Ljudi su najslabija, ali i najvažnija karika u lancu bezbednosti
U digitalnom dobu, svaka kompanija — od malog preduzetnika do korporacije — zavisi od podataka.
U njima se nalazi sve: poslovni ugovori, finansije, lični podaci klijenata, interne strategije i komunikacija.
Ali i pored najskupljeg softvera i najmodernijih firewall-ova, najčešći uzrok bezbednosnih incidenata nije tehnologija, već čovek.
Prema istraživanju IBM-a iz 2024, više od 74% svih napada započinje ljudskom greškom — klikom na lažni link, deljenjem lozinke, ili korišćenjem USB-a iz nepoznatog izvora.
Zato je ključ svake uspešne zaštite ne samo tehnologija, već edukacija zaposlenih i jasna bezbednosna kultura.
Ovaj tekst objašnjava:
-
kako nastaju napadi kroz ljudske greške,
-
koje korake treba da preduzme svaka firma,
-
kako organizovati obuku zaposlenih,
-
i koje politike i alati najbolje funkcionišu u praksi.
1. Zašto su zaposleni ključni za cyber-sigurnost
Bez obzira na veličinu firme, svaka osoba koja koristi računar, telefon ili e-mail ima potencijal da slučajno ugrozi ceo sistem.
Napadi danas više ne izgledaju kao u filmovima – nema „hakera u crnom“.
Napadi se dešavaju tiho i kroz svakodnevne aktivnosti.
Najčešće situacije:
-
zaposleni otvori phishing e-mail i unese lozinku,
-
koristi istu lozinku za više naloga,
-
šalje poverljive dokumente putem Viber-a ili Gmaila,
-
preuzima piratski softver na službeni računar,
-
čuva lozinke u Excel tabeli.
Jedan nepažljiv klik dovoljan je da ransomware zaključа čitavu firmu.
Zbog toga uspešne kompanije u svetu i u Srbiji već godinama ulažu u cyber-svest zaposlenih — kroz interne obuke, politike, simulacije napada i kulturu odgovornog ponašanja.
2. Osnovni stubovi zaštite u kompaniji
Da bi firma bila zaštićena, mora da izgradi četiri ključna sloja zaštite:
-
Tehnička zaštita – firewall, antivirus, backup, enkripcija.
-
Organizaciona zaštita – pravilnici, procedure i kontrole pristupa.
-
Edukacija zaposlenih – stalna obuka i osvešćivanje o rizicima.
-
Plan reagovanja – jasan sistem ko i kako postupa ako dođe do napada.
Bez jednog od ova četiri stuba, ceo sistem postaje ranjiv.
3. Najčešće pretnje za kompanije u Srbiji
U poslednje tri godine u Srbiji je zabeležen porast cyber-incidenata za preko 60%.
Napadi su najčešće usmereni na mala i srednja preduzeća jer imaju „manje zaštite, a više vrednih podataka“.
Najčešći napadi:
| Vrsta napada | Opis | Kako se prenosi |
|---|---|---|
| Phishing | Lažni e-mail koji imitira banku, dobavljača ili direktora | Klik na link ili prilog |
| Ransomware | Zaključava fajlove i traži otkup | E-mail, USB, piratski softver |
| Business Email Compromise (BEC) | Lažna poruka sa zahtevom za uplatu | Lažni e-mail domen |
| Data breach (curenje podataka) | Korišćenje ukradenih lozinki ili baza | Nezaštićene lozinke |
| Insider threat | Zaposleni koji slučajno ili namerno ugrozi sistem | Ljudska greška ili zloupotreba |
4. Politika bezbednosti – temelj zaštite
Svaka firma, čak i sa 5 zaposlenih, treba da ima pisanu politiku informacione bezbednosti.
To je dokument koji definiše pravila i odgovornosti.
Ključni elementi politike:
-
Pravila korišćenja računara i interneta (zabranjeno preuzimanje piratskog softvera).
-
Pravila o lozinkama (dužina, periodična promena, zabrana deljenja).
-
Korišćenje e-maila i priloga (nema otvaranja sumnjivih fajlova).
-
Pristup podacima (samo oni koji imaju ovlašćenje).
-
Politika backup-a i arhiviranja.
-
Postupak u slučaju incidenta.
Ovaj dokument ne treba da bude birokratski — već jasan, praktičan i razumljiv svakom zaposlenom.
5. Edukacija zaposlenih – kako je sprovesti
Jedna od najisplativijih investicija za svaku firmu je obuka zaposlenih.
Cilj edukacije:
-
da zaposleni prepoznaju pretnje,
-
da znaju kako da reaguju,
-
da postanu svesni svoje uloge u zaštiti.
Plan edukacije u tri faze:
1️⃣ Uvodna obuka
Novi zaposleni prolaze osnovni kurs o bezbednosti:
-
šta je phishing,
-
kako izgleda sumnjiv e-mail,
-
zašto ne koristiti iste lozinke,
-
osnovna pravila rada od kuće.
2️⃣ Periodične radionice
Jednom u 6 meseci organizovati internu radionicu:
-
test simulacije napada (phishing test),
-
prezentacija novog tipa pretnje,
-
diskusija o realnim primerima.
3️⃣ Testiranje i nagrađivanje
-
anonimni test znanja nakon obuke,
-
nagrade za najbolje rezultate („Cyber Hero meseca“).
Edukacija treba da bude stalna i zanimljiva, ne prisilna.
6. Praktični primer: simulacija phishing napada
Mnoge kompanije u Srbiji sprovode phishing simulacije – šalju veštačke lažne e-mailove svojim zaposlenima,
a zatim analiziraju koliko njih je kliknulo na link.
Koraci:
-
Odaberi alat (npr. GoPhish, KnowBe4, Phish Insight).
-
Pošalji lažan e-mail koji imitira internu komunikaciju („Obavezna promena lozinke“).
-
Prati rezultate:
-
koliko ljudi je otvorilo poruku,
-
koliko ih je kliknulo,
-
koliko ih je prijavilo incident.
-
-
Organizuj mini obuku o tome kako su mogli da prepoznaju lažnu poruku.
Ova metoda daje najbolje rezultate jer uči kroz praksu, a ne teoriju.
7. Tehničke mere koje mora imati svaka firma
Bez obzira na veličinu, postoji minimalni tehnički standard koji svaka firma u Srbiji treba da ispuni:
Osnovne mere:
-
Firewall i antivirus na svim računarima.
-
VPN za rad na daljinu.
-
Automatski backup (lokalni i cloud).
-
Redovno ažuriranje operativnog sistema i softvera.
-
Dvofaktorska autentifikacija (2FA) za e-mail i poslovne aplikacije.
-
Ograničen pristup datotekama (samo odeljenja kojima su potrebne).
-
Zabrana USB uređaja bez odobrenja.
-
Šifrovani diskovi i dokumenti.
💡 U praksi, čak i mali koraci kao što su jake lozinke i 2FA smanjuju rizik za više od 80%.
8. Alati za edukaciju i zaštitu zaposlenih
| Namena | Alat / Platforma | Opis |
|---|---|---|
| Edukacija | KnowBe4 | Platforma za obuke i phishing simulacije |
| Interna pravila | Confluence / Notion | Objavljivanje politika bezbednosti |
| Upravljanje lozinkama | Bitwarden / 1Password Teams | Bezbedno deljenje i menadžment lozinki |
| VPN i sigurnost | NordLayer / ProtonVPN Business | Zaštita mreže pri radu od kuće |
| Detekcija pretnji | Microsoft Defender for Business / ESET Protect | Centralna zaštita uređaja |
| Backup | Synology Active Backup / Acronis Cloud | Automatske kopije fajlova |
9. Bezbednost pri radu od kuće
Hibridni i „remote“ rad donose nove izazove.
Kada zaposleni koristi kućni Wi-Fi, USB disk ili privatni računar — granice bezbednosti firme postaju nejasne.
Pravila za rad od kuće:
-
Koristiti samo službene uređaje.
-
Povezivati se isključivo preko VPN-a.
-
Redovno zaključavati ekran (posebno kod kućnih članova).
-
Ne deliti poslovne dokumente preko privatnog e-maila.
-
Ažurirati sve aplikacije i OS.
Mnoge firme u Srbiji su tokom 2020–2023. izgubile podatke upravo zbog nepažnje zaposlenih koji su radili van kancelarije.
10. Kako izgraditi “kulturu bezbednosti”
Tehnologija se može kupiti — ali bezbednosna kultura mora da se izgradi.
Šta znači bezbednosna kultura:
-
Zaposleni prepoznaju rizike i reaguju odmah.
-
Svi znaju kome prijaviti incident.
-
Menadžment pokazuje primerom (koristi 2FA, ne ignoriše ažuriranja).
-
Bezbednost se vidi kao deo poslovanja, ne kao smetnja.
Kako je graditi:
-
Uvesti mesečne newslettere sa kratkim savetima o bezbednosti.
-
Organizovati “Cyber Week” — internu nedelju edukacije.
-
Istaknuti “bezbednosne ambasadore” u svakom odeljenju.
11. Incident Response – šta raditi kada se desi napad
Čak i najbolje zaštićene firme mogu postati žrtve napada.
Ključ nije samo u prevenciji, već i u brzoj i pravilnoj reakciji.
Plan reagovanja treba da sadrži:
-
Prepoznavanje incidenta (npr. sumnjiv e-mail, čudno ponašanje sistema).
-
Izolaciju problema (isključiti zaraženi uređaj iz mreže).
-
Obaveštavanje odgovornog lica (IT odeljenje, menadžer, DPO).
-
Dokumentovanje događaja – vreme, opis, mere.
-
Analizu i obuku – kako sprečiti da se ponovi.
Brzina reakcije često znači razliku između manjeg problema i katastrofe.
12. Uloga menadžmenta i rukovodilaca
Cyber-sigurnost nije zadatak IT sektora — to je odgovornost celog rukovodstva.
Direktor koji koristi istu lozinku za Gmail i ERP sistem jednako je rizik kao i nemaran zaposleni.
Menadžment mora da:
-
podrži bezbednosne politike,
-
odvoji budžet za obuku i alate,
-
redovno proverava implementaciju mera,
-
i javno pokazuje da je bezbednost prioritet.
Bez podrške vrha, nijedan sistem zaštite ne može da funkcioniše.
13. Finansijska računica: obuka vs. šteta
Cyber napadi u proseku firmama u Srbiji nanesu štetu od 7.000 do 30.000 € — čak i kada ne dođe do krađe podataka.
Troškovi uključuju:
-
gubitak vremena i reputacije,
-
troškove oporavka podataka,
-
gubitak poverenja klijenata.
Nasuprot tome, godišnja obuka zaposlenih i osnovna zaštita koštaju između 300 i 1000 €.
Dakle, prevencija je 30–50 puta jeftinija od sanacije.
14. Najbolje prakse iz uspešnih firmi
-
Državni sektor (EU primer): Estonija je uvela obaveznu digitalnu obuku za sve državne službenike.
-
IT kompanije u Srbiji: Uvedene su “Cyber petkom” radionice – 15 minuta o bezbednosti pre kraja radnog dana.
-
Bankarski sektor: Zaposleni se testiraju mesečno na phishing simulacijama.
-
Proizvodne firme: Odvojena mreža za proizvodne mašine (IoT) i kancelarije.
15. Zaključak: Bezbedna kompanija počinje od svesti
Nijedan sistem, firewall ili antivirus ne može nadoknaditi nepažnju zaposlenih.
Ali informisan, edukovan i motivisan tim može postati najveća odbrambena linija.
Cyber-sigurnost u kompaniji nije projekat — to je proces.
Zahteva stalnu pažnju, učenje i odgovornost svih.
Zato počnite od malih koraka:
-
edukujte svoj tim,
-
definišite pravila,
-
i postavite kulturu bezbednosti kao standard.
To nije trošak — to je najbolja investicija u budućnost vaše firme.
