Prijetnje

Ransomware zaštita: kako zaštititi firmu od napada

Q: Može li mala firma u BiH priuštiti ransomware zaštitu?

Da. Najučinkovitije mjere - MFA, redovito krpljenje, offline backup i edukacija zaposlenika - relativno su niskog troška, a najviše smanjuju rizik. Naprednije slojeve poput EDR-a i nadzora 24/7 mala i srednja firma može dobiti kroz vanjski MDR servis, bez izgradnje vlastitog sigurnosnog tima. Razuman pristup je krenuti od mjera s najvećim učinkom i postupno dograđivati ostalo.

NB NeoBit tim •15. lip 2026 •9 min čitanja

Ransomware zaštita: kako zaštititi firmu od napada

Ransomware zaštita znači slojevitu obranu koja sprječava enkripciju podataka i omogućava brz oporavak ako do napada ipak dođe. Najvažnije su tri stvari: provjereni offline backupi koje napadač ne može obrisati, višefaktorska autentifikacija (MFA) na svim udaljenim pristupima i redovito krpljenje ranjivosti. Uz to idu segmentacija mreže, nadzor sumnjivih radnji i unaprijed pripremljen plan oporavka.

Naše rješenje

SOC usluga 24/7 - 24/7 nadzor koji zaustavlja prijetnje na vrijeme. Ne morate sami; mi to rješavamo za vašu firmu. Zatražite besplatnu procjenu.

Ransomware je vrsta malicioznog softvera koji enkriptira datoteke ili cijele sisteme, a potom napadač traži otkupninu (najčešće u kriptovaluti) za ključ za dešifriranje. Posljednjih godina dominira tzv. dvostruka ucjena (double extortion): napadači prvo ukradu podatke, pa ih tek onda enkriptiraju, kako bi vas mogli ucjenjivati i objavom povjerljivih informacija ako odbijete platiti. Za firme i preduzeća u BiH i regiji to znači da ni najbolji backup sam po sebi više nije dovoljan. Potrebna je obrana na više slojeva.

Kako ransomware ulazi u firmu

Da bi ransomware zaštita imala smisla, treba razumjeti kako napadači ulaze. U praksi se najčešće radi o nekoliko provjerenih ulaznih tačaka:

Phishing e-mailovi: zaražen privitak ili link koji zaposlenika navede da pokrene maliciozni kod ili preda lozinku.
Izloženi udaljeni pristup: RDP ili VPN bez MFA, sa slabim ili procurjelim lozinkama, klasičan je način provale.
Nekrpljene ranjivosti: javno dostupni serveri, VPN uređaji ili aplikacije s poznatim propustima koje napadači iskorištavaju danima od objave zakrpe.
Kompromitirani vjerodajnici: lozinke kupljene na crnom tržištu ili dobivene ranijim curenjem podataka.
Lanac dobavljača: napad preko softvera ili partnera kojem vaša mreža vjeruje.

Tipičan napad ne dogodi se u sekundi. Nakon početnog upada napadač se danima kreće kroz mrežu, povećava privilegije, gasi sigurnosne alate i traži backupe da ih uništi prije nego pokrene enkripciju. Upravo taj prozor od nekoliko dana prilika je za detekciju, ako imate nadzor.

Znakovi upozorenja prije enkripcije

Mnogi napadi imaju tihe rane signale koje je moguće uočiti dok šteta još nije nastala. Na njih treba reagirati odmah, a ne ih otpisati kao slučajnu grešku:

Neočekivano gašenje ili onemogućavanje antivirusa, EDR-a ili Windows Defendera.
Novi administratorski računi koje niko nije svjesno kreirao.
Prijave na sistem u neobično vrijeme ili s nepoznatih lokacija.
Pojava alata za udaljeni pristup ili skeniranje mreže koje firma ne koristi.
Nagli porast aktivnosti diska ili nestajanje sjenovitih kopija (Volume Shadow Copy).

Ako primijetite nešto od navedenog, izolacija pogođenog uređaja s mreže ima prioritet nad svim ostalim. Tih nekoliko minuta zna biti razlika između jednog zaraženog računara i cijele firme u zastoju.

Sedam slojeva obrane od ransomwarea

Nijedna pojedinačna mjera ne zaustavlja ransomware u potpunosti. Snaga je u kombinaciji slojeva, gdje svaki sljedeći hvata ono što je prethodni propustio.

1. Backup po pravilu 3-2-1 (i barem jedna offline kopija)

Pravilo 3-2-1 znači: tri kopije podataka, na dva različita medija, od kojih je jedna izvan lokacije. Ključ kod ransomwarea je da barem jedna kopija bude nepromjenjiva (immutable) ili fizički odvojena (offline), jer moderni napadači ciljano traže i brišu mrežno dostupne backupe. Jednako je važno redovito testirati obnovu. Backup koji nikad niste vratili u praksi je samo pretpostavka, a ne osiguranje.

2. Višefaktorska autentifikacija na svemu što gleda prema internetu

MFA na VPN-u, RDP-u, e-mailu i administratorskim računima jedna je od mjera s najboljim omjerom troška i učinka. Velik dio napada počinje ukradenom lozinkom, a MFA tu krađu čini gotovo bezvrijednom. Ako neki udaljeni pristup ne podržava MFA, to je samo po sebi ranjivost koju treba riješiti.

3. Redovito krpljenje i upravljanje ranjivostima

Napadači sistematski skeniraju internet u potrazi za nekrpljenim sistemima. Definirajte rokove za zakrpe (npr. kritične ranjivosti u roku od nekoliko dana) i posebnu pažnju posvetite uređajima izloženim prema internetu, kao što su VPN gatewayi, firewalli te mail i web serveri. Periodični penetracijski test pokazat će vam koje ranjivosti napadač zaista može iskoristiti, a ne samo što teoretski postoji.

4. Segmentacija mreže

Ako je cijela mreža jedan ravan prostor, jedan kompromitirani računar otvara put do svega. Odvajanjem servera, radnih stanica, backup infrastrukture i eventualne OT/proizvodne mreže ograničavate koliko se daleko napadač može proširiti. Posebno izolirajte backup okruženje, jer ono ne bi smjelo biti dostupno s običnog korisničkog računa.

5. Princip najmanjih privilegija

Korisnici i servisi trebaju imati samo onoliko prava koliko im je zaista potrebno. Lokalni administratorski pristup na svakom računaru i predimenzionirani domenski administratori glavno su gorivo za širenje ransomwarea. Razdvojite administratorske i svakodnevne račune te uklonite nepotrebne privilegije.

6. EDR i nadzor 24/7

Klasični antivirus više nije dovoljan. EDR (Endpoint Detection and Response) prati ponašanje na uređajima i hvata sumnjive radnje poput masovne enkripcije ili gašenja sigurnosnih alata. No alat bez ljudi koji reagiraju ima ograničen domet, a napadi se sve češće dešavaju noću i vikendom. Tu pomaže SOC i MDR nadzor koji prati alarme u realnom vremenu i zaustavlja napad dok je još u ranoj fazi.

7. Edukacija zaposlenika

Ljudi su i dalje najčešća ulazna tačka. Kratke, redovite obuke o phishingu i simulirani phishing testovi mjerljivo smanjuju broj zaposlenika koji kliknu na opasan link. Jednako je važno da zaposlenici znaju kome i kako prijaviti sumnjiv e-mail bez straha od posljedica.

Prioriteti: gdje firma treba početi

Sve navedeno ne mora se uvesti odjednom. Razuman pristup je krenuti od mjera koje uz najmanji trošak najviše smanjuju rizik, a tek potom graditi naprednije slojeve. Sljedeća tablica daje grubi redoslijed po omjeru učinka i napora. To je koristan okvir za malu i srednju firmu u Mostaru ili bilo gdje u regiji koja kreće od nule.

Mjera	Učinak na rizik	Napor za uvođenje	Prioritet
Offline / nepromjenjivi backup + test obnove	Vrlo visok	Srednji	1
MFA na udaljenim pristupima	Vrlo visok	Nizak	1
Krpljenje izloženih sistema	Visok	Srednji	2
EDR + nadzor / MDR	Visok	Srednji	2
Segmentacija mreže	Srednji do visok	Viši	3
Edukacija zaposlenika	Srednji	Nizak	2

Plan za slučaj napada (incident response)

Pretpostavka da do napada nikad neće doći je loša strategija. Pripremite plan dok je mirno, jer usred incidenta nema vremena za improvizaciju. Dobar plan oporavka uključuje:

Jasne uloge i kontakte: ko odlučuje, ko izolira sisteme, koji vanjski partner i pravnik se zovu.
Izolaciju: odspajanje zaraženih sistema s mreže kako bi se zaustavilo širenje, bez naglog gašenja koje uništava forenzičke tragove.
Komunikaciju: interne i eksterne poruke, te prijavu nadležnim tijelima gdje je to obavezno.
Oporavak iz backupa: provjereno čistog, prema unaprijed testiranom redoslijedu vraćanja sistema.
Analizu uzroka: kako bi se ista ulazna tačka zatvorila i napad se ne ponovio.

Oko plaćanja otkupnine: opći je stav da plaćanje ne treba biti prvi izbor. Nema garancije da ćete dobiti ispravan ključ, financirate daljnji kriminal, a u nekim slučajevima plaćanje nosi i pravne rizike. Provjereni backup i dobar plan oporavka najbolja su pregovaračka pozicija koju možete imati. Ako vam se incident već dogodio, brza reakcija je presudna, pa pomoć kod odgovora na incident potražite kroz kontakt s NeoBit timom.

Akcijski plan za prvih 30 dana

Ako tek krećete, evo konkretnog redoslijeda koji firma može odraditi u mjesec dana bez velikog budžeta. Cilj je u kratkom roku zatvoriti najopasnije rupe:

Sedmica 1: popišite sve pristupe izložene prema internetu (VPN, RDP, mail, web) i uključite MFA gdje god je moguće. Onemogućite ono što vam zaista ne treba.
Sedmica 2: provjerite backupe. Postoji li offline ili nepromjenjiva kopija i možete li je zaista vratiti. Napravite probnu obnovu nekoliko ključnih sistema.
Sedmica 3: zakrpite kritične ranjivosti na izloženim uređajima i revidirajte ko ima administratorske ovlasti. Uklonite suvišne lokalne administratore.
Sedmica 4: napišite osnovni plan oporavka s ulogama i kontaktima te održite kratku obuku zaposlenika o phishingu.

Već ovih nekoliko koraka znatno podiže otpornost. Iza njih dolaze trajni procesi, kao što su kontinuirani nadzor, redovito testiranje i periodična procjena sigurnosti, koji od jednokratnog napora prave održivu obranu.

Kako NeoBit pomaže firmama u BiH

NeoBit iz Mostara pokriva cijeli ciklus zaštite od ransomwarea, od provjere koliko ste izloženi, preko stalnog nadzora, do reakcije kad zazvoni alarm. Penetracijskim testiranjem pokazujemo koje ranjivosti napadač zaista može iskoristiti, Guardian 360 SOC (MDR) servisom pratimo vaše okruženje 24/7, a kroz incident response i pripremu za ISO 27001 pomažemo da sigurnost postane održiv proces, a ne jednokratna kupovina alata. Ako niste sigurni gdje stojite, dobra polazna tačka je kratki upitnik za penetracijski test koji nam pomaže razumjeti vaše okruženje i predložiti sljedeći korak.

Često postavljana pitanja

Šta je ransomware i kako napada firmu?

Ransomware je maliciozni softver koji enkriptira datoteke ili cijele sisteme i zatim traži otkupninu za njihovo dešifriranje. U firmu najčešće ulazi putem phishing e-maila, izloženog udaljenog pristupa bez MFA ili nekrpljene ranjivosti. Moderni napadi često uključuju i krađu podataka prije enkripcije, pa napadač prijeti i objavom povjerljivih informacija.

Koja je najvažnija mjera ransomware zaštite?

Ne postoji jedna čarobna mjera, ali dvije nose najviše: provjereni offline ili nepromjenjivi backup koji napadač ne može obrisati i višefaktorska autentifikacija na svim udaljenim pristupima. Backup vam omogućava oporavak bez plaćanja, a MFA blokira najčešći način provale, a to je ukradena lozinka. Najbolji rezultat daje kombinacija više slojeva obrane.

Treba li firma platiti otkupninu nakon ransomware napada?

Opći stručni stav je da plaćanje ne treba biti prvi izbor. Nema garancije da ćete dobiti ispravan ključ, plaćanjem financirate daljnji kriminal, a u nekim slučajevima postoje i pravni rizici. Provjereni backup i unaprijed testiran plan oporavka najbolja su alternativa plaćanju. Ako se incident dogodi, što prije uključite stručnjake za odgovor na incident.

Može li mala firma u BiH priuštiti ransomware zaštitu?

Da. Najučinkovitije mjere, kao što su MFA, redovito krpljenje, offline backup i edukacija zaposlenika, relativno su niskog troška, a najviše smanjuju rizik. Naprednije slojeve poput EDR-a i nadzora 24/7 mala i srednja firma može dobiti kroz vanjski MDR servis, bez izgradnje vlastitog sigurnosnog tima. Razuman pristup je krenuti od mjera s najvećim učinkom i postupno dograđivati ostalo.

Povezani vodiči: Cyber sigurnost u BiH - kompletan vodič · Zaštita od hakerskih napada - 10 koraka za firme · Kako prepoznati phishing napad - vodič za zaposlenike

Natrag na Akademiju Zatražite procjenu