Ransomware: kako zaštititi tvrtku (2026.)

Malo koja kibernetička prijetnja može tvrtku zaustaviti tako brzo i potpuno kao ransomware. Jedan kliknuti privitak ili kompromitirana lozinka — i ujutro su svi sustavi šifrirani, a na ekranu poruka s zahtjevom za otkupninu. Ovaj vodič objašnjava kako ransomware funkcionira i, što je važnije, kako smanjiti rizik i pripremiti se.

Što je ransomware

Ransomware je vrsta zlonamjernog softvera koji šifrira podatke ili zaključava sustave žrtve i potom traži otkupninu (obično u kriptovaluti) za njihovo otključavanje. Moderni napadi sve češće uključuju i dvostruku iznudu: napadači prije šifriranja ukradu podatke i prijete njihovom objavom ako se ne plati — čime ransomware postaje i povreda osobnih podataka.

Posljedice nisu samo tehničke: zastoj poslovanja, gubitak prihoda, troškovi oporavka, reputacijska šteta i mogući regulatorni postupci. Plaćanje otkupnine, uz sve, ne jamči povrat podataka i hrani daljnje napade.

Kako se ransomware širi

Većina napada počinje predvidljivo, kroz nekoliko ulaznih točaka:

• Phishing — lažna e-pošta s privitkom ili poveznicom koja pokreće zarazu. Najčešći početni vektor.
• Kompromitirane vjerodajnice — ukradene ili slabe lozinke, osobito za udaljeni pristup (VPN, RDP) bez dvofaktorske autentifikacije.
• Nezakrpane ranjivosti — zastarjeli sustavi i aplikacije s poznatim sigurnosnim propustima.
• Lanac opskrbe — kompromitirani dobavljač ili softver kao ulaz u mrežu.

Zajednički nazivnik prve dvije, najčešće točke, jest čovjek — zato je edukacija jednako važna kao tehnologija.

Kako se zaštititi: slojevita obrana

Ne postoji jedna mjera koja jamči zaštitu. Učinkovita obrana je slojevita:

1. Sigurnosne kopije (najvažnije)

Redovite, testirane sigurnosne kopije odvojene od mreže (offline ili nepromjenjive) najvažnija su zaštita. Ako možete obnoviti podatke, ransomware gubi moć iznude. Pravilo "3-2-1" (tri kopije, dva medija, jedna izvan lokacije) i dalje vrijedi. Ključno: redovito testirajte obnovu — kopija koja se ne može obnoviti nije kopija.

2. Dvofaktorska autentifikacija i kontrola pristupa

Obavezna dvofaktorska autentifikacija za e-poštu, VPN, udaljeni pristup i administrativne račune presijeca najčešći put ulaska. Primijenite i načelo najmanjih ovlasti — korisnici i sustavi imaju samo pristup koji im je nužan.

3. Ažuriranje i upravljanje ranjivostima

Redovito zakrpavanje operativnih sustava i aplikacija zatvara poznate propuste koje napadači aktivno iskorištavaju. Vodite evidenciju imovine i prioritizirajte kritične ranjivosti.

4. Segmentacija mreže

Podijelite mrežu tako da kompromitacija jednog dijela ne znači automatski pristup svemu. Segmentacija usporava širenje i ograničava štetu.

5. Zaštita krajnjih točaka i e-pošte

Suvremena antivirusna/EDR rješenja, filtriranje e-pošte i blokiranje rizičnih privitaka smanjuju broj prijetnji koje uopće dođu do korisnika.

6. Edukacija zaposlenika

Budući da većina napada počinje phishingom, edukacija o phishingu i simulacije izravno smanjuju rizik. Zaposlenik koji prepozna i prijavi sumnjivu poruku zaustavlja napad prije nego što počne.

Plan odgovora na incident

Pitanje nije samo "hoće li", nego "što ako". Pripremljen plan odgovora na incident presudno skraćuje štetu:

1. Izolacija — odspojite zaražene sustave da spriječite širenje.
2. Procjena — utvrdite opseg: koji su sustavi i podaci pogođeni.
3. Eskalacija — aktivirajte tim i kontakte (interne i vanjske, npr. CERT).
4. Obavještavanje — ispunite regulatorne obveze (vidi nastavak).
5. Oporavak — obnova iz čistih sigurnosnih kopija.
6. Pouke — analiza uzroka i jačanje slabih točaka.

Svaki zaposlenik mora znati kome i kako odmah prijaviti sumnju — jer se odgovor mjeri u satima.

Ransomware, NIS2 i GDPR

Ransomware napad može pokrenuti dvije paralelne obveze prijave:

• NIS2 / Zakon o kibernetičkoj sigurnosti (NN 14/2024): ako ste ključni ili važni subjekt, značajan incident prijavljujete nadležnom tijelu u stupnjevima — rana obavijest u 24 sata, obavijest u 72 sata, završno izvješće.
• GDPR: ako su kompromitirani osobni podaci, riječ je o povredi podataka koja se prijavljuje AZOP-u u roku od 72 sata, a u slučaju visokog rizika i samim ispitanicima.

Zato plan odgovora mora uključiti i pravnu/compliance dimenziju, ne samo tehničku.

Anatomija napada: kako ransomware izgleda iznutra

Da bi se obrana shvatila ozbiljno, korisno je razumjeti da moderan ransomware napad rijetko počinje šifriranjem. To je posljednji čin, a ne prvi.

Napad obično kreće tjednima ranije, neprimjetno. Najprije napadač dobije početni pristup — najčešće phishingom ili ukradenom lozinkom za udaljeni pristup. Zatim slijedi razdoblje u kojem se napadač "kreće bočno" kroz mrežu, podiže si ovlasti, mapira sustave i traži sigurnosne kopije. Cilj mu je doći do administratorskih prava i uništiti ili šifrirati i sâme sigurnosne kopije prije nego što pokrene glavni napad — jer zna da su upravo one ono što žrtvu spašava. Često prije šifriranja iznese (ukrade) podatke kako bi mogao prijetiti njihovom objavom.

Tek na kraju, nakon što je sve pripremljeno, pokreće se šifriranje — obično noću ili za vikenda, kad je nadzor najslabiji. Ova "tiha faza" prije udara zapravo je prilika: tvrtka s dobrom detekcijom i educiranim osobljem može uočiti napad u tijeku i zaustaviti ga prije katastrofe. Zato rana detekcija i prijava sumnjivog ponašanja nisu manje važni od same prevencije.

Stvarna cijena napada

Iznos otkupnine, koliko god velik, najčešće je najmanji dio ukupne štete. Daleko skuplji su zastoj poslovanja (dani ili tjedni bez sustava), trošak forenzike i oporavka, gubitak povjerenja klijenata, ugovorne kazne zbog neisporuke i mogući regulatorni postupci ako su kompromitirani osobni podaci. Za mnoge tvrtke, osobito manje, dugotrajan zastoj predstavlja egzistencijalni rizik — neke se nakon ozbiljnog napada nikad u potpunosti ne oporave.

Upravo zbog tog nesrazmjera — niska cijena prevencije naspram visoke cijene oporavka — ulaganje u zaštitu gotovo uvijek je isplativije od oslanjanja na sreću. Pitanje za upravu nije "koliko košta zaštita", nego "koliko nas košta jedan dan bez sustava".

Sigurnosne kopije: srce obrane

Ako iz cijelog ovog vodiča treba zapamtiti jednu stvar, to je sljedeća: sposobnost obnove iz sigurnosnih kopija je ono što ransomware pretvara iz katastrofe u neugodnost. Tvrtka koja može obnoviti podatke ne mora razmišljati o plaćanju otkupnine.

No tri uvjeta moraju biti ispunjena. Prvo, kopije moraju biti odvojene od mreže (offline ili nepromjenjive), jer napadač cilja upravo kopije spojene na mrežu. Drugo, obnova se mora redovito testirati — bezbroj tvrtki otkrilo je tek u krizi da im se kopije ne mogu vratiti ili su nepotpune. Treće, kopije moraju pokrivati sve kritične sustave, ne samo dio. Kopija koja se ne testira nije sigurnosna mreža, nego lažan osjećaj sigurnosti.

Najčešće pogreške

• Sigurnosne kopije spojene na mrežu — pa ih ransomware šifrira zajedno s ostalim.
• Nema testiranja obnove — kopije postoje, ali se ne mogu vratiti.
• Udaljeni pristup bez dvofaktorske autentifikacije.
• Zanemarivanje zakrpa kritičnih sustava.
• Nepostojanje plana — pa se u krizi improvizira i gubi vrijeme.
• Zaposlenici needucirani o phishingu kao glavnom ulazu.

Kako prepoznati da je napad u tijeku

Budući da ozbiljan ransomware napad ima "tihu fazu" prije šifriranja, rana detekcija može spasiti tvrtku. Zaposlenici i IT trebaju znati prepoznati znakove da nešto nije u redu: neuobičajeno usporavanje sustava, pojava nepoznatih programa ili procesa, neočekivane prijave izvan radnog vremena ili iz neuobičajenih lokacija, antivirusni alati koji se naglo isključuju, te datoteke koje se počnu preimenovati ili kojima se mijenjaju ekstenzije.

Ključno je da svaki zaposlenik zna kome i kako odmah prijaviti sumnju, bez straha da će ispasti smiješan ako se pokaže lažnom uzbunom. Bolje deset lažnih uzbuna nego jedan propušten napad u tijeku. Organizacije s kulturom brze prijave i jasnim kanalom eskalacije imaju dragocjenih nekoliko sati prednosti — dovoljno da izoliraju zaražene sustave prije nego što se napad proširi na cijelu mrežu i sigurnosne kopije.

Cyber osiguranje: korisno, ali nije zamjena za zaštitu

Mnoge tvrtke razmišljaju o cyber osiguranju kao o rješenju. Ono može pomoći pokriti dio troškova oporavka, forenzike i pravnih posljedica, ali ima dvije važne granice. Prvo, osiguratelji sve češće traže dokaz o osnovnim mjerama prije sklapanja police — testirane sigurnosne kopije, dvofaktorsku autentifikaciju, ažurne sustave i edukaciju zaposlenika. Bez njih pokriće može biti odbijeno ili ograničeno. Drugo, osiguranje ne vraća izgubljeno vrijeme, podatke ni povjerenje klijenata — ono ublažava financijsku štetu, ali ne sprječava sam zastoj poslovanja.

Drugim riječima, osiguranje je dopuna, a ne zamjena za prevenciju. Najjeftinija i najučinkovitija "polica" i dalje su testirane sigurnosne kopije i educirani zaposlenici.

Pet pitanja za provjeru spremnosti

Uprava ne mora biti tehnička da bi procijenila spremnost tvrtke. Dovoljno je dobiti iskrene odgovore na pet pitanja. Možemo li u nekoliko sati obnoviti ključne sustave iz sigurnosnih kopija — i jesmo li to stvarno testirali? Jesu li sve sigurnosne kopije odvojene od mreže? Imamo li obaveznu dvofaktorsku autentifikaciju za e-poštu i udaljeni pristup? Znaju li zaposlenici prepoznati i prijaviti phishing i sumnjivo ponašanje? Imamo li napisan i uvježban plan odgovora na incident?

Ako je odgovor na bilo koje od ovih pitanja "ne" ili "nismo sigurni", ondje je vaš prioritet. Ova pitanja vrijede više od bilo kojeg tehničkog izvještaja jer pokrivaju mjere koje u praksi presudno smanjuju štetu.

Često postavljana pitanja

Trebamo li platiti otkupninu?
Preporuka tijela za kibernetičku sigurnost je u pravilu ne plaćati — plaćanje ne jamči povrat podataka, financira daljnje napade i može imati pravne implikacije. Fokus treba biti na prevenciji i sposobnosti oporavka iz sigurnosnih kopija.

Jesu li male tvrtke meta?
Da. Male i srednje tvrtke često su lakša meta jer imaju slabiju zaštitu, a napadi su sve više automatizirani i ne biraju veličinu žrtve.

Pokriva li nas cyber osiguranje?
Osiguranje može pomoći, ali osiguratelji sve češće traže dokaz o osnovnim mjerama (sigurnosne kopije, dvofaktorska autentifikacija, edukacija). Bez njih pokriće može izostati ili biti ograničeno.

Koliko brzo se širi ransomware?
Vrlo brzo — od početne kompromitacije do šifriranja cijele mreže ponekad prođe samo nekoliko sati. Zato su rana detekcija i segmentacija ključni.

Jesu li podaci u oblaku sigurni od ransomwarea?
Ne automatski. Usluge u oblaku imaju vlastite zaštite, ali model dijeljene odgovornosti znači da i vi morate štititi pristupe (jaka autentifikacija), konfiguraciju i sigurnosne kopije. Ransomware može pogoditi i podatke u oblaku, osobito ako su pristupni računi kompromitirani.

Trebamo li posebno educirati IT tim ili sve zaposlenike?
Oboje. IT i sigurnost trebaju dublje znanje o detekciji, segmentaciji i oporavku, dok svi ostali zaposlenici trebaju osnovnu svijest — jer napad najčešće ulazi upravo kroz "obične" korisnike i njihovu e-poštu. Najslabija karika određuje stvarnu razinu zaštite.

Što je prvo što trebamo napraviti ako sumnjamo na zarazu?
Odmah izolirati pogođene sustave (odspojiti s mreže) kako biste zaustavili širenje, a zatim aktivirati plan odgovora i obavijestiti odgovorne osobe. Ne brišite ništa napamet — dokazi su važni za forenziku i za eventualne regulatorne obveze.

Je li dovoljno imati dobar antivirus?
Nije. Antivirus i suvremena EDR rješenja važan su sloj, ali samo jedan od više. Bez testiranih sigurnosnih kopija, dvofaktorske autentifikacije, ažuriranja sustava, segmentacije mreže i educiranih zaposlenika, napad koji zaobiđe antivirus i dalje može zaustaviti poslovanje. Zaštita je učinkovita samo kao slojeviti sustav, a ne kao jedan alat — a najslabija karika, koliko god ostalo bilo jako, određuje stvarnu razinu otpornosti tvrtke.

Oporavak: prvih 24 sata nakon napada

Način na koji tvrtka postupi u prvim satima nakon otkrivanja napada presudno utječe na ukupnu štetu. Prvi je instinkt često pogrešan — gašenje svega napamet ili, još gore, prešućivanje incidenta. Pripremljen plan odgovora na incident zamjenjuje paniku redoslijedom.

Prvi korak je izolacija: zaražene sustave treba odspojiti s mreže kako bi se spriječilo daljnje širenje, ali bez nepromišljenog brisanja koje uništava dokaze potrebne za forenziku. Slijedi procjena opsega — koji su sustavi i podaci pogođeni i je li došlo do iznošenja podataka. Paralelno se aktivira tim i uspostavlja komunikacija s ključnim ljudima, a po potrebi i s vanjskim stručnjacima i nacionalnim CERT-om.

Vrlo rano treba uključiti i pravnu i compliance dimenziju, jer rokovi prijave teku od saznanja: ako ste ključni ili važni subjekt, NIS2 traži ranu obavijest u 24 sata; ako su kompromitirani osobni podaci, GDPR traži prijavu povrede AZOP-u u 72 sata. Tek nakon što je situacija pod kontrolom kreće oporavak iz čistih sigurnosnih kopija i, na kraju, analiza uzroka kako se isti propust ne bi ponovio. Tvrtka koja je ovaj slijed unaprijed uvježbala gubi sate; ona koja improvizira gubi dane i znatno više novca.

Zaključak

Ransomware je prijetnja koja se ne može potpuno isključiti, ali se može učiniti podnošljivom: tvrtka s testiranim sigurnosnim kopijama, dvofaktorskom autentifikacijom, ažurnim sustavima i educiranim zaposlenicima napad preživljava uz minimalnu štetu, dok nepripremljena tvrtka riskira opstanak.

Budući da većina napada počinje ljudskom pogreškom, najisplativije ulaganje je edukacija. Pogledajte našu edukaciju o kibernetičkoj sigurnosti i edukaciju o phishingu za cijeli tim.