TsunamiDigital
EN HR
Trendovi 8 min čitanja

Cybersecurity za male i srednje tvrtke: prijetnje, troškovi i kako se pripremiti

Praktičan vodič za cybersecurity u hrvatskim malim i srednjim tvrtkama. Najčešće prijetnje, osnovne mjere, troškovi i pripreme za NIS2 i GDPR.

autor Tsunami Digital

Male i srednje tvrtke su trenutno glavna meta cyber napada u Europi - 60% svih napada usmjereno je na tvrtke s manje od 250 zaposlenih. Razlog je jednostavan: imaju vrijedne podatke (klijenti, financije, intelektualno vlasništvo), ali manje sigurnosnih resursa od velikih kompanija. Tipičan trošak uspješnog napada za SME u Hrvatskoj: €20.000-€500.000+ kroz operativni gubitak, plaćanje otkupnine, gubitak povjerenja i regulatorne kazne. Pravilno postavljena cybersecurity osnova košta €3.000-€15.000 godišnje - što je dramatično jeftinije od posljedica.

Ovaj članak razlaže glavne prijetnje za hrvatske SME-ove, koje su minimalno potrebne mjere i kako se pripremiti za nove EU regulative poput NIS2.

Pet najčešćih cyber prijetnji za SME

Što stvarno radimo kao razvojni partneri kad analiziramo sigurnost klijenta - pet kategorija prijetnji koje se redovito viđaju:

1. Ransomware

Što: Napadač kriptira sve Vaše podatke i traži otkupninu (€10.000-€500.000) za dešifriranje.

Koliko često: Najčešća uspješna napad na SME. Tipičan ulazak kroz pogrešno otvoreni e-mail privitak ili nepatcheran sustav.

Posljedica: Cijela tvrtka stoji 3-30 dana. Ako platite, niti garancija da podatke vratite.

Obrana: Redovni backup (offline ili u cloudu s odvojenom autentikacijom), patch management, treniranje zaposlenika protiv phishinga.

2. Phishing

Što: Lažni e-mail koji izgleda kao da je od kolege/banke/dobavljača traži unos lozinke ili kliktanje na link.

Koliko često: Ulazna točka za 60-70% svih ozbiljnih napada.

Posljedica: Krađa pristupnih podataka, koja vodi u svaku drugu prijetnju.

Obrana: Treniranje zaposlenika (ponavljano!), MFA (multi-factor authentication), email security gateway.

3. Business Email Compromise (BEC)

Što: Napadač kompromitira e-mail vlasnika ili financijskog direktora, pa iz njegovog imena šalje pogrešne instrukcije računovodstvu.

Koliko često: Manje učestalo, ali velikih posljedica. Tipično: “Promijeni IBAN za fakturu od dobavljača X.” Prijenos €20.000-€200.000 koji odlazi krivoj osobi.

Obrana: MFA na svim e-mail računima, drugi kanal potvrde za sve velike prijenose (“zovi prije promjene IBAN-a”), DMARC/SPF/DKIM za e-mail.

4. Cloud account takeover

Što: Napadač pristupa Vašem Microsoft 365, Google Workspace ili AWS računu. Pristup svemu - mailu, dokumentima, infrastrukturi.

Koliko često: U porastu kako sve više tvrtki ide u cloud.

Posljedica: Krađa podataka, korištenje resursa, brisanje, premještanje na drugi račun.

Obrana: MFA obavezan, conditional access policies, monitoring aktivnosti.

5. Insider threats

Što: Bivši ili nezadovoljni zaposlenik ima pristup koji ne bi trebao.

Koliko često: Manje često, ali često najveće posljedice (jer insider zna gdje su važne stvari).

Obrana: Princip najmanje privilegije (svatko ima samo pristup koji mu treba), brzo oduzimanje pristupa pri otkazu, audit logovi.

Minimalne sigurnosne mjere za hrvatski SME

Osnovni sigurnosni paket koji bismo savjetovali svakom klijentu:

Tehničke mjere:

  • MFA na sve poslovne račune (e-mail, banka, ERP, cloud) - obavezno
  • Endpoint protection (moderan antivirus) na sva računala - €30-€80 po računalu godišnje
  • Patch management - sve aplikacije i OS-ovi automatski ažurirani
  • Email security gateway (Mimecast, Proofpoint) - €3-€10 po korisniku mjesečno
  • Backup s offline kopijom - 3-2-1 pravilo (3 kopije, 2 medija, 1 offline)
  • Password manager (Bitwarden, 1Password) za sve zaposlenike

Procesne mjere:

  • Sigurnosna politika - pisana, potpisana od zaposlenika
  • Plan reakcije na incident - što napraviti ako se nešto dogodi
  • Treniranje zaposlenika - 2-4 sata godišnje, redovito ponavljanje
  • Pravo pristupa - princip “minimum potrebno”, brzo oduzimanje pri odlasku

Tipičan godišnji trošak za tvrtku s 20-50 zaposlenih: €5.000-€15.000 za sve.

NIS2 - nova EU regulativa koju treba znati

NIS2 (Network and Information Security Directive 2) je nova EU regulativa koja proširuje obaveze cybersecuritya na puno više tvrtki nego ranije. Hrvatske tvrtke koje su u sektorima poput:

  • Bankarstvo i financije
  • Energetika
  • Telekomunikacije
  • Zdravstvo
  • Vodoopskrba
  • Hrana i piće (proizvodnja)
  • Digitalne usluge (cloud, marketplace)
  • Javna uprava

…moraju implementirati niz sigurnosnih mjera. Kazne za neusklađenost mogu doseći €10 milijuna ili 2% globalnog prihoda.

Što NIS2 konkretno zahtijeva:

  • Sigurnosne politike
  • Plan reakcije na incident
  • Sigurnost lanca opskrbe
  • Kriptografija
  • Sigurnost ljudskih resursa
  • Multi-factor authentication
  • Sigurnosno treniranje
  • Redovite revizije

Tipičan trošak NIS2 usklađenosti za srednju tvrtku: €15.000-€80.000 u prvoj godini, plus €5.000-€20.000 godišnje za održavanje.

5 najčešćih sigurnosnih grešaka u hrvatskim SME-ovima

1. “Imamo antivirus, dovoljno je.” Antivirus rješava 10% prijetnji. Bez MFA, backup-a, treniranja i monitoringa - sustav je otvoren.

2. “Tako mali smo, nitko nas ne napada.” Pogrešno. Cyber napadi su automatizirani - napadač ne bira tvrtku po veličini, već po slabosti.

3. “IT firma za održavanje pazi na sigurnost.” Standardna IT firma održava sustave. Cybersecurity je posebna specijalnost. Provjerite što stvarno radite.

4. “Backup imamo, ali nismo testirali restore.” Backup koji se ne može vratiti je beskoristan. Test restore mora biti redovit (kvartalno).

5. “Zaposlenici znaju što je phishing.” Ne. Testovi pokazuju da 20-40% zaposlenika klikne na realistički phishing test. Treniranje mora biti ponavljano, ne jednokratno.

Što napraviti u sljedećih 30 dana

Praktična lista koju možete odmah krenuti raditi:

Tjedan 1: Audit

  • Lista svih sustava koje koristite
  • Tko ima pristup čemu
  • Gdje su backup-ovi i koliko su stari
  • Identifikacija najvećih rizika

Tjedan 2: Hitne mjere

  • MFA na e-mailu i bankama (obavezno)
  • Provjera backup-a (test restore!)
  • Provjera tko ima pristup koji ne bi trebao

Tjedan 3: Treniranje

  • Sastanak o cybersecurityju s timom
  • Pravila za e-mail, lozinke, USB-ove
  • Plan testa phishinga za sljedeći mjesec

Tjedan 4: Plan dugoročno

  • Pisana sigurnosna politika
  • Plan reakcije na incident
  • Budget za sigurnosne mjere u sljedećoj godini

Često postavljana pitanja

Trebamo li unajmiti CISO-a (Chief Information Security Officer)? Za SME - obično ne. Vanjski savjetnik (fractional CISO) koji dolazi mjesečno ili kvartalno je dovoljan. Tipičan trošak: €500-€2.000/mjesec.

Što kada smo zaista napadnuti - tko se javlja? Treba imati plan unaprijed: vanjski incident response tim, kontakti za pravnu pomoć, plan komunikacije s klijentima. Bez plana - panika.

Trebamo li cyber osiguranje? Za tvrtku koja obrađuje osjetljive podatke - da. Tipičan trošak: €1.000-€5.000/godišnje za SME. Pokriva troškove restauracije, pravne pomoći, eventualne kazne.

Možemo li koristiti EU fondove za cybersecurity? Da, kroz NPOO i posebne programe. Pogledajte naš članak o EU fondovima za detalje.

Trebate sigurnosni audit?

Dogovorite besplatan Discovery razgovor. Pregledamo Vašu trenutnu sigurnosnu osnovu, identificiramo najveće rizike, i predlažemo plan postupne implementacije koji se uklapa u Vaš budget.

Javite nam se na [email protected] ili kroz formu na našoj stranici.

Svi članci