Tvrtka koja ulaže u vlastitu kibernetičku sigurnost može i dalje završiti kao žrtva napada ransomware-a.
Greška ne mora biti vlastita, nego zbog dobavljača kojem vjeruje.
Gore navedena je središnja poruka novog izvještaja 2026 European Cyber Risk Report tvrtke Black Kite, koji je analizirao 2.066 ransomware incidenata u 31 europskoj zemlji, u razdoblju od siječnja 2025. do travnja 2026.
Ransomware je u osnovi jednostavan koncept s vrlo skupim posljedicama. Zlonamjerni softver koji šifrira podatke žrtve, nakon čega napadač traži otkupninu za njihovo otključavanje, uz prijetnju da će ih, ako se ne plati, objaviti ili trajno uništiti.
Ono što izvještaj Black Kitea pokazuje nije promjena u samom konceptu, nego u tome koliko često se događa i, što je važnije, kojim putem napadači danas najčešće dolaze do žrtve.
Ransomware raste u Europi
Brojke iz izvještaja ne ostavljaju puno prostora za optimizam.
Broj javno objavljenih ransomware incidenata porastao je 55,1% u prva četiri mjeseca 2026. u odnosu na isto razdoblje 2025. godine.
Prosječan broj incidenata mjesečno skočio je s 108, koliko je iznosio u prvoj polovici 2025., na 171 u prvim mjesecima 2026.
Njemačka bilježi najveći broj zabilježenih ransomware incidenata u Europi, a slijede je Velika Britanija, Francuska, Italija i Španjolska.
Na ovih pet zemalja otpada gotovo 70% svih zabilježenih slučajeva u analizi.
Geografska koncentracija sama po sebi ne čudi. Riječ je o najvećim europskim gospodarstvima, s najvećim brojem tvrtki koje su uopće izložene riziku. Zanimljivije je pitanje koje sektore napadači biraju i kako uspijevaju doći do njih.
Dr. Ferhat Dikbiyik, glavni istraživač u Black Kiteu, sažeo je trenutnu situaciju opisom triju sila koje se istovremeno događaju europskim tvrtkama.
Naime, ransomware-a ima ve više, lanci opskrbe postaju primarni put napada, a propisi sve više naglašavaju rizik trećih strana.
Proizvodnja i IT usluge u središtu mete
Proizvodni sektor zabilježio je najveći udio incidenata. 27,9% svih javno objavljenih ransomware napada u analiziranom razdoblju.
Ovaj sektor teško podnosi prekide rada (svaki zastoj proizvodne linije izravno se pretvara u financijski gubitak), pa je logična meta za napadače koji žele povećati pritisak za plaćanje otkupnine.
Proizvodnja je baš gadno napadana. No, odmah iza nje slijedi IT industrija.
Kompromitiranje jednog pružatelja IT usluga može napadaču otvoriti vrata prema desecima ili stotinama klijenata tog pružatelja.
Umjesto da napadnu jednu tvrtku, kriminalci jednim potezom dobivaju pristup cijeloj mreži njezinih korisnika.
Sektori i poslovanja koja prva nastradaju su zdravstvo, trgovina na malo i transport. Vidimo i jedan konkretan obrazac. Naime, napadači biraju tvrtke s puno digitalnih veza i visokim operativnim utjecajem, ne nužno one s najslabijom zaštitom.
Među samim ransomware skupinama, skupina Qilin izdvaja se kao najopasnija i najraširenija prijetnja. Posljedice njihovog djelovanja osjete se u 26 od 31 zemalja obuhvaćene analizom, što joj daje najveći geografski doseg od svih skupina u izvještaju.
Snaga Qilina
Doseg poput Qilinova teško je objasniti pretpostavkom da jedna skupina hakera ručno napada stotine tvrtki širom kontinenta. Odgovor leži u modelu poslovanja koji je ransomware industrija usvojila posljednjih godina.
Poslovanje se zove ransomware-as-a-service (RaaS).
Skupina koja stoji iza alata ne provodi nužno sve napade sama; razvija zlonamjerni softver i infrastrukturu za iznudu, a zatim ih iznajmljuje mreži affiliate napadača koji provode stvarne proboje i s vlasnikom alata dijele postotak otkupnine.
Taj model objašnjava i zašto se ista “marka” ransomwarea pojavljuje u toliko različitih zemalja i sektora istovremeno.
Naime, ne radi se o jednom centraliziranom napadaču, nego o desecima manjih timova koji koriste isti alat, istu infrastrukturu za pregovaranje s žrtvama i istu taktiku, ali samostalno biraju mete.
Ipak, za žrtvu nema nikakve razlike tko je izveo napad.
Posljedice enkripcije podataka i iznude identične su bez obzira na to je li napad provela matična skupina ili njezin affiliate.
Dobavljači kao najslabija karika
Stara je stvar da su dobavljači najslabija karika.
Najvažniji nalaz izvještaja ne tiče se toga koga ransomware skupine napadaju izravno, nego koga pogađaju neizravno.
Umjesto da ulažu vrijeme i resurse u probijanje obrane velike, dobro zaštićene tvrtke, napadači sve češće biraju lakši put.
Dakle, kompromitiraju manjeg dobavljača ili pružatelja usluge koji ima pristup sustavima više klijenata, i kroz njega dolaze do svih njih odjednom. Zvuči potpuno logično za ekipu koja se bavi ilegalnim radnjama.
Izvještaj je identificirao 64 organizacije koje su kompromitirane upravo na ovaj način, kroz incident kod treće strane.
Cyber Europe 2026
Jedan takav slučaj posebno ilustrira razmjere problema: proboj kod jednog dobavljača softvera utjecao je na desetke organizacija koje su koristile njegove usluge, a osobni podaci više od milijun ljudi bili su izloženi.
Jedan kompromitirani dobavljač, jedna ranjivost, a posljedice se prelijevaju na cijeli niz tvrtki koje s tim dobavljačem nemaju izravnu vezu osim ugovora o uslugama.
Ovo je obrazac koji bi svaka tvrtka, bez obzira na veličinu, trebala uzeti k srcu.
Pitanje “jesmo li mi dovoljno zaštićeni” više nije dovoljno. Pravo pitanje glasi “jesu li dovoljno zaštićeni svi oni s pristupom našim sustavima i podacima”.
Zakonska regulacija postoji…
Europski regulatorni okvir prepoznao je ovaj problem prije nego što su brojke iz Black Kiteova izvještaja postale toliko izrazite.
Direktiva NIS2 i regulativa DORA (za financijski sektor) sada traže da tvrtke same procjenjuju, prate i upravljaju kibernetičkim rizikom svojih dobavljača kao dijelom vlastitog programa operativne otpornosti.
Sada te radnje nisu samo dobra praksa poslovanja. Radi se o regulatornoj obvezi.
Tvrtke moraju dokazati da razumiju kako ranjivosti njihovih dobavljača mogu utjecati na njihovo poslovanje i da imaju procese za prepoznavanje, procjenu i smanjenje tog rizika.
Dikbiyik je istaknuo da su neki od najznačajnijih europskih ransomware incidenata definirani posljedicama koje su se prelile na povezane organizacije.
Također dodaje da NIS2 i DORA stavljaju sve veći pritisak na tvrtke da razumiju kibernetički rizik kroz cijeli ekosustav svojih dobavljača i prepoznaju gdje je taj rizik najkoncentriraniji.
Za hrvatske tvrtke ovo nije apstraktna europska tema. Zakon o kibernetičkoj sigurnosti, usklađen s NIS2 direktivom, na snazi je i u Hrvatskoj, a broj obveznika koji moraju udovoljiti njegovim zahtjevima znatno je veći nego pod prethodnim, užim okvirom.
Gotovo tri četvrtine novih obveznika čine mala i srednja poduzeća.
HGK
Baš taj segment igra ulogu dobavljača većim tvrtkama. Nema, baš i nema resurse za zreo program upravljanja rizikom trećih strana. I tako nastaju problemi.
Utjecaj na poslovanje
Pročitajte nekoliko zaključaka iz izvještaja izravno se prevodi u konkretne korake:
Mapirajte svoje dobavljače, ne samo svoju mrežu.
Ako vaša tvrtka koristi vanjskog pružatelja IT usluga, softverskog dobavljača ili bilo koga s pristupom vašim podacima, taj odnos je dio vaše izloženosti ransomware riziku, bez obzira na to koliko je vlastita infrastruktura dobro zaštićena.
Tražite dokaz, ne samo obećanje.
Ugovorna klauzula o sigurnosti vrijedi onoliko koliko vrijedi i provjera koja stoji iza nje. Procjena sigurnosne zrelosti dobavljača prije potpisivanja ugovora, i periodično praćenje nakon toga, danas je standardna praksa u sektorima koji su prvi osjetili pritisak NIS2 i DORA okvira.
Pretpostavite da će proboj kod nekog drugog jednog dana postati vaš problem.
Plan odgovora na incident trebao bi uključivati i scenarij u kojem nije vaš sustav prvi kompromitiran, nego sustav dobavljača kroz koji napadač dolazi do vas.
Pristup pretpostavlja segmentaciju pristupa, ograničavanje ovlasti vanjskih partnera na ono što im je stvarno potrebno, i redovite sigurnosne kopije koje nisu dostupne s istih vjerodajnica kao produkcijski sustav.
Proizvodne i IT tvrtke trebaju dodatnu pažnju.
S obzirom na to da su upravo ti sektori najčešća meta, organizacije u proizvodnji i IT uslugama trebale bi procjenu ransomware rizika tretirati kao prioritet, ne kao formalnost koju se rješava jednom godišnje pred reviziju.
Uvedite višefaktorsku autentifikaciju posvuda gdje dobavljači imaju pristup.
Velik broj ransomware proboja kroz treću stranu počinje s ukradenom ili pogođenom lozinkom na udaljenom pristupu. MFA na svim vanjskim pristupnim točkama jedna je od najjeftinijih mjera s najvećim učinkom.
Testirajte plan odgovora na incident, ne samo dokumentirajte ga.
Plan koji postoji u dokumentu, a nikad nije proveden kroz simulaciju, obično otkriva svoje rupe upravo onda kada je najmanje vremena za njihovo popravljanje tijekom stvarnog napada.
Znajte kome i kada prijaviti incident.
Zakon o kibernetičkoj sigurnosti propisuje obveze prijave incidenata Nacionalnom CERT-u i nadležnim tijelima, a platforme poput PiXi olakšavaju taj proces.
Neprijavljen incident nije samo propust prema regulatoru, već i propuštena prilika da drugi dobavljači i klijenti budu pravodobno upozoreni na istu prijetnju.
Zaključak
Izvještaj Black Kitea ne donosi iznenađujuću vijest da ransomware napadi rastu.
Trend se ponavlja iz godine u godinu. Ono što izvještaj jasno pokazuje jest da se mijenja put kojim napadači dolaze do žrtava.
Sve manje se radi o izravnom napadu na dobro branjenu tvrtku, a sve više o pronalaženju najslabije karike u mreži povezanih dobavljača i partnera.
Za hrvatske tvrtke, posebno one koje djeluju kao dobavljači većim klijentima u proizvodnji ili IT sektoru, ovo je signal da sigurnost vlastitih sustava nije dovoljna ako se ne promatra zajedno sa sigurnošću cijelog poslovnog ekosustava kojem pripadaju.
