Proljeće i ljeto 2024. godine bili su kao hladan tuš za hrvatsku IT zajednicu. Sustavi su bili zaključani, medicinski podaci nedostupni, a pacijenti i putnici su čekali. Ransomware napad paralizirao je jednu od najvećih hrvatskih bolnica, a napadači su ne samo blokirali pristup podacima, već ih i ukrali. Mjesec dana kasnije, sličan scenarij odvijao se u Zračnoj luci Split tijekom špice turističke sezone. Putnici su bili zbunjeni, letovi odgođeni, a zaposlenici prisiljeni raditi ručno. Ina, HAK ili državne agencije, nitko nije pošteđen i svatko može postati potencijalna meta u ovom nevidljivom ratu u digitalnom prostoru.
Ovo nisu izolirani incidenti. Ovo je nova realnost hrvatskog poslovnog okruženja u kojem cyber kriminalci ne biraju mete. Prema najnovijem izvješću Sigurnosno-obavještajne agencije (SOA), Hrvatska je u 2024. godini zabilježila 38 državno-sponzoriranih kibernetičkih napada, što je za sedam više nego godinu ranije. Dvije trećine tih napada provele su ruske državno-sponzorirane skupine, a napadi na kritičku infrastrukturu postali su sve češći i sofisticiraniji.
Ogromni gubici diljem svijeta
Kada govorimo o kibernetičkim napadima koji su pogodili Hrvatsku, riječ je o profesionalnim operacijama koje stoje iza njih organizirane kriminalne grupe, a ponekad i države. Prema FBI-jevom izvješću o internet kriminalu za 2024. godinu, gubici od cyber kriminala u SAD-u dosegnuli su 16,6 milijardi dolara, pri čemu su pritužbe vezane uz ransomware porasle za devet posto. Hrvatska nije iznimka, ona je postala atraktivna meta upravo zbog percepcije da mnoge organizacije nisu adekvatno zaštićene.
Napadači koriste tehnike socijalnog inženjeringa kako bi iskoristili najranjiviju točku svakog sustava, običnog čovjeka. Phishing e-mailovi postaju sve sofisticiraniji, a prema Global Cybersecurity Outlook izvješću Svjetskog ekonomskog foruma za 2025. godinu, čak 42 posto organizacija prijavilo je phishing i socijalno-inženjerske napade u 2024. godini.
Kad se ušuljaju u mreže, napadači dobiju veći pristup i šetaju mrežom praktički kuda žele, a na kraju ukradu te šifriraju podatke. U slučaju KBC Zagreb, SOA je provodila forenzičku istragu i sudjelovala u vraćanju podataka, što govori o kompleksnosti i ozbiljnosti napada. Napadači nisu samo blokirali organizaciji pristup podacima, već su ih mogli objaviti ili prodati na dark webu.
Zračna luka Split doživjela je napad u najnepovoljnijem trenutku, tijekom vrhunca turističke sezone kada je svaki sat downtimea značio ogroman financijski gubitak i reputacijsko oštećenje. HAK je također bio meta godinu dana ranije, što pokazuje da kibernetički kriminalci targetiraju organizacije kod kojih će zastoj usluga stvoriti maksimalan pritisak za plaćanje otkupnine.
Dvosjekli mač umjetne inteligencije
Trendovi koji oblikuju prijetnje diljem svijeta direktno utječu na naše organizacije i tvrtke u Hrvatskoj. Jedna od najvećih je generativna umjetna inteligencija, koja je praktički promijenila pravila igre, ne samo po pitanju obrane. Prema izvješću Gartnera, 29 posto organizacija prijavilo je napade koji ciljaju AI infrastrukturu, dok se čak 62 posto susrelo s deepfake napadima putem socijalnog inženjeringa. Ta tehnologija omogućava kreiranje uvjerljivih lažnih video i audio snimki, što otežava prepoznavanje prijevare. Tako se primjerice mogu generirati snimke u kojima šef od zaposlenika traži da se hitno prebace neka novčana sredstva ili onesposobe neki sustave, a da taj direktor je zapravo deepfake kreiran umjetnom inteligencijom.
S druge strane, AI postaje neizostavan alat i za obranu. Sustavi vođeni umjetnom inteligencijom mogu detektirati anomalije u mreži koje bi ljudski analitičari propustili, predvidjeti potencijalne napade na temelju obrazaca ponašanja i automatski odgovoriti na prijetnje u realnom vremenu.
Tehnologija o kojoj se posljednjih godina puno pričalo, cloud, donio je fleksibilnost i skalabilnost, ali i nove sigurnosne izazove. Prema Cyber Security Report 2024., 61 posto organizacija prijavilo je narušavanje sigurnosti u oblaku u protekloj godini. Problem često nije u cloud tehnologiji samoj, već u načinu na koji organizacije konfiguriraju i upravljaju svojim cloud okruženjima. Pogrešno konfigurirane postavke, slabe kontrole pristupa i nedostatak vidljivosti u cloud infrastrukturu otvaraju vrata napadačima.
Što je donijela direktiva NIS2?
Kako bi se stao na kraj takvim napadima, Europska unija uvela je NIS2 direktivu kako bi uspostavila jedinstveni pravni okvir za sigurnosne zahtjeve u osamnaest ključnih sektora diljem Europske unije, uključujući energetiku, zdravstvo, financije i telekomunikacije. Tijekom ljeta 2025. godine većina organizacija koje podliježu direktivi saznala je u koju grupu spadaju. Subjekti su podijeljeni na "ključne subjekte", čiji prekid rada može ugroziti nacionalnu sigurnost, te "važne subjekte", čije narušavanje poslovanja utječe na ekonomsku stabilnost i društvene usluge. Ova direktiva, najopsežnija EU direktiva o kibernetičkoj sigurnosti do sada, ne ostavlja prostora za improvizaciju.
NIS2 direktiva nije samo birokratska obaveza, budući da ona predstavlja fundamentalnu promjenu u načinu na koji organizacije moraju razmišljati o kibernetičkoj sigurnosti. Cilj je jasan, osigurati snažnu sigurnosnu zaštitu mreža i informacijskih sustava tvrtki važnih za funkcioniranje društva i ekonomije.
Pred upravnim odborima i menadžmentom organizacija koje podliježu NIS2 direktivi sada se nalazi zahtjevna "praktična faza" implementacije sigurnosnih mjera. Njihov primarni zadatak je osigurati da godišnji planovi i proračuni za 2026. godinu uključuju sveobuhvatne projekte kibernetičke sigurnosti, što podrazumijeva značajna ulaganja u tehnologiju, obuku zaposlenika i uspostavu novih sigurnosnih procedura.
Što NIS2 direktiva konkretno zahtijeva?
Upravljanje rizicima postaje formalni proces. Organizacije moraju provoditi redovite procjene rizika i razviti odgovarajuće sigurnosne politike i mjere. Ovo uključuje upravljanje incidentima, jačanje sigurnosti lanca opskrbe, pojačanu sigurnost mreže, bolju kontrolu pristupa i enkripciju podataka. Nije dovoljno imati "nekakvu" zaštitu, direktiva nalaže strukturiran i dokumentiran pristup koji se može verificirati.
Korporativna odgovornost je sada na vrhu liste prioriteta. Uprava društva mora preuzeti izravnu odgovornost za sigurnost informacijskih sustava. Nije više dovoljno delegirati ovo pitanje IT odjelu i nadati se najboljem. Članovi uprave moraju biti educirani o cyber rizicima, razumjeti mjere zaštite i aktivno ih nadgledati, odobravati i provoditi. Time pitanja kibernetičke sigurnosti postaju stalna točka na sastancima uprave.
Obveze izvještavanja postaju strože i preciznije definirane. Ključni i važni subjekti moraju objavljivati informacije o sigurnosnim incidentima koji značajno utječu na opskrbu uslugama ili na primatelje usluga. Određeni su specifični rokovi za izvještavanje koji osiguravaju brzu reakciju i smanjuju potencijalnu štetu. Takvo ažurno izvještavanje nije samo formalnost, budući da ono omogućava drugim organizacijama i nadležnim tijelima da se pripreme i poduzmu preventivne mjere.
Kontinuitet poslovanja mora biti planiran. Važne usluge i procesi moraju nastaviti raditi tijekom i nakon kibernetičkih incidenata. Planovi kontinuiteta moraju definirati timove za odgovor na krizne situacije, sigurnosne procedure i strategije oporavka sustava.
Neusklađenost s NIS2 direktivom može dovesti do značajnih kazni, a reputacijska šteta zbog sigurnosnih propusta gotovo pa da je neizmjerna. Za ključne subjekte kazne mogu dosegnuti do deset milijuna eura ili dva posto globalnog godišnjeg prometa, ovisno što je veće. Za važne subjekte kazne su do sedam milijuna eura ili 1,4 posto prometa. Takvi iznosi mogu ozbiljno ugroziti financijsku stabilnost organizacije.
Univerzalno rješenje za sve subjekte
Kako bi se hrvatske tvrtke učinkovito pripremile za rastuće prijetnje i ispunile obveze iz NIS2 direktive, A1 Hrvatska nudi sveobuhvatan portfelj usluga osmišljen tako da pokrije ključne aspekte modernog upravljanja cyber-rizicima.
Sigurnosno operativni centar (SOC) A1 Hrvatska omogućuje neprekidan nadzor svih slojeva IT infrastrukture, od mreže i servera do aplikacija i krajnjih točaka. Kroz naprednu analitiku i AI-pogonjene sustave detekcije anomalija, SOC proaktivno prepoznaje sofisticirane prijetnje te ih zaustavlja prije nego što dovedu do prekida poslovanja. Lokalni tim stručnjaka, dostupan 24 sata na dan i svih sedam dana u tjednu, pruža individualiziranu podršku i uvid u specifične regulatorne zahtjeve hrvatskog tržišta. Redoviti sigurnosni pregledi i actionable insighti omogućuju upravama donošenje pravovremenih i informiranih odluka.
Nova usluga, Phish&Learn, može odgovoriti na probleme najslabije točke svakog sustava, već spomenutog običnog čovjeka. Phish&Learn kombinira simulacije phishing, smishing i vishing napada, prilagođene realnim scenarijima na hrvatskom tržištu, s automatskom mikroedukacijom odmah nakon “pada” na simulaciji. Umjesto kaznenih mjera, zaposlenici dobivaju kratke, interaktivne lekcije koje objašnjavaju uočenu prijetnju i prikazuju ispravan odgovor. Ovaj pristup ne samo da podiže razinu svijesti, nego i značajno smanjuje uspješnost stvarnih napada. Detaljni izvještaji za IT i HR odjele pomažu u praćenju napretka i planiranju daljnjih koraka, a integracija s postojećim sustavima kao što su Microsoft 365, SIEM i ticketing osigurava besprijekoran tijek podataka i olakšava dokazivanje usklađenosti s GDPR-om, ISO 27001 i NIS2 direktivom.
Osim SOC-a i Phish&Learn, A1 Hrvatska nudi dodatne usluge prilagođene specifičnim zahtjevima NIS2 direktive. Penetracijsko testiranje i skeniranje ranjivosti automatski prepoznaju i dokumentiraju slabosti u sustavima, dok zaštita od DDoS napada i Cloud Firewall štite mrežne resurse od velikih volumena zlonamjernog prometa. Endpoint Protect rješenje omogućuje sigurno korištenje mobilnih uređaja i rad na daljinu, a NIS2 Gap analiza daje jasnu sliku postojećeg stanja i mapu potrebnih mjera za potpunu usklađenost.
Za korporativne klijente, MSP i javnu upravu, A1 Hrvatska nudi prilagođene implementacije s integracijom u postojeće sustave, transparentnim troškovima i skalabilnošću prema rastućim potrebama organizacija.
Sponzorirani sadržaj nastao u suradnji s Native Ad Studijem Hanza Medije i A1 Hrvatska.
Za sudjelovanje u komentarima je potrebna prijava, odnosno registracija ako još nemaš korisnički profil....