Backup strategija 3-2-1: kako ne izgubiti podatke
Backup strategija 3-2-1: tri kopije, dva medija, jedna offsite. Saznajte kako zastititi podatke od kvara, ljudske greske
Pročitaj
Sigurnost zaposlenika najčešća je i najiskorištavanija slabost u cyber obrani jer napadači znaju da je lakše prevariti čovjeka nego probiti dobro postavljen vatrozid. Većina ozbiljnih incidenata danas počinje ljudskom greškom: klikom na phishing poveznicu, korištenjem slabe lozinke ili otkrivanjem podataka u lažnom telefonskom pozivu. Zato se najveći pomak u sigurnosti postiže kombinacijom redovite obuke, jasnih pravila i tehničkih kontrola koje smanjuju posljedice kada do greške ipak dođe.
Naše rješenje
Cyber zaštita za firme - kompletna zaštita ljudi, podataka i sustava. Ne morate sami; mi to rješavamo za vašu firmu. Zatražite besplatnu procjenu.
Zašto je čovjek, a ne tehnologija, najslabija karika
Tehnička zaštita se zadnjih godina značajno poboljšala. Vatrozidi, antivirusni sustavi, segmentacija mreže i sustavi za detekciju upada postali su standard, pa napadačima često više nije isplativo tražiti rupu u softveru. Mnogo brže i jeftinije im je ciljati ljude koji taj softver koriste. Jedan uvjerljiv e-mail može zaobići mjesece truda uloženog u tehničku obranu.
Razlog je jednostavan: ljudi su pod pritiskom, žure, vjeruju autoritetu i žele biti od pomoći. Napadači te osobine ne smatraju manama, nego alatima. Zaposlenik koji dobije poruku naizgled od direktora s hitnim zahtjevom za plaćanjem rijetko će zastati i provjeriti, a upravo na toj reakciji počiva većina napada socijalnog inženjeringa. Zbog toga sigurnost zaposlenika nije "meka" tema niti formalnost za zadovoljiti reviziju, nego temelj na kojem stoji sve ostalo.
Kako napadači zapravo ciljaju zaposlenike
U praksi se napadi na ljude svode na nekoliko provjerenih obrazaca koje vrijedi prepoznati:
- Phishing - masovni lažni e-mailovi koji oponašaju banke, dobavljače ili interne sustave i navode na otkrivanje lozinki ili otvaranje zaraženih privitaka.
- Spear-phishing - ciljana inačica u kojoj je poruka prilagođena konkretnoj osobi, uz prave nazive odjela, imena kolega i kontekst preuzet s LinkedIna ili web stranice firme.
- Prijevara s direktorom (BEC) - lažni zahtjev za hitnim plaćanjem ili promjenom bankovnog računa, naizgled poslan od uprave ili poznatog dobavljača.
- Vishing - telefonski pozivi u kojima se napadač predstavlja kao IT podrška ili banka i traži kod, lozinku ili daljinski pristup računalu.
- Zlonamjerni privici i USB uređaji - dokumenti s makronaredbama ili "izgubljeni" USB stickovi ostavljeni na parkingu da ih netko radoznao priključi.
Zajednička nit svih ovih metoda je da ne napadaju sustav, nego povjerenje i naviku. Zato ih nije moguće riješiti samo kupnjom novog alata.
Što sigurnost zaposlenika obuhvaća u praksi
Mnoge firme u Mostaru, Sarajevu i šire u regiji sigurnost zaposlenika svedu na jednokratnu prezentaciju jednom godišnje. To je bolje od ničega, ali daleko od dovoljnog. Stvarna otpornost gradi se kroz nekoliko slojeva koji se međusobno nadopunjuju.
1. Redovita i praktična obuka
Obuka mora biti kratka, redovita i vezana uz stvarne situacije, a ne dvosatno predavanje koje svi zaborave do ručka. Bolji pristup su kratki moduli kroz godinu, popraćeni simuliranim phishing kampanjama u kojima firma sama, uz dopuštenje uprave, šalje bezopasne testne e-mailove i mjeri tko klikne. Cilj nije kažnjavati zaposlenike, nego im dati priliku da pogriješe u sigurnom okruženju i nauče prepoznati znakove prijevare.
2. Jasna i primjenjiva pravila
Politike koje nitko ne čita ne štite nikoga. Zaposleniku treba dati nekoliko jasnih, lako pamtljivih pravila: kako provjeriti zahtjev za plaćanjem prije izvršenja, kome i kako prijaviti sumnjivu poruku, što se smije, a što ne smije instalirati na radno računalo te kako postupati s povjerljivim podacima. Pravila moraju biti pisana jezikom koji razumije osoba bez IT pozadine.
3. Kultura u kojoj je sigurno prijaviti grešku
Najopasnija nije greška, nego njezino skrivanje. Ako se zaposlenik boji posljedica, prešutjet će klik na sumnjivu poveznicu, a tih nekoliko sati prešućivanja često je razlika između manjeg incidenta i potpune kompromitacije. Uprava treba jasno poručiti da je brza prijava poželjna i da neće biti kažnjena, jer se upravo time gradi prava sigurnost zaposlenika.
4. Tehničke kontrole koje smanjuju štetu
Pošto greške ostaju neizbježne, obrana mora pretpostaviti da će se netko jednog dana prevariti. Zato su sljedeće tehničke mjere jednako važne kao i sama obuka:
- Višefaktorska autentikacija (MFA) - i ako lozinka procuri, napadač bez drugog faktora teško ulazi.
- Načelo najmanjih ovlasti - zaposlenik ima pristup samo onome što mu treba za posao, pa kompromitiran račun ne otvara cijelu mrežu.
- Filtriranje e-pošte i privitaka - velik dio phishinga zaustavi se prije nego stigne do sandučića.
- Redovite sigurnosne kopije - odvojene od mreže, da ucjenjivački softver ne može i njih šifrirati.
- Pravovremene zakrpe i ažuriranja - kako jedan klik ne bi pao na već poznatu i krpljivu ranjivost.
Usporedba: obuka, pravila i tehnika
Nijedan sloj sam za sebe nije dovoljan. Sljedeća tablica pokazuje što svaki od njih rješava, a što ne, i zašto ih treba kombinirati.
| Sloj obrane | Što rješava | Ograničenje |
|---|---|---|
| Obuka i simulacije | Podiže prepoznavanje prijevare i smanjuje broj klikova | Ljudi ipak ponekad pogriješe pod pritiskom |
| Pravila i procedure | Daje jasan postupak za rizične situacije (plaćanja, prijave) | Vrijede samo ako se primjenjuju i provjeravaju |
| Tehničke kontrole | Smanjuje štetu kada do greške dođe (MFA, ovlasti, kopije) | Ne mijenja ponašanje zaposlenika |
| Kultura prijavljivanja | Skraćuje vrijeme reakcije i otkrivanja incidenta | Zahtijeva dosljednu podršku uprave |
Kako započeti u maloj ili srednjoj firmi
Manje firme često misle da su premale da bi bile meta. U stvarnosti je suprotno: napadi su uglavnom automatizirani i ne biraju, a manji proračun i tanji IT tim znače da je obrana slabija. Dobra vijest je da prvi koraci ne traže velika ulaganja.
- Uvedite MFA na e-poštu i sve ključne servise, jer to je mjera s najboljim omjerom truda i učinka.
- Pokrenite kratku obuku za sve zaposlenike, s naglaskom na phishing i prijevaru s direktorom.
- Definirajte postupak za plaćanja - svaka promjena bankovnog računa dobavljača potvrđuje se telefonom na poznati broj.
- Napravite plan sigurnosnih kopija i testirajte vraćanje podataka, ne samo izradu kopija.
- Testirajte vlastitu otpornost kontroliranim penetracijskim testom ili simuliranim phishingom da vidite gdje stvarno stojite.
Upravo na ovom zadnjem koraku mnoge firme otkriju da pretpostavke o vlastitoj sigurnosti ne odgovaraju stvarnosti. Ako želite objektivnu sliku, pogledajte naše servise i usluge ili ispunite kratki pentest upitnik kako bismo procijenili gdje su vam najveći rizici.
Kako postaviti program simuliranog phishinga bez stvaranja straha
Simulirani phishing najbolji je način da se izmjeri stvarno ponašanje zaposlenika, ali ga je lako postaviti pogrešno. Ako kampanju doživite kao lov na krivca, dobit ćete tim koji se boji, skriva greške i ne prijavljuje prave napade. Cilj je suprotan: naučiti, izmjeriti i s vremenom poboljšati. Dobro vođen program prolazi kroz nekoliko jasnih koraka.
Prvo se s upravom dogovori opseg i pravila: koliko često se šalju testne poruke, koji se podaci mjere i, najvažnije, da rezultati služe za učenje, a ne za kažnjavanje. Zatim se kreira prva, namjerno blaža kampanja kako bi se dobila polazna slika. Tek nakon nje slijede teže i uvjerljivije poruke koje oponašaju stvarne scenarije iz okruženja firme, primjerice lažnu obavijest o plaći ili poruku naizgled od poznatog dobavljača.
Ono što se mjeri jednako je važno kao i sama poruka. Korisno je pratiti tri veličine: koliko je ljudi otvorilo poruku, koliko ih je kliknulo na poveznicu ili unijelo podatke te, možda i najvažnije, koliko ih je sumnjivu poruku prijavilo. Visok broj prijava bolji je pokazatelj zdravlja od niskog broja klikova, jer znači da zaposlenici aktivno paze i reagiraju. Onaj tko klikne ne dobiva ukor, nego kratku, ciljanu obuku odmah na licu mjesta. Nakon nekoliko ciklusa rezultati se uspoređuju kako bi se vidio napredak i prepoznali odjeli kojima treba dodatna pozornost. Tako simulacija postaje alat za jačanje, a ne za zastrašivanje, i izravno učvršćuje sigurnost zaposlenika.
Novi zaposlenici i sigurnost od prvog dana
Novi kolega je u prvim tjednima posebno ranjiv: ne poznaje interne procese, ne zna kako izgledaju uobičajene poruke i sklon je svakome vjerovati kako bi se uklopio. Napadači to znaju, pa nove zaposlenike često ciljaju ubrzo nakon što se njihovo ime pojavi na webu ili LinkedInu. Zato sigurnosni dio uvođenja u posao ne smije čekati "kad bude vremena", nego treba biti dio prvog radnog dana.
Praktičan popis za uvođenje novog zaposlenika može izgledati ovako:
- Dodjela računa po načelu najmanjih ovlasti i obavezno uključen MFA prije prvog prijavljivanja.
- Kratak razgovor o najčešćim prijevarama u firmi i konkretnim primjerima koji su se već pojavljivali.
- Jasna uputa kome i kako prijaviti sumnjivu poruku ili poziv, s točnim kontaktom.
- Objašnjenje postupka za plaćanja i promjene podataka dobavljača, jer su nove osobe česta meta BEC prijevare.
- Pravila o korištenju privatnih uređaja, USB-ova i instalaciji softvera na radno računalo.
Ovih nekoliko koraka traje manje od sata, a uklanja veći dio rizika koji inače prati prve tjedne nove osobe u firmi.
Kako izgleda incident koji počinje jednim klikom
Da bi se shvatilo zašto su brzina prijave i tehničke kontrole toliko važne, korisno je pratiti tipičan tok incidenta. Sljedeća tablica prikazuje pojednostavljen, ali realan slijed događaja i mjesta na kojima se napad može zaustaviti.
| Faza | Što se događa | Gdje se napad može prekinuti |
|---|---|---|
| Dolazak poruke | Phishing e-mail stiže u sandučić zaposlenika | Filtriranje e-pošte zaustavi dio poruka prije isporuke |
| Klik i unos podataka | Zaposlenik klikne i unese lozinku na lažnoj stranici | Obuka pomaže prepoznati lažnu adresu i hitan ton |
| Pokušaj prijave | Napadač koristi ukradenu lozinku za pristup | MFA blokira prijavu bez drugog faktora |
| Širenje po mreži | Napadač traži dodatne sustave i podatke | Najmanje ovlasti ograničavaju domet računa |
| Otkrivanje | Aktivnost se primijeti ili zaposlenik prijavi grešku | Brza prijava i nadzor skraćuju vrijeme reakcije |
Poruka je jasna: ne postoji jedna mjera koja sve rješava, ali svaki sloj smanjuje šansu da napad uspije ili stigne do kraja. Kontinuirani nadzor i brza reakcija na ovakve situacije dio su usluga upravljanog otkrivanja i odgovora na incidente, koje pomažu kada interne kontrole ipak budu zaobiđene.
Sigurnost zaposlenika kao trajni proces
Najveća pogreška je sigurnost shvatiti kao projekt s rokom završetka. Napadači mijenjaju taktike, ljudi se zaboravljaju, a u firmu dolaze novi zaposlenici koji nisu prošli nikakvu obuku. Zato sigurnost zaposlenika treba tretirati kao trajni proces: redovite kratke obuke, povremene simulacije, ažuriranje pravila i jasna pravila za nove kolege od prvog dana.
Kada se ljudski sloj poveže s tehničkim kontrolama i kulturom u kojoj je prijava greške poželjna, najslabija karika u obrani postaje upravo ono što napadači najmanje očekuju: pažljiv i pripremljen tim. Ako vam treba pomoć u postavljanju tog procesa za vašu firmu u Mostaru, BiH ili šire u regiji, slobodno nam se javite putem kontakt stranice.
Često postavljana pitanja
Zašto se kaže da su zaposlenici najslabija karika u cyber sigurnosti?
Zato što je danas često lakše prevariti čovjeka nego probiti dobro postavljenu tehničku zaštitu. Napadači koriste žurbu, povjerenje i poštovanje prema autoritetu, pa jedan uvjerljiv e-mail ili telefonski poziv može zaobići skupe sigurnosne sustave. Uz redovitu obuku i jasna pravila taj se rizik znatno smanjuje.
Koliko često treba provoditi obuku zaposlenika o sigurnosti?
Bolje je provoditi kratke obuke više puta godišnje nego jedno dugo predavanje jednom u godini. Praksa pokazuje da kombinacija kratkih modula i povremenih simuliranih phishing testova daje bolje i trajnije rezultate, jer ljudi vježbaju prepoznavanje prijevare u stvarnim situacijama, a ne samo slušaju teoriju.
Što je phishing i kako ga zaposlenik može prepoznati?
Phishing je pokušaj prijevare lažnim porukama koje oponašaju banke, dobavljače ili interne sustave kako bi se došlo do lozinki ili novca. Tipični znakovi su osjećaj hitnosti, neočekivani zahtjevi za plaćanjem ili podacima, sumnjive poveznice i adrese pošiljatelja koje samo nalikuju pravima. U slučaju sumnje, poruku ne treba otvarati, nego je prijaviti IT-u.
Može li mala firma u BiH testirati otpornost svojih zaposlenika?
Može, i preporučljivo je. Kontrolirani penetracijski testovi i simulirane phishing kampanje uz dopuštenje uprave pokazuju gdje su stvarne slabosti, bez stvaranja štete. NeoBit takve usluge nudi firmama u Mostaru, BiH i regiji, a procjenu je moguće započeti kroz kratki pentest upitnik ili izravni kontakt.
Povezani vodiči: Cyber sigurnost u BiH - kompletan vodič · Kako odabrati cyber security firmu - 7 kriterija za 2026. · Cyber security za firme: vodič za mala i srednja preduzeća u BiH
