Napadač zna put do vaših podataka. Jednostavno se radi o digitalnoj realnosti u 2026. godini. Napadi su brži, jeftiniji za izvesti i sve su bliže tvrtkama.
Tvrtke male i srednje veličine imaju pritom najnezahvalniju poziciju. Izdvajaju najmanje resursa za prevenciju, a prostor za napad je ogroman.
Primjerice, koriste se SaaS i alati u oblaku. Zaposlenici rade od kuće i na daljinu. Tvrtke su povezane s dobavljačima, mobilnim uređajima, e-poštom. Sve je više integracija koje međusobno dijele podatke. U takvim okolnostima napadač si postavlja jedno jedino pitanje. Zanima ga koliko ste jednostavni za kompromitirati.
Istovremeno, sigurnost više nije samo interna stvar IT-a. Europski regulatorni okvir (npr. NIS2) i pritisak tržišta sve češće traže da manje tvrtke zapravo dokažu svoju zrelost kroz lanac dobave.
U nastavku teksta možete saznati tko i što prijeti malim i srednjim tvrtkama.
Napadi na identitet tvrtke
U 2026. godini napadač sve rjeđe hakira server u klasičnom smislu. Puno češće preuzima identitet.
Preuzme korisnički račun, pristupne tokene, OAuth dozvole, session cookie ili servisni račun. Razlika je samo u detekciji. Posljedica je ista kao provala, ali je teže uočiti jer se napadač ponaša kao legitiman korisnik.
Kako to izgleda u stvarnosti?
Zaposlenik dobije uvjerljiv e-mail ili poruku na Teamsu/WhatsAppu. Piše da se mora ponovno prijaviti ili odmah potvrditi račun. Unese lozinku i MFA kod na lažnu stranicu ili odobri MFA prompt jer je u žurbi.
U tom trenutku napadač ne mora ništa razbijati. Naime, cilj mu je preuzeti sesiju. Kada dođe do session tokena/cookieja, ulazi bez dodatnog MFA izazova, a zatim u cloudu radi ono što je poslovno najisplativije. Postavlja mail-forwarding pravila, traži fakture i ugovore, analizira tko odobrava plaćanja i čeka pravi trenutak za prijevaru.
Googleovi izvještaji iz cloud domene eksplicitno upozoravaju na social engineering (društveni inženjering) koji cilja krađu kredencijala i session cookieja radi zaobilaženja MFA.
Kako se obraniti?
Identitet i pristup moraju dobiti istu pažnju kao firewall. Konkretno, izložena zanimanja u tvrtki (administratori i financije) trebaju phishing-resistant autentikaciju (passkeys/FIDO2) gdje je moguće dok se pristup cloudu mora vezati uz poznat uređaj i uvjete prijave (Conditional Access / device compliance).
Dodatno, trebate ukloniti starije načine prijave koji zaobilaze modernu zaštitu (legacy auth), te aktivno nadzirati događaje koji u stvarnim incidentima gotovo uvijek prethode šteti.
To radimo tako da dodajemo nove MFA metode, kreiramo mail-forwarding, masovno preuzimanje ili brisanje mailova i consent na sumnjive OAuth aplikacije.
U navedenome se krije razlika između incidenta koji se zaustavi u sat vremena i incidenta koji se otkrije tek kad novac više nije na računu ili podaci procure.
Društveni inženjering
Phishing u 2026. više nije ono što je bio. Generativna AI je napadačima dala mogućnost da jezik, ton i kontekst poruke prilagode vašoj industriji, državi i čak načinu na koji piše određena osoba u firmi.
Poruke više nisu loše prevedene, smiješne i sumnjive. Na našu žalost, savršeno su čitljive, kratke, autoritativne i ciljaju točno tako gdje tvrtke najlakše padnu. Na brzini i povjerenju.
ENISA u Threat Landscapeu ističe da je phishing i dalje dominantan vektor te da je društveni inženjering prilagođen tvrtkama, uključujući snažan utjecaj AI-podržanih kampanja.
Naziv za tu radnju je CEO fraud ili BEC. Napadač se predstavlja kao direktor, vlasnik ili dobavljač i traži hitnu uplatu, promjenu IBAN-a ili slanje podataka.
U nekim slučajevima se ide i korak dalje. Šalju glasovni deepfake poziv ili poruku putem kolaboracijskih alata, gdje zaposlenici imaju veće povjerenje nego prema e-mailu.
Obrana koja radi u ovakvim prijevarama nije komplicirana. Financije trebaju imati proces u kojem se promjena IBAN-a ili hitna isplata uvijek potvrđuje drugim kanalom (poziv na broj iz imenika, ne onaj iz maila) i po mogućnosti kroz princip dvostruke kontrole iznad određenog iznosa. Tehničke mjere (DMARC/SPF/DKIM i upozorenja na vanjski e-mail) pomažu, ali same neće spasiti stvar ako proces dopušta da jedna osoba u žurbi napravi nepovratnu uplatu.
Ransomware 3.0. Ucjena podacima na tiši i brži način
Tvrtkama više ne stižu poruke s obavijesti da im je hard disk šifriran. Danas napad dolazi u više faza. Napadač prvo krade podatke, zatim sabotira ili kompromitira backup, a tek onda enkriptira. Možda uopće ni ne enkriptira, nego ucjenjuje objavom podataka.
Velik je to pomak prema lošijem. Jer čak i ako imate dobar backup, i dalje možete biti ucijenjeni curenjem osjetljivih informacija.
Podaci iz Verizonovog DBIR SMB snapshot-a ukazuju da je ransomware prisutan u velikom udjelu obrađenih proboja i da je njegova prisutnost rasla u odnosu na prethodnu godinu.
Zapravo se ti podaci poklapaju sa situacijom na terenu. Naime, napadači sve češće dolaze kroz nezaštićene rubne točke (VPN/edge uređaji), slabe udaljene pristupe (RDP i slični alati), kompromitirane administratore u M365/Google Workspaceu ili kroz initial access brokere koji prodaju već otvorena vrata.
Najvažniji detalj obrane je razumijevanje da ransomware nije IT kvar, nego scenarij prekida poslovanja.
Zbog toga se obrana mora projektirati oko oporavka. Sigurnosne kopije moraju biti odvojene (offline/immutable kopija), a povrat se mora testirati, jer netestirani backup je najčešće samo iluzija sigurnosti.
Google u cloud kontekstu dodatno upozorava na trend ciljanja backup infrastrukture, upravo zato što napadači žele spriječiti oporavak i natjerati organizaciju na plaćanje.
Zato je razumno da male i srednje tvrtke grade obranu tako da incident ne prijeđe u katastrofu. Neke od ideja koje bi trebali napraviti je segmentirati kritične sustave (računovodstvo/ERP i file share koji ne smiju biti u istom bazenu s korisničkim uređajima), imati endpoint zaštitu koja hvata sumnjive obrasce, te definirati patch (zakrpe) režim za kritične ranjivosti. Moraju znati koga mogu zvati u ovoj situaciji i da mogu dobiti reakciju unutar 60 minuta.
Cloud i SaaS napadi na konfiguraciju i identitet
Danas je sve više malih i srednjih tvrtka koje su cloud-first. Biti 'cloud-first' ne znači samo da radite od bilo kuda; to znači da je vaša imovina rasuta na desetke različitih platformi kao M365, Google Workspace, CRM, ERP.
Odluka o poslovanju u oblaku vidljivo donosi produktivnost, ali mijenja prirodu rizika. Napadači najčešće ne moraju provaljivati u cloud. Dovoljno je da iskoriste preširoka prava, loše postavljen sharing, kompromitirane API ključeve ili zlonamjerne integracije.
Sad dolazimo do najveće pogreške koju gotovo svi ponavljaju. Smatraju da ako imaju MFA, sigurni su. MFA je ogromna pomoć, ali nije čarobni štit ako napadač ukrade session token, kompromitira uređaj, dobije OAuth dozvolu ili koristi valjani login s ukradenim identitetom .
Nismo naveli ništa revolucionarno. Radi se o obrascima na koje cloud izvještaji upozoravaju.
Konkretan pomak u obrani je uvođenje discipline konfiguracije i prava.
Tvrtke trebaju minimalan broj global admina, jasne poslovne uloge, audit logovi i alertovi uključeni, zabrana „anyone with the link“ za osjetljive dokumente, te redovna revizija OAuth aplikacija i integracija.
Možemo sigurnost u oblaku za tvrtke navedene veličine svesti na dvije stvari:
- tko sve ima pristup
- možemo li vidjeti što se događa.
Ako ne možete vidjeti događaje (logovi/alerti), kompromitacija traje duže. Ako ne kontrolirate pristupe, kompromitacija košta više.
Ranjivosti i brzina eksploatacije
Iako identitet dominira, ranjivosti i dalje ostaje važan ulaz. Posebno na rubnim sustavima (VPN, firewall, NAS, hypervisor). Razlika u 2026. je brzina. Ranjivosti se weaponiziraju vrlo brzo, promjene se mjere danima, a ne mjesecima.
ENISA naglašava da eksploatacija ranjivosti ostaje temelj inicijalnog pristupa i da se kampanje brzo prilagođavaju nakon objave ranjivosti, što povećava važnost patchanja i osnovne cyber higijene.
Tvrtke zapnu na banalnoj stvari. Nemaju ažuran inventar, nemaju dogovoreni SLA za zakrpe i nemaju vlasništvo (tko je odgovoran). Bez toga, patchanje postaje improvizacija, a improvizacija u sigurnosti znači kašnjenje. Kašnjenje znači proboj.
Realna obrana počinje popisom imovine i pravilom da kritične zakrpe imaju kratki rok, uz plan za slučajeve kad se ne može odmah patchati (privremene kompenzacijske mjere na rubu mreže).
Važno je i eliminirati EOL sustave ili ih barem izolirati. Naime, stari server koji radi uglavnom postane najskuplji server u firmi.
Supply chain napadi
Dobavljači su sve veći rizik zato što često imaju pristup vašim sustavima, a sigurnosna razina nije uvijek jednaka. Najlakše se preko IT podrške, računovodstva, agencija. Ti odjeli imaju legitiman pristup i time postaju idealna meta.
Napadač koji kompromitira jednog dobavljača može dobiti pristup desecima klijenata. Tvrtka otkrije problem tek kad se šteta već prelije kroz više sustava.
NIS2 u fokus stavlja upravljanje rizicima dobavljača i sigurnost opskrbnog lanca. Njihov rad nije samo preporuka. Postaje tržišni zahtjev. Rizik s dobavljačima se ne rješava birokracijom već jasnim minimalnim pravilima. Ona kažu da pristup mora biti imenovan (ne dijeljeni accounti), multifaktorski zaštićen, vremenski ograničen gdje je moguće, uz evidenciju aktivnosti i obvezu prijave incidenta.
Čak i jednostavan ugovorni dodatak koji definira minimalne sigurnosne standarde dramatično smanjuje sivu zonu kad se nešto dogodi.
Interni rizik i curenje podataka kroz AI alate
U ovom segmentu dolazi do napada, čak i bez napadača. Ne dolazi do klasičnog napada, nego problema radi pogrešne odluke.
Zaposlenik kopira osjetljive podatke u javni AI alat, koristi privatni cloud za poslovne dokumente ili dijeli link koji je otvoren svima s linkom. ENISA bilježi i trendove zloupotrebe AI tematike, primjerice lažne instalere AI alata koji isporučuju malware, što dodatno podiže rizik jer ljudi misle da instaliraju legitiman alat.
Obrana ovdje mora biti pragmatična. Ne može se jednostavno sve zabraniti. Sigurno će ljudi naći zaobilazni put. Voda uvijek nađe način da procuri, zar ne.
Učinkovitije je jasno definirati što je dopušteno unositi u AI alate, osigurati odobrene alate za posao i uvesti osnovnu zaštitu podataka (barem za financije i HR), uz minimalni nadzor nad dijeljenjem i eksfiltracijom.
Poanta nije kontrolirati ljude, nego spriječiti da produktivnost postane curenje podataka.
Kako se realno možete obraniti?
Tako da se usmjerite na sve ono što ruši poslovanje. Obrana mora biti fokusirana. Najgora strategija je kupovati nasumične alate bez plana.
Krenite od identiteta i e-pošte, financijskih procesa, dokumenata i dijeljenja datoteka. Krenite od ključnih aplikacija (ERP/CRM,) te backupa i oporavka. Kada to zaštitite, većina napada gubi smisao ili postaju upravljiva.
Zrelost se ne mjeri time s MFA ili s antivirusom. Mjeri se s reakcijom na incident. Koliko zapravo brzo možete zakrpati kritično, koliko brzo izolirati kompromitirani uređaj ili račun, koliko brzo vratiti podatke iz backupa i tko donosi odluke kad je stres najveći.
Postavite si ta pitanja i, u slučaju problema, nećete se oporavljati mjesecima, nego dan ili dva.
Nemojte nagađati jeste li sigurni. Javite se za audit vaše tvrtke prije nego što to učini netko drugi.
Audit je najbrži put prema sigurnosti jer mapira identitete i privilegije, cloud konfiguracije i logove, endpoint zaštitu i patch stanje, backup i mogućnost oporavka te financijske procese izložene BEC-u.
