Mala firma može biti sigurna

Sigurnost ne smije biti nedostižna. Može se ostvariti s malim budžetom,

Svakom se može dogoditi neka nezgodna situacija, Dolazite u ponedjeljak ujutro na posao, upalite računalo i umjesto radne površine dočeka vas crveni ekran s porukom na engleskom jeziku.

Svi vaši podaci su šifrirani. Netko traži 5.000 eura u kriptovaluti za otkupninu. Nemate backup. Rok za predaju projekta klijentu je sutra. Telefon počinje zvoniti jer ni kolege ne mogu pristupiti zajedničkim dokumentima.

Ransomware napadi poput ovog svakodnevica su za tisuće malih tvrtki diljem Europe, uključujući Hrvatsku. Naime, male tvrtke su cilj skoro pa polovice napada.

Istovremeno, 60 posto malih firmi zatvori poslovanje unutar šest mjeseci nakon ozbiljnog sigurnosnog incidenta.

Ali evo i dobre vijesti. Ne trebate budžet multinacionalne korporacije da biste izgradili solidnu digitalnu sigurnost. Trebate pametan pristup i jasne prioritete.

U ovom članku predstavljamo koncept Minimum Viable Security, pristup kibernetičkoj sigurnosti koji se fokusira na ono što stvarno funkcionira, što si možete priuštiti i što možete implementirati sami ili uz minimalno vanjsku pomoć.

Naučit ćete kako zaštititi svoje poslovanje za otprilike 200 do 600 eura godišnje, korak po korak, bez potrebe za IT odjelom ili skupim konzultantima.

Provest ćemo vas kroz sedam ključnih stupova zaštite, dati vam konkretne alate i besplatne resurse te vam ponuditi mjesečni plan implementacije koji možete početi slijediti danas.

IT sigurnost nije luksuz

Postoji jedan opasan mit koji i danas uporno kruži među vlasnicima malih poduzeća.

Misle da su premali da bi ih netko napao. Istina je upravo suprotna. Hakeri ciljaju male firme upravo zato što znaju da su najslabije zaštićene.

Automatski alati za skeniranje ranjivosti ne razlikuju tvrtku s dva zaposlenika od korporacije s dvije tisuće. Oni jednostavno traže otvorena vrata, a mala firma ih statistički ima više.

Evo najčešćih prijetnji s kojima se male tvrtke suočavaju svakodnevno i koje su posebno aktualne u 2025. i 2026. godini.

Phishing napadi i zaštita od njih postali su tema broj jedan u cyber security Hrvatskoj.

Lažni emailovi koji izgledaju kao da dolaze od banke, dobavljača, Porezne uprave ili čak vašeg šefa samo su jedan oblik ove prijetnje.

Novi trendovi pokazuju da napadači sve češće koriste i SMS poruke, lažne Booking stranice te deepfake glasovne pozive.

Jedan jedini klik na krivu poveznicu i napadač ima pristup vašim sustavima. Prema podacima Hrvatskog CERT-a, phishing je već godinama najčešći vektor napada na hrvatske tvrtke, a sofisticiranost napada raste iz mjeseca u mjesec.

Ransomware napadi predstavljaju drugu veliku prijetnju. Zloćudni softver šifrira sve vaše podatke i traži otkupninu.

Prosječna otkupnina za male firme kreće se između 10.000 i 50.000 eura, ali stvarni troškovi su daleko veći kada uračunate zastoj u poslovanju, gubitak klijenata i troškove oporavka.

Čak i ako platite, nema nikakve garancije da ćete dobiti podatke natrag.

Više od trećine tvrtki koje plate otkupninu nikada ne dobiju potpuni pristup svojim podacima.

Zero day ranjivosti su sigurnosni propusti u softveru koje proizvođač još nije otkrio ni zakrpao. Napadači ih aktivno iskorištavaju upravo zato što za njih ne postoji gotova zaštita. Iako su zero day ranjivosti češće asocirane s velikim organizacijama, mala firma koja koristi isti ranjivi softver jednako je izložena.

Redovito ažuriranje softvera jedini je način da smanjite ovaj rizik na minimum.

Krađa podataka također je sve učestalija prijetnja.

Podaci vaših klijenata, financijska dokumentacija i poslovna korespondencija imaju konkretnu vrijednost na crnom tržištu. Jedan proboj može značiti gubitak povjerenja koje ste gradili godinama, a oporavak reputacije je skup i dugotrajan proces.

Konačno, tu je i obični gubitak podataka koji ne mora imati veze s hakerima.

Pokvareni disk, prolivena kava. Vaši podaci su nestali, a s njima potencijalno i vaše poslovanje.

Koliko košta sigurnosni incident?

Financijski utjecaj sigurnosnog incidenta na malu firmu može biti razoran i nepovratno destruktivan.

Tu je i regulatorni aspekt koji se ne smije zanemariti. GDPR, Opća uredba o zaštiti podataka, odnosi se i na vas bez obzira imate li dva ili dvjesto zaposlenika.

Ako obrađujete osobne podatke građana EU-a, a gotovo sigurno ih obrađujete jer se radi o e-mailovima klijenata, adresama za dostavu i podacima na računima, imate zakonske obveze.

Kazne mogu doseći do 20 milijuna eura ili 4 posto godišnjeg prometa, ovisno o tome što je veće. Čak i za male firme, regulatorna tijela aktivno izriču kazne u tisućama i desecima tisuća eura.

Uz GDPR, na scenu sve više stupa i NIS2 direktiva koja proširuje obveze kibernetičke sigurnosti na širi krug poduzeća i njihove dobavljače.

Ako vaša mala firma pruža usluge većim organizacijama u sektorima poput energetike, zdravstva, transporta ili digitalne infrastrukture, NIS2 certifikacija i usklađenost mogu postati uvjet za nastavak suradnje.

Radionice za NIS2 certifikaciju već se organiziraju u Hrvatskoj, a informiranje o ovim zahtjevima trebalo bi biti na popisu prioriteta svakog vlasnika malog poduzeća.

Zaštita vaše firme nije luksuz i nije nešto što možete odgađati za bolja vremena. To je osnovna poslovna potreba, jednako važna kao zaključavanje vrata ureda navečer ili plaćanje polica osiguranja.

Što je Minimum Viable Security?

Ako ste upoznati sa startupovskim svijetom, vjerojatno ste čuli za Minimum Viable Product, najjednostavniju verziju proizvoda koja još uvijek rješava problem korisnika. Isti princip primjenjujemo na kibernetičku sigurnost.

Minimum Viable Security je najmanji skup sigurnosnih mjera koji pruža solidnu zaštitu od najčešćih prijetnji, a da pritom ne zahtijeva značajna financijska ulaganja niti duboko specijalizirano znanje.

Ne govorimo o savršenoj sigurnosti jer savršena sigurnost ne postoji, čak ni za tvrtke s milijunskim budžetima i stotinama sigurnosnih stručnjaka.

Govorimo o dovoljno dobroj sigurnosti koja pokriva najveće rizike i značajno smanjuje vjerojatnost uspješnog napada.

Ovdje na scenu stupa princip Pareto poznatiji kao pravilo 80/20. U kontekstu digitalne sigurnosti to znači da 20 posto sigurnosnih mjera pokriva 80 posto rizika.

Naš cilj je identificirati tih ključnih 20 posto i implementirati ih pametno, brzo i jeftino.

Pristup je jednostavan i pragmatičan. Umjesto da pokušavate sve odjednom i odustanete nakon dva dana jer ste preopterećeni, fokusirate se na prioritete prema stvarnom riziku.

Prvo zaštitite ono što je najvažnije i najranjivije, a zatim postupno nadograđujete svoju sigurnost kako vrijeme i resursi dopuštaju.

Sedam stupova za sigurnost malih firmi

Snažne lozinke i upravljanje pristupm

Lozinke su prva linija obrane vaše firme, a istovremeno najčešća slaba točka.

Verizon 2025 Data Breach Investigations Report pokazuje da 81 posto povreda podataka uzrokovano je slabim ili ukradenim lozinkama. Ako vaši zaposlenici koriste kombinacije poput lozinka123 ili imefirme2024, imate problem koji je samo pitanje vremena kada će biti iskorišten.

Prva i najvažnija stvar koju trebate napraviti jest implementirati password menadžer.

Password menadžer je aplikacija koja generira, pohranjuje i automatski popunjava složene jedinstvene lozinke za svaki servis koji koristite. Umjesto da pamtite dvadeset različitih lozinki, pamtite samo jednu glavnu lozinku za menadžer.

Bitwarden je izvrstan izbor koji je besplatan za pojedince, a za timove košta otprilike 3 eura po korisniku mjesečno.

Program je Open-source, pouzdan i jednostavan za korištenje čak i za osobe bez tehničkog predznanja.

KeePass je potpuno besplatan i također open-s ource, ali zahtijeva malo više tehničkog znanja jer se podaci čuvaju lokalno na vašem uređaju.

Druga ključna mjera je dvofaktorska autentifikacija, poznata i kao 2FA.

Autentifikacija dodaje drugi sloj zaštite tako da čak i ako netko sazna vašu lozinku, ne može pristupiti računu bez drugog faktora, najčešće koda koji se generira na vašem mobitelu putem aplikacija poput Google Authenticatora ili Authyja.

Prioritetni računi za aktiviranje 2FA su poslovni email, bankovni računi, cloud servisi, društvene mreže tvrtke te upravljanje domenama i hostingom.

Treći korak je uspostavljanje politike lozinki. Ne mora to biti formalni dokument od dvadeset stranica.

Dovoljna je jednostavna lista pravila. Uspostavite minimalno 12 znakova, kombinacija velikih i malih slova, brojeva i specijalnih znakova, nikad ista lozinka za dva različita servisa, obvezna promjena lozinke odmah ako postoji sumnja na kompromitaciju i stroga zabrana dijeljenja lozinki putem emaila ili chat aplikacija.

Praktična implementacija izgleda ovako. Prvog dana instalirajte Bitwarden na sve uređaje u firmi i migrirajte sve postojeće lozinke.

Bitwarden ima ugrađenu funkciju koja automatski detektira slabe i ponovljene lozinke pa ih zamijenite novima.

Drugog dana aktivirajte 2FA na svim kritičnim računima.

Ukupna investicija je nula do pedeset eura godišnje, a eliminirate najveći pojedinačni izvor rizika u cijelom poduzeću.

Redovite sigurnosne kopije

Ako postoji samo jedna stvar koju ćete napraviti nakon čitanja ovog vodiča, neka to budu redovite sigurnosne kopije.

Backup je vaša posljednja i najvažnija linija obrane. Čak i ako sve ostalo zakaže, ako vas pogodi ransomware, ako se disk pokvari, ako zaposlenik slučajno obriše kritičnu datoteku ili bazu podataka, s dobrim backupom vraćate se u posao za par sati umjesto par tjedana ili nikada.

Zlatno pravilo backupa poznato je kao pravilo 3-2-1. Potrebne su vam tri kopije vaših podataka, dakle original plus dvije dodatne kopije, pohranjene na dva različita tipa medija, pri čemu je jedna kopija fizički na udaljenoj lokaciji ili u cloudu.

Ovo pravilo koriste i najveće korporacije, a jednako je primjenjivo na firmu od tri osobe.

Za cloud backup postoji nekoliko pristupačnih opcija. Google Drive nudi 15 GB besplatno, a 100 GB košta 1,99 eura mjesečno dok 2 TB stoje 9,99 eura mjesečno.

Microsoft OneDrive dolazi s 5 GB besplatnog prostora, a 1 TB je uključen u Microsoft 365 Business Basic za 5,60 eura mjesečno po korisniku. Dropbox nudi 2 GB besplatno, a profesionalni planovi kreću od 11,99 eura mjesečno.

Za lokalnu kopiju, vanjski USB disk je jednokratna investicija od 50 do 100 eura za disk od 2 do 4 TB koji služi kao druga kopija. Za firme s većom količinom podataka, NAS uređaj u rasponu od 200 do 400 eura pruža centraliziranu lokalnu pohranu s automatskim backupom.

Automatizacija je apsolutno ključna jer ručni backup koji ovisi o tome da se netko sjeti napraviti ga je backup koji ćete zaboraviti upravo onda kada vam najviše treba.

Na Windowsu koristite ugrađenu funkciju File History. Google Drive desktop aplikacija automatski sinkronizira odabrane mape. Za naprednije korisnike, besplatni alat FreeFileSync automatizira kopiranje na vanjske diskove prema rasporedu.

Praktični koraci su sljedeći. Prvo identificirajte kritične podatke: dokumenti, baze podataka, financije, klijentski podaci, e-mailovi. Zatim postavite automatsku sinkronizaciju s cloud servisom za svakodnevni backup.

Jednom tjedno napravite dodatnu kopiju na vanjski disk. I jednom mjesečno testirajte restore, odnosno provjerite možete li zaista vratiti podatke iz backupa. Backup koji nikad niste testirali jednako je koristan kao da ga nemate.

Ukupna investicija od stotinjak eura godišnje u backup može vam uštedjeti desetke tisuća eura u slučaju gubitka podataka. Automatski cloud backup za kritične podatke uspostavite danas jer vam doslovno treba sat vremena.

Ažuriranje softvera i operativnih sustava

Ova sigurnosna mjera košta nula eura, a nevjerojatno je učinkovita.

Svako softversko ažuriranje sadrži zakrpe za sigurnosne ranjivosti otkrivene od prethodnog ažuriranja, uključujući i zaštitu od novootkrivenih zero day ranjivosti čim proizvođač objavi zakrpu.

Kada ignorirate obavijest o ažuriranju i kliknete podsjeti me sutra dvanaesti put zaredom, ostavljate otvorena vrata za napadače koji aktivno skeniraju internet tražeći upravo te poznate ranjivosti.

Stoga donosimo nekoliko ideja. Omogućite automatska ažuriranja za sve. Na Windowsu idite u Postavke, Ažuriranje i sigurnost i omogućite automatska ažuriranja.

Na macOS-u idite u Postavke sustava, Ažuriranje softvera i uključite automatska ažuriranja.

Web preglednici poput Chromea, Firefoxa i Edgea automatski se ažuriraju, ali provjerite da ta funkcija nije slučajno isključena. Za Microsoft Office ili LibreOffice omogućite automatska ažuriranja unutar same aplikacije.

Napravite jednostavan inventar softvera. Zvuči birokratski, ali jednostavna tablica s popisom svih programa koji se koriste u firmi može biti izuzetno korisna.

Za svaki program zabilježite naziv, verziju, koristi li se aktivno te tko je odgovoran za ažuriranje.

Ako pronađete softver koji nitko ne koristi, odmah ga deinstalirajte jer svaki nepotrebni program na računalu potencijalna je sigurnosna rupa.

Posebno obratite pažnju na PDF čitače poput Adobe Readera koji su česta meta napada, na Javu ako je koristite, na pluginove za preglednike te na firmware routera o čemu ćemo detaljnije govoriti u dijelu o zaštiti mreže.

Odvojite dva do tri sata da postavite automatska ažuriranja na svim uređajima u firmi i praktički više nikada ne morate aktivno razmišljati o ovom aspektu sigurnosti.

Zaštita od malwarea i virusa

Dobra vijest za vlasnike malih firmi jest da je doba kada ste morali plaćati skupe antivirusne programe odavno prošlo.

Windows Defender, ugrađeni sigurnosni program u Windows 10 i Windows 11, danas je prema neovisnim testovima AV-TEST instituta jedan od najbolje ocijenjenih sigurnosnih programa na tržištu. I potpuno je besplatan jer dolazi s operativnim sustavom.

Za većinu malih firmi, Windows Defender je sasvim dovoljan. Uključuje antivirus, firewall, zaštitu od ransomwarea i zaštitu temeljenu na cloudu.

Kao dodatni sloj zaštite, Malwarebytes Free izvrstan je alat za povremeno skeniranje koji ne radi u pozadini, ali pouzdano detektira prijetnje koje bi mogle promaknuti primarnoj zaštiti.

Za firme koje žele dodatnu razinu zaštite, postoje pristupačna plaćena rješenja.

Bitdefender Total Security košta oko 40 eura godišnje za 5 uređaja i nudi izvrsnu zaštitu s minimalnim utjecajem na performanse računala.

ESET Smart Security, koji je posebno popularan u Hrvatskoj i regiji, košta oko 50 eura godišnje za 3 uređaja. Kaspersky Small Office Security, dizajniran specifično za male firme, iznosi oko 80 eura godišnje za 5 računala.

Međutim, antivirusni softver je samo jedan dio jednadžbe. Vaše ponašanje na internetu jednako je bitno, ako ne i bitnije.

Nikada ne otvarajte privitke u emailovima od nepoznatih pošiljatelja. Provjerite URL adresu prije nego što unesete bilo kakve podatke jer razlika između google.com i go0gle.com može vas koštati tisuće eura.

Ne preuzimajte softver s nepouzdanih stranica i koristite samo službene stranice proizvođača ili službene trgovine aplikacija.

Posebno naglašavamo da nikada ne koristite krackirani softver. Osim što je ilegalno, piratski softver jedan je od najčešćih načina distribucije malwarea.

Radije koristite besplatne alternative poput LibreOfficea umjesto piratskog Microsoft Officea ili GIMP-a umjesto piratskog Photoshopa.

Windows Defender u kombinaciji sa zdravim razumom pokriva više od 90 posto svakodnevnih prijetnji. Ako želite dodatnu razinu zaštite, 40 do 80 eura godišnje za plaćeni antivirus apsolutno je isplativa investicija.

Educirajte zaposlenike

Možete imati najskuplji firewall na svijetu, ali ako vaš zaposlenik klikne na lažni link u emailu i unese svoju lozinku, ništa od toga ne pomaže. Ljudski faktor odgovoran je za preko 90 posto uspješnih cyber napada.

Zato je edukacija zaposlenika možda najvažnija investicija u kibernetičku sigurnost koju možete napraviti, a gotovo ništa ne košta osim vremena.

Najčešći sigurnosni propusti zaposlenika uključuju klikanje na linkove u sumnjivim emailovima, korištenje istih lozinki za privatne i poslovne račune, spajanje na neprovjerene Wi-Fi mreže.

Zatim, dijeljenje osjetljivih informacija telefonom bez provjere identiteta pozivatelja, ostavljanje otključanog računala bez nadzora te korištenje USB diskova nepoznatog porijekla.

Za obuku ne morate angažirati skupog trenera. Postoje izvrsni besplatni resursi.

Google Phishing Quiz na adresi phishingquiz.withgoogle.com je interaktivni kviz koji zaposlenicima pokazuje kako prepoznati phishing email, traje samo 10 minuta, a izuzetno je edukativan i otvara oči čak i iskusnim korisnicima.

NIST nudi besplatne edukacijske materijale o osnovima kibernetičke sigurnosti. YouTube kanali poput Professor Messer ili NetworkChuck nude besplatne video materijale o IT sigurnosti na razumljivom jeziku.

Hrvatski CERT na adresi cert.hr redovito objavljuje upozorenja i savjete na hrvatskom jeziku prilagođene lokalnom kontekstu.

Za praktičnu provjeru spremnosti zaposlenika, Gophish je besplatan alat otvorenog koda koji vam omogućuje slanje testnih phishing emailova vašim zaposlenicima. To je izvrsna prilika za učenje kroz praksu bez stvarnog rizika.

Kreirajte jednostavnu sigurnosnu politiku na jednoj do dvije stranice A4 formata.

Trebala bi sadržavati pravila za lozinke, postupak u slučaju sumnjivog emaila koji se svodi na ne klikaj i javi odgovornoj osobi, pravila za korištenje privatnih uređaja na poslu, proceduru za prijavu sigurnosnog incidenta.

Također i pravila za rad izvan ureda uključujući korištenje VPN-a i izbjegavanje javnog Wi-Fija. Isprintajte je, objasnite svakome i tražite potpis da su pročitali i razumjeli.

Sigurnosna edukacija nije jednokratni događaj.

Preporuka je provesti inicijalnu obuku za sve zaposlenike u trajanju od dva sata, slati mjesečni sigurnosni podsjetnik putem emaila koji zahtijeva pet minuta čitanja, održati kvartalnu kratku prezentaciju o novim prijetnjama u trajanju od trideset minuta te napraviti godišnje osvježavanje kompletne edukacije u trajanju od jednog sata.

Dva sata mjesečno uložena u edukaciju zaposlenika mogu spriječiti incidente koji bi koštali tisuće ili desetke tisuća eura.

Najslabija karika u sigurnosnom lancu uvijek je čovjek, ali pravilnom edukacijom možete tu kariku učiniti najjačom.

Zaštita mreže

Vaš router je ulazna vrata u digitalnu infrastrukturu vaše firme. Ako su ta vrata širom otvorena, sve ostale sigurnosne mjere gube smisao. Dobra vijest je da osnovna zaštita mreže ne zahtijeva napredna tehnička znanja niti veliku investiciju.

Konfiguracija routera prvi je i najvažniji korak.

Promijenite zadano korisničko ime i lozinku za pristup routeru jer svaki router dolazi s tvorničkim postavkama, najčešće admin/admin ili admin/password, koje su javno poznate i prvi su korak koji svaki napadač pokušava. Pristupite postavkama routera, najčešće na adresi 192.168.1.1 ili 192.168.0.1 u web pregledniku, i odmah promijenite pristupne podatke.

Zatim ažurirajte firmware routera na najnoviju verziju. Ovo se često zaboravlja, a sigurnosne zakrpe za routere jednako su važne kao i za operativne sustave.

Za Wi-Fi sigurnost koristite WPA3 enkripciju ili barem WPA2 ako vaš router ne podržava noviji standard.

Nikada ne koristite WEP jer je to zastarjeli standard koji se probija u minutama. Postavite snažnu Wi-Fi lozinku od minimalno 15 znakova i promijenite zadani naziv mreže tako da ne otkriva model routera ili ime firme.

Gostujuća Wi-Fi mreža jedan je od najkorisnijih, a najčešće zanemarenih sigurnosnih savjeta. Postavite odvojenu Wi-Fi mrežu za goste, klijente i privatne uređaje zaposlenika.

Gostujuća mreža je izolirana od vaše poslovne mreže, što znači da čak i ako se nečiji zaraženi mobitel spoji na gostujući Wi-Fi, vaša poslovna mreža ostaje potpuno sigurna. Većina modernih routera ima ovu opciju u postavkama, obično pod nazivom Guest Network.

Za osnovnu firewall zaštitu, Windows Firewall je već uključen po defaultu pa provjerite da ga nitko nije isključio. Na routeru omogućite SPI firewall ako je dostupan i onemogućite UPnP koji je česta sigurnosna rupa.

Ako vaši zaposlenici pristupaju poslovnim podacima iz kuće, s terena ili iz kafića, VPN je obavezan. VPN šifrira sav internet promet između uređaja zaposlenika i vaše mreže, čime onemogućuje prisluškivanje podataka na javnim mrežama.

ProtonVPN nudi besplatan plan za osnovnu upotrebu, a plaćeni planovi kreću od 4 eura mjesečno.

Mullvad VPN košta 5 eura mjesečno, iznimno je jednostavan za korištenje i ne zahtijeva email za registraciju. WireGuard je besplatan VPN protokol koji možete postaviti na vlastitom serveru ako imate tehničkog znanja ili nekoga tko vam može pomoći s postavljanjem.

Sat vremena uložen u ispravnu konfiguraciju routera drastično smanjuje površinu napada vaše firme. Gostujuća mreža i VPN za udaljeni pristup mali su koraci s velikim učinkom na ukupnu sigurnost.

Sigurnost mobilnih uređaja

Koliko se poslovnih podataka trenutno nalazi na vašem mobitelu?

Emailovi, kontakti klijenata, pristup cloud dokumentima, možda čak i bankovna aplikacija? Mobilni uređaji postali su produžetak ureda, ali rijetko ih tretiramo s jednakom razinom sigurnosti kao što to činimo s računalima.

Ako zaposlenici koriste vlastite mobitele i tablete za poslovne svrhe, a u malim firmama gotovo uvijek je tako, trebate jasna BYOD pravila.

Na uređaju mora biti postavljena zaključana zaslona s PIN-om od minimalno šest znamenki, otiskom prsta ili prepoznavanjem lica. Uređaj mora biti šifriran, što je na modernim Android i iOS uređajima uključeno po defaultu, ali svakako provjerite.

Zabranjeno je spajanje na otvorene javne Wi-Fi mreže bez VPN-a. Obavezno je redovito ažuriranje operativnog sustava uređaja. Aplikacije se smiju instalirati isključivo iz službenih trgovina, dakle Google Play Store za Android i Apple App Store za iOS uređaje.

Posebno je važan plan za izgubljeni ili ukradeni uređaj.

Mogućnost daljinskog brisanja podataka s uređaja kritična je sigurnosna mjera. Za Android uređaje, Google Find My Device omogućuje daljinsko lociranje, zaključavanje i brisanje uređaja potpuno besplatno.

0Za iOS uređaje, Apple Find My iPhone ima identičnu funkcionalnost. Za naprednije potrebe, Microsoft Intune nudi besplatan plan za do 25 korisnika koji uključuje upravljanje mobilnim uređajima s mogućnošću daljinskog brisanja poslovnih podataka.

Mobilni uređaji su zanemarena karika u sigurnosnom lancu.

Osnovna BYOD pravila, daljinsko brisanje i enkripcija ne koštaju gotovo ništa, ali štite od jednog od najčešćih scenarija gubitka podataka, a to je izgubljeni ili ukradeni uređaj na kojem se nalaze osjetljive poslovne informacije.

Mjesečni plan implementacije za male firme

Svjesni smo da vam se sve ovo može činiti kao previše odjednom, pogotovo ako do sada niste imali nikakvu formalnu sigurnosnu praksu.

Iz tog razloga smo pripremili četverotjedni plan implementacije koji razbija sve na upravljive korake. Svaki tjedan zahtijeva otprilike četiri do šest sati rada.

Tjedan 1

Početak je, kao i uvije u životu, posvećen temeljima. Napravite inventar svoje IT opreme i softvera u firmi. Zabilježite sva računala, laptope, mobitele, tablete, routere i pisače.

Za svaki uređaj zapišite model, operativni sustav i tko ga koristi. Dodajte popis softvera koji se aktivno koristi na svakom uređaju. Dovoljan je Google Sheet, ništa komplicirano.

Zatim implementirajte password menadžer. Instalirajte Bitwarden na sva računala i mobitele, migrirajte sve postojeće lozinke i generirajte nove snažne lozinke za sve servise koji koriste slabe ili ponovljene lozinke.

Aktivirajte dvofaktorsku autentifikaciju na svim kritičnim računima.

Tjedan 2

U drugom tjednu se fokusiramo na zaštitu podataka. Uspostavite backup sustav prema pravilu 3-2-1.

Postavite automatsku sinkronizaciju kritičnih podataka s cloud servisom. Kupite i konfigurirajte vanjski disk za lokalnu kopiju.

Napravite prvi potpuni backup i odmah testirajte restore kako biste potvrdili da sustav funkcionira. Omogućite automatska ažuriranja na svim uređajima u firmi i deinstalirajte softver koji se ne koristi.

Tjedan 3

Nadalje, usmjeravamo se na zaštitu mreže i uređaja. Konfigurirajte router s novom administratorskom lozinkom, ažuriranim firmwareom i WPA3 enkripcijom.

Postavite gostujuću Wi-Fi mrežu odvojenu od poslovne. Provjerite da je Windows Defender aktivan i ažuriran na svim računalima.

Konfigurirajte VPN za zaposlenike koji rade izvan ureda. Provjerite enkripciju i zaštitu svih mobilnih uređaja koji pristupaju poslovnim podacima te aktivirajte mogućnost daljinskog brisanja na svim uređajima.

Tjedan 4

Ovaj proces rezerviran je za ljude i procese. Napišite jednostavnu sigurnosnu politiku na jednoj do dvije stranice.

Provedite inicijalnu edukaciju svih zaposlenika u trajanju od dva sata. Pošaljite testni phishing email koristeći Gophish i analizirajte rezultate.

Tražite od svih zaposlenika potpis da su pročitali i razumjeli sigurnosnu politiku. Na kraju, uspostavite raspored za mjesečne sigurnosne podsjetnike i kvartalne kratke obuke.

Ukupni troškovi i povrat investicije

Sumirajmo sve troškove da vidite koliko zapravo košta solidna cyber sigurnost za malu firmu.

Password menadžer i 2FA koštaju 0 do 50 eura godišnje. Backup sustav uključujući cloud i vanjski disk iznosi 50 do 200 eura godišnje.

Ažuriranja softvera su potpuno besplatna. Antivirusna zaštita iznosi 0 do 100 eura godišnje ovisno o tome koristite li samo Windows Defender ili dodajete plaćeno rješenje. Edukacija zaposlenika korištenjem besplatnih resursa košta 0 do 50 eura.

Zaštita mreže uključujući eventualni VPN iznosi 0 do 100 eura. Zaštita mobilnih uređaja košta 0 do 30 eura mjesečno ovisno o potrebama.

Ukupna godišnja investicija kreće se od 200 do 600 eura, ovisno o broju zaposlenika, uređaja i odabranih rješenja.

Usporedite to s prosječnim troškom sigurnosnog incidenta od 120.000 eura i postaje kristalno jasno da je povrat na ovu investiciju astronomski.

Čak i ako MVS pristup spriječi samo jedan incident u sljedećih deset godina, isplatio se je stotine puta.

Ako ipak dođe do incidenta?

Unatoč svim mjerama, sigurnosni incident se može dogoditi.

Važno je imati barem osnovni plan reakcije da u trenutku krize ne gubite dragocjeno vrijeme na razmišljanje o prvim koracima.

Ako primijetite sumnjivo ponašanje sustava, ako zaposlenik klikne na sumnjivi link ili ako primite obavijest o neovlaštenom pristupu, odmah izolirajte pogođeni uređaj odspajanjem s mreže.

Nemojte gasiti računalo jer forenzičari mogu trebati podatke iz radne memorije. Promijenite lozinke za sve potencijalno pogođene račune s drugog, čistog uređaja. Obavijestite sve zaposlenike da ne koriste pogođene sustave.

Kontaktirajte Hrvatski CERT putem adrese incident@cert.hr za besplatnu pomoć i savjet. Dokumentirajte sve što primjećujete jer će te informacije biti korisne za analizu i sprečavanje budućih incidenata.

Ako se radi o povredi osobnih podataka, imate zakonsku obvezu prema GDPR-u obavijestiti AZOP u roku od 72 sata.

Zapišite kontakt podatke AZOP-a i Hrvatskog CERT-a unaprijed i držite ih dostupnima, uključujući ispisanu kopiju, jer u trenutku incidenta možda nećete imati pristup digitalnim zapisima.

Sigurnost je putovanje, a ne cilj

Kibernetička sigurnost za malu firmu ne mora biti komplicirana, skupa ni zastrašujuća.

Minimum Viable Security pristup dokazuje da s pametno odabranim mjerama i investicijom od 200 do 600 eura godišnje možete dramatično smanjiti rizik od najčešćih prijetnji koje pogađaju mala poduzeća, od phishing napada i ransomwarea do gubitka podataka i proboja sustava.

Počnite danas, makar s jednim korakom. Password menadžer i backup su dva najvažnija koraka koja možete napraviti u sljedećih sat vremena.

Automatizacija je vaš saveznik jer sve što možete automatizirati, automatizirajte, bilo da se radi o ažuriranjima, backupu ili skeniranju.

Ljudi su najvažnija karika jer tehnologija bez educiranih korisnika ne vrijedi mnogo, a educirani korisnici čak i s minimalnom tehnologijom mogu prepoznati i spriječiti većinu napada. I na kraju, kibernetička sigurnost je kontinuirani proces, a ne jednokratni projekt.

Prijetnje se mijenjaju, alati se usavršavaju i vaše prakse moraju pratiti taj razvoj.

Ne morate biti savršeno zaštićeni. Morate biti dovoljno zaštićeni da napadačima bude lakše i isplativije napasti nekoga drugog.

U svijetu cyber sigurnosti, ne morate trčati brže od medvjeda, samo brže od osobe pokraj sebe. Minimum Viable Security osigurava upravo to.

Počnite s prvim tjednom plana implementacije. Danas. Vaša firma, vaši zaposlenici i vaši klijenti zaslužuju barem toliko.