Male i srednje tvrtke trenutačno su glavna meta cyber napada u Europi - 60 % svih napada usmjereno je na tvrtke s manje od 250 zaposlenih. Razlog: imaju vrijedne podatke, a manje sigurnosnih resursa od velikih kompanija. Tipičan trošak uspješnog napada: 20.000 € - 500.000 € i više. Pravilno postavljena osnova košta 3.000 € - 15.000 € godišnje - dramatično jeftinije od posljedica. Sigurnost je operativni blizanac GDPR usklađenosti.
Pet najčešćih prijetnji
- Ransomware. Napadač kriptira podatke i traži 10.000 € - 500.000 € otkupnine. Tvrtka stoji 3 - 30 dana. Obrana: redoviti offline backupi, upravljanje zakrpama, obuka protiv phishinga.
- Phishing. Lažni e-mail krade lozinke. Ulazna točka za 60 % - 70 % ozbiljnih napada. Obrana: kontinuirana obuka, MFA, zaštitni filter za e-poštu.
- Business Email Compromise (BEC). Napadač preuzme e-mail vlasnika ili financijskog direktora i šalje lažne upute za plaćanje. Prijenos od 20.000 € - 200.000 € odlazi krivoj osobi. Obrana: MFA, potvrda drugim kanalom za velike prijenose (“nazovi prije promjene IBAN-a”), DMARC/SPF/DKIM.
- Preuzimanje računa u oblaku. Napadač pristupa vašem Microsoft 365 ili Google Workspaceu. Obrana: obvezna MFA, uvjetni pristup, nadzor aktivnosti.
- Unutarnje prijetnje. Bivši ili nezadovoljan zaposlenik zadržava pristup. Obrana: načelo najmanje privilegije, brzo oduzimanje pristupa, revizijski zapisi.
Minimalna sigurnosna osnova
Tehničke mjere: MFA na svim poslovnim računima (obvezno), zaštita uređaja (30 € - 80 € po računalu godišnje), upravljanje zakrpama, zaštitni filter za e-poštu (3 € - 10 € po korisniku mjesečno), 3-2-1 backupi, upravitelj lozinki.
Procesne mjere: pisana sigurnosna politika, plan reakcije na incident, 2 - 4 sata obuke godišnje uz ponavljanje, načelo najmanje privilegije s brzim oduzimanjem.
Tipičan godišnji trošak za tvrtku s 20 - 50 zaposlenih: 5.000 € - 15.000 € za sve.
NIS2: EU regulativa koju treba poznavati
NIS2 proširuje obveze cybersecurityja na tvrtke u bankarstvu, energetici, telekomunikacijama, zdravstvu, vodoopskrbi, prehrambenoj proizvodnji, digitalnim uslugama i javnoj upravi. Kazne za neusklađenost dosežu 10 milijuna eura ili 2 % globalnog prihoda.
NIS2 zahtijeva: sigurnosne politike, plan reakcije na incident, sigurnost lanca opskrbe, kriptografiju, sigurnost ljudskih resursa, MFA, obuku i redovite revizije. Tipičan trošak prve godine za srednju tvrtku: 15.000 € - 80.000 €, uz 5.000 € - 20.000 € godišnje održavanja.
Pet najčešćih sigurnosnih pogrešaka
- “Imamo antivirus, dovoljno je.” Antivirus pokriva oko 10 % prijetnji.
- “Premali smo za napad.” Napadi su automatizirani; napadač bira po slabosti, ne po veličini.
- “IT tvrtka pazi na sigurnost.” Održavanje i cybersecurity su različite discipline. Pogledajte vlastiti tim vs agenciju.
- “Imamo backup.” Netestirani backup je beskoristan. Test restorea mora biti kvartalan.
- “Zaposlenici znaju što je phishing.” 20 % - 40 % klikne na realističan test. Obuka mora biti redovita.
Često postavljana pitanja
Trebamo li CISO-a? Obično ne. Vanjski fractional CISO na mjesečnom angažmanu dovoljan je. Tipičan trošak: 500 € - 2.000 € mjesečno.
Tko reagira kad nas napadnu? Imajte plan unaprijed: vanjski incident response tim, kontakte za pravnu pomoć i plan komunikacije s klijentima. Bez plana, slijedi panika.
Trebamo li cyber osiguranje? Za tvrtke koje obrađuju osjetljive podatke, da. 1.000 € - 5.000 € godišnje za SME. Pokriva troškove obnove, pravnu pomoć i kazne.
Možemo li koristiti EU fondove? Da, kroz NPOO i posebne programe. Pogledajte članak o EU fondovima.
Povezani članci
- GDPR i softver po mjeri - tehnička polovica usklađenosti.
- Pogreške pri digitalizaciji tvrtke
- Softver po mjeri vs SaaS
Trebate sigurnosni audit?
Dogovorite besplatan Discovery razgovor. Pregledat ćemo trenutačnu osnovu, prepoznati najveće rizike i predložiti plan postupne implementacije koji se uklapa u vaš proračun.
Javite nam se na [email protected] ili putem obrasca na našoj stranici.