilo kakvog ulaganja.

Zaštita podataka i obaveze prema klijentima

Pored same odbrane od napada, firme u BiH imaju i obaveze prema podacima koje obrađuju. Ako čuvate lične podatke klijenata, zaposlenih ili dobavljača, na vama je odgovornost da ih čuvate na primjeren način. To nije samo pravno pitanje, nego i pitanje povjerenja: klijent koji sazna da su mu podaci procurili teško se vraća.

U praksi to znači nekoliko stvari koje vrijedi imati uređene prije nego što se nešto dogodi:

• Znati koje podatke imate i gdje se nalaze. Bez te evidencije nemoguće je procijeniti šta bi se izgubilo u slučaju curenja.
• Ograničiti pristup samo na one kojima je nužan. Što manje ljudi i sistema dodiruje osjetljive podatke, to je manja površina za napad.
• Imati postupak za prijavu incidenta ako dođe do curenja, uključujući obavještavanje pogođenih strana kada je to potrebno.

Firme koje rade s većim klijentima ili u reguliranim sektorima sve češće dobijaju zahtjev da dokažu zrelost svoje sigurnosti, najčešće kroz standard poput ISO 27001. Priprema za takav standard nije samo papirologija, nego prilika da se posloži red u procesima i da se sigurnost iz improvizacije pretvori u sistem.

Najčešće greške koje treba izbjeći

Pri uvođenju cyber security mjera za firme, manja preduzeća redovno ponavljaju iste propuste:

• Kupovina alata bez strategije: antivirus i firewall su korisni, ali ne pokrivaju ljudski faktor ni loše konfiguracije.
• Backup koji se nikad ne testira: sigurnosna kopija koja se ne može vratiti je beskorisna i to se obično otkrije u najgorem trenutku.
• Zanemarivanje obuke: najnaprednija tehnologija pada na jednom zaposlenom koji klikne na lažni mejl.
• Odgađanje dok se ne dogodi incident: reaktivna sigurnost je uvijek skuplja od preventivne.

Sigurnost je proces, ne projekt s krajem. Prijetnje se mijenjaju, firma raste, sistemi se mijenjaju, pa periodična provjera ostaje nužna i nakon što su osnove postavljene. Ako želite konkretnu procjenu za svoju firmu, kontaktirajte NeoBit tim za razgovor bez obaveze.

Često postavljana pitanja

Da li je moja mala firma stvarno meta cyber napada?

Jeste. Većina napada na manje firme je automatizovana i ne bira žrtvu po veličini, nego po ranjivosti. Manje firme su često privlačnija meta jer imaju vrijedne podatke i pristup novcu, ali slabiju zaštitu od velikih kompanija. Veličina ne pruža zaštitu.

Koja je prva i najvažnija sigurnosna mjera za firmu?

Dvofaktorska autentifikacija (2FA) na mejlu i ključnim servisima daje najveću zaštitu uz najmanji trošak. Odmah uz nju idu redovne sigurnosne kopije izvan mreže i ažuriranje sistema. Te tri mjere zatvaraju veliki dio najčešćih napada.

Koliko košta cyber security za malo preduzeće u BiH?

Osnovne mjere poput 2FA, backupa i ažuriranja uglavnom su pitanje vremena i jeftinih alata, a ne velikog ulaganja. Trošak raste tek s naprednijim uslugama poput stalnog nadzora ili penetracijskog testiranja, koje se isplate firmama s većom izloženošću. Ulaganje treba vezati za stvarni rizik.

Kada firmi treba penetracijsko testiranje?

Penetracijsko testiranje korisno je prije lansiranja nove web aplikacije ili servisa, kao godišnja provjera izloženosti, te kada firma rukuje osjetljivim podacima ili plaćanjima. Ono otkriva ranjivosti prije nego što ih iskoristi napadač. Kratak upitnik pomaže da se procijeni obim prije početka.

Povezani vodiči: Cyber sigurnost u BiH - kompletan vodič · Sigurnost zaposlenika: najslabija karika u cyber obrani · Kako odabrati cyber security firmu - 7 kriterija za 2026.