Cyber bezbednost u Srbiji 2026: kako se zaštititi od velikih outage-ova pre nego što bude kasno

Pre nego što uđemo u detalje, evo šta ćete naučiti u ovom članku i zašto bi trebalo da ga pročitate do kraja:

• Srbija je 2025. i 2026. godine postala potvrđena meta sofisticiranih sajber napada državnog i kriminalnog porekla – nije reč o teoriji, reč je o dokumentovanim kompromitovanjima

• Masovni outage-ovi (ispadi sistema) više nisu retke katastrofe – oni su redovni deo poslovnog rizika u digitalnom dobu, a CrowdStrike incident iz 2024. to je dokazao svetu

• Srpski regulatorni okvir se dramatično promenio – novi Zakon o informacionoj bezbednosti iz decembra 2025. uvodi obaveze koje mnoge kompanije još nisu implementirale

• Postoji jasna razlika između outage-a uzrokovanog napadom i onog uzrokovanog tehničkim kvarom – ali odbrana od oba zahteva isti pristup

• Praktičan plan zaštite nije ni nedostižno skupo ni nemoguće tehnički zahtevno – ali zahteva disciplinu i sistemski pristup koji srpske kompanije uglavnom izbegavaju

Uvod: nešto je puknulo u digitalnom svetu – i Srbija nije imuna

Postoji rečenica koju IT stručnjaci koriste kao mantra, a menadžment obično ignoriše sve dok ne bude kasno: „Nije pitanje hoće li doći do incidenta. Pitanje je kada.“

U julu 2025. godine, zaposleni u Air Serbia otvorili su mejlove s neobičnom porukom od IT odeljenja: plata za jun neće biti isplaćena na vreme. Razlog? Hakerski napad koji je kompromitovao Active Directory celokupne kompanije. Napadači su, prema izveštaju The Register, imali pristup sistemima Air Serbia od početka jula – a možda i ranije, samo što logovi koji bi to potvrdili nedostaju.

Godinu dana pre toga, 19. jula 2024., svet se probudio uz globalni IT kolaps koji je pogodio 8,5 miliona Windows uređaja. Krivac? CrowdStrike – kompanija čiji je posao upravo da sprečava ovakve katastrofe. Jedna jedina pogrešna konfiguracija u automatski isporučenom ažuriranju blokirala je bolnice, aerodrome, banke, berze i državne servise širom planete. Procenjena finansijska šteta premašila je 10 milijardi dolara.

U februaru 2026. godine, istraživači iz Unit 42 tima Palo Alto Networks objavili su izveštaj koji Srbiju stavlja na listu 37 zemalja u kojima je potvrđeno uspešno kompromitovanje vladinih i infrastrukturnih mreža od strane grupe TGR-STA-1030. Na meti: Ministarstvo spoljnih poslova, odbrane, finansija, energetski sektor, diplomatska predstavništva.

Ovo nisu izolovane vesti. Ovo je nova normalnost.

I upravo o toj novoj normalnosti pišemo u ovom tekstu – šta su outage-ovi, zašto Srbija nije izuzeta od globalnih pretnji, koji su regulatorni zahtevi koji od januara 2026. obavezuju domaće kompanije, i – najvažnije – šta konkretno možete da uradite da zaštitite svoju organizaciju pre nego što postanete sledeća vest.

Šta je uopšte outage i zašto nas treba brinuti

Pre nego što pričamo o rešenjima, moramo biti precizni oko problema. Outage (ispad sistema) je svaki neplaniran prekid dostupnosti IT sistema, servisa ili infrastrukture koji utiče na poslovne operacije.

Ali to je suva definicija. Stvarna razlika koja je bitna za praktičara je razlika između uzroka:

Tri kategorije outage-ova

1. Tehnički outage – nastaje zbog softverske greške, hardverskog kvara, pogrešne konfiguracije ili neuspešnog ažuriranja. CrowdStrike incident je klasičan primer. Cloudflare ispad iz novembra 2025. – kada je greška u internom sistemu oborila milione sajtova uključujući ChatGPT, X i Canva – je drugi primer. Ovi incidenti nisu rezultat nečije zle namere, ali posledice su iste kao da jesu.

2. Cyber napad – DDoS (Distributed Denial of Service), ransomware, napad na Supply Chain (lanac snabdevanja), kompromitovanje infrastrukture. Air Serbia slučaj pripada ovoj kategoriji. Pomenuti napadi na srpske vladine institucije takođe.

3. Fizički ili infrastrukturni outage – nestanci struje, prirodne katastrofe, oštećenja fizičke infrastrukture. Primer koji je 2025. odjeknuo svetom: veliki blackout na Iberijskom poluostrvu koji je isključio struju, telekomunikacije, plaćanja, aerodrome i internet pristup u tri države odjednom.

U praksi, ove kategorije se preklapaju na načine koji komplikuju odgovor: ransomware napad koji šifrira podatke i prekida operacije je i sajber napad i izvor outage-a. Napadači koji su kompromitovali Active Directory Air Serbia mogli su u bilo kom trenutku da pređu od špijunaže ka destrukciji. Razlika između „samo“ krađe podataka i totalnog ispada sistema ponekad je samo pitanje nečije odluke na drugom kraju.

Zašto outage košta više nego što mislite

Finansijska šteta od outage-a se obično drastično potcenjuje u momentu kada se računa. Kompanije broje direktne troškove – sate koje je IT tim proveo u oporavku, možda i cenu konsultanata – ali zaboravljaju na:

• Lost Revenue (izgubljen prihod): svaki sat nedostupnosti sistema = izgubljene transakcije, propuštene prodaje, nenaplaćene usluge

• Regulatory fines (regulatorne kazne): NIS2 direktiva i novi srpski zakon predviđaju kazne koje mogu biti drastične za kompanije koje nisu prijavile incident na vreme

• Reputational damage (reputaciona šteta): ova se ne može lako izračunati, ali studije pokazuju da kompanije koje dožive javno poznati bezbednosni incident gube prosečno 7,5% tržišnog udela u godini nakon incidenta

• Recovery costs (troškovi oporavka): forenzika, obnova sistema, pojačana bezbednost, komunikacija s klijentima

• Legal liability (pravna odgovornost): posebno ako su kompromitovani lični podaci korisnika, što aktivira i GDPR mehanizme

Istraživanje IBM Security „Cost of a Data Breach 2025“ pokazuje da prosečan trošak jednog bezbednosnog incidenta globalno iznosi 4,88 miliona dolara. Za srpsko tržište taj broj je manji, ali proporcionalno – na osnovu veličine kompanija i privreda – efekti su jednako razorni.

Srbija 2026: slika stvarnog stanja

Hajde da budemo direktni o tome gde se Srbija zaista nalazi na mapi cyber bezbednosti, bez ulepšavanja.

Potvrđene pretnje i incidenti

Air Serbia (jul 2025.): Jedan od najozbiljnijih javno dokumentovanih cyber incidenata na srpski poslovni subjekt. Napadači su kompromitovali Active Directory – srce IT infrastrukture svake organizacije koja koristi Windows ekosistem. Prema izvorima The Register, napadači su proučavali izložene endpointe Air Serbia od početka 2024. – znači, imali su više od godinu dana da se pripreme. Kada su udarili, IT tim je morao da ugasi sve service account-ove, resetuje sve korisničke lozinke na nivou cele kompanije, rasporedi novi VPN klijent i premesti podatkovne centre u demilitarizovanu zonu.

Šta ovo govori? Da napadači strpljivo čekaju. Da perimetar koji izgleda bezbedan spolja može biti duboko kompromitovan iznutra. I da incident koji traje danima može da počne mesecima ranije.

Vladine institucije (2025-2026.): Prema izveštaju Unit 42, grupa TGR-STA-1030 je uspešno kompromitovala mreže u Srbiji kao deo šire kampanje koja je zahvatila 155 zemalja. Primarne mete su bile vladine institucije – ministarstva spoljnih poslova, odbrane i finansija, kao i energetski sektor i diplomatska predstavništva. Vektor napada? Kombinacija spear phishing-a (ciljanog fišinga) i eksploatacije 15 poznatih ranjivosti u Microsoft Exchange Server-u, SAP Solution Manager-u i Windows-u.

Posebno zabrinjavajuće je to što su te ranjivosti bile poznate – to znači da su imale zakrpe (patch-eve) koje nisu bile primenjene. Ovo nije egzotičan zero-day napad. Ovo je napad koji uspeva zato što se redovno ažuriranje sistema ignorisalo.

Kaspersky upozorenje za 2026.: Lokalni bezbednosni stručnjaci i globalni vendori se slažu u jednom: Srbija je sve atraktivnija meta zbog kombinacije faktora – geopolitičke pozicije, procesa pristupanja EU, relativno slabe cyber higijene u javnom i privatnom sektoru, i sve veće digitalizacije kritične infrastrukture.

PULSEC SOC podaci za 2026.: Srpski Security Operations Center beleži jasnu korelaciju između radnog vremena i broja sajber napada – vrhunac aktivnosti napadača poklopljuje se sa špic satima radnog dana. Ovo govori da mnogi napadi nisu automatizovani, već aktivno vođeni od strane ljudi koji prate ciljeve.

Gde smo na globalnoj lestvici

National Cyber Security Index (NCSI) koji vodi Estonia’s Government Technology Agency rangira Srbiju u sredinom globalnog peloton – ne na dnu, ali daleko od lidera. Ono što je posebno karakteristično za srpski pejzaž:

• Javne institucije uglavnom imaju zastarelu IT infrastrukturu s nedovoljno primenjenim zakrpama

• Privatni sektor je polarizovan – velike banke i telekomi imaju ozbiljnu cyber bezbednost, dok MSP (mala i srednja preduzeća) uglavnom nemaju ništa

• Nedovoljan broj sertifikovanih cyber bezbednosnih stručnjaka – tržište rada ne može da popuni potražnju

• Kulturu „to se nama ne može desiti“ koja persisting-uje uprkos svim dokazima suprotnog

Regulatorni okvir u Srbiji: šta je novo i šta vas obavezuje

Decembar 2025. doneo je veliku promenu koja mnoge kompanije u Srbiji još nije „prošla“. Srbija je usvojila novi Zakon o informacionoj bezbednosti (Serbian NIS2) koji harmonizuje domaći okvir s EU NIS2 Direktivom.

Šta donosi novi zakon

Prošireni krug obaveznih subjekata: Za razliku od prethodnog zakona, novi drastično proširuje kategorije organizacija koje moraju da implementiraju propisane bezbednosne mere. Sada su obuhvaćene:

• Kompanije iz sektora energetike, saobraćaja, bankarstva i finansija

• Pružaoci zdravstvenih usluga i digitalne infrastrukture

• Pružaoci upravljanih sigurnosnih usluga (MSS provajderi)

• Kompanije iz sektora prehrambene industrije iznad određenog praga

• Mnoge kategorije iz javnog sektora koje ranije nisu bile pokrivene

Obavezno prijavljivanje incidenata: Organizacije su dužne da prijave značajne incidente u roku od 24 sata od detekcije – sa detaljnim izveštajem u roku od 72 sata. Ovo je direktno preuzeto iz NIS2 i predstavlja dramatičnu promenu u odnosu na prethodnu praksu (ili njeno odsustvo).

Pooštrene kazne: Propust u prijavljivanju incidenta ili neimplementacija propisanih mera može rezultirati kaznama koje idu do 2% godišnjeg globalnog prihoda za „važne entitete“, ili do 10 miliona evra – što god je veće. Za „esencijalne entitete“ kazne mogu biti do 10 miliona evra ili 2% globalnog prihoda.

Supply Chain bezbednost: Novi zakon eksplicitno uvodi zahteve za upravljanje bezbednošću lanca snabdevanja – što znači da nisu dovoljne samo vaše mere, nego morate da obezbedite i da vaši dobavljači i treće strane imaju adekvatnu zaštitu.

Šta to znači u praksi

Ako vaša kompanija spada u jednu od pokrivenih kategorija i još niste počeli da radite na usklađenosti – kasnite. Sekundarna zakonodavna regulativa se očekuje tokom 2026. godine, ali to ne znači da možete da čekate.

Konkretni koraci koji su odmah potrebni:

1. Mapiranje sistema: Identifikujte koje ICT sisteme koristite, ko su vaši dobavljači, gde se nalaze vaši podaci

2. Risk assessment (procena rizika): Formalna procena bezbednosnih rizika – ne improvizovana, već dokumentovana

3. Incident Response Plan: Pisani plan za reagovanje na incidente koji je testiran i koji znaju ključni ljudi

4. Prijavni mehanizmi: Uspostavite jasne procedure ko i kako prijavljuje incident nadležnima

5. Obuka zaposlenih: Regulatorni okvir eksplicitno zahteva redovnu obuku o cyber bezbednosti

Anatomija velikih outage-ova: lekcije koje moramo naučiti

Da bismo znali kako se zaštititi, moramo razumeti kako izgleda kada stvari krenu po zlu. Evo analize tri najvažnija incidenta sa praktičnim lekcijama za svaku organizaciju.

Slučaj 1: CrowdStrike, juli 2024. – kada zaštita postane napadač

1. jul 2024. ući će u istoriju IT-a kao dan najvećeg planiranog outage-a u istoriji kompjuterske tehnologije. CrowdStrike, kompanija koja štiti 60% Fortune 500 kompanija, isporučila je automatsko ažuriranje svog Falcon Sensor softvera. To ažuriranje je sadržalo grešku u validaciji konfiguracionog fajla koja je uzrokovala da Windows sistemi padnu u beskonačnu petlju restartovanja – takozvani Blue Screen of Death (BSOD), plavi ekran koji svi IT stručnjaci pamte iz noćnih mora.

Rezultat: 8,5 miliona kompromitovanih uređaja. Otkazani letovi, zatvoreni hitni servisi, nefunkcionalne bolnice, blokirane berze. Procenjena globalna finansijska šteta: više od 10 milijardi dolara.

Ključne lekcije:

• Automatsko ažuriranje nije uvek vaš prijatelj: Kada bezbednosni softver ima automatski ažuriranje s kernel-level pristupom (najdublji nivo pristupa operativnom sistemu), jedna greška može srušiti sve. Kritični sistemi treba da imaju staged deployment (postepeno uvođenje ažuriranja) – najpre u test okruženje, pa u manje kritične sisteme, pa tek onda svuda

• Single Point of Failure (jedinstvena tačka kvara) je fatalna: CrowdStrike je bio instaliran na svemu. Kada je pao, palo je sve. Diversifikacija dobavljača bezbednosnih rešenja nije luksuz, to je elementarna zaštita

• Oporavak bez IT tima na licu mesta je nemoguć: Jedino rešenje za BSOD uzrokovan CrowdStrike-om bilo je fizičko pokretanje u Safe Mode i ručno brisanje problematičnog fajla. Na svakom uređaju. Individualno. Organizacije s hiljadama uređaja raspoređenih širom sveta provele su dane u manualnom oporavku

• Business Continuity Plan (plan poslovnog kontinuiteta) nije opcija: Kompanije koje su imale planirane alternativne procedure oporavile su se za sate. Kompanije bez plana – za dane ili sedmice

Slučaj 2: Air Serbia, jul 2025. – strpljivi napadač pobedi

Ono što je posebno poučno u slučaju Air Serbia nije samo to što se desilo, već kako se desilo. Napadači nisu „udarili“ jednog dana. Oni su infiltrirali sistem i čekali. Prema podacima koje je objavio The Register, probijanje sistema se možda desilo u ranom periodu 2024. – a napad je eskalirao u julu 2025.

Ovo nije neobično. Industrija ovo naziva „dwell time“ – vreme koje napadači provode unutar mreže pre nego što budu detektovani ili pre nego što pokrenuobrazac aktivnog napada. Prosečan dwell time globalno iznosi 204 dana prema Mandiant istraživanju. Skoro sedam meseci u kojima niko nije primetio da je neko unutra.

Ključne lekcije:

• Perimetar odbrana nije dovoljna: Firewall, antivirus, IDS/IPS – sve ovo je važno, ali ne štiti od napadača koji je već unutra. Potreban je Zero Trust pristup – verifikacija svakog zahteva, svakog korisnika, za svaki resurs, svaki put

• Active Directory je Sveti Gral napadača: Kompromitovanje AD-a daje napadaču vladavinu nad celim domenskim okruženjem – svaki korisnik, svaki računar, svaki resurs. Monitoring anomalija u AD mora biti prioritet svakog IT odeljenja

• Logovi su dokaz i alat za oporavak: Jedan od razloga zbog kojih se u Air Serbia slučaju ne zna tačno kada je kompromitovanje počelo jeste taj što logovi nedostaju. Log retention (čuvanje log fajlova) i njihova zaštita od modifikacije od strane napadača su elementarne mere

• DDoS napadi mogu biti diverzija: Air Serbia je pre kompromitovanja imala seriju DDoS napada. Moguće je da su oni služili kao odvraćanje pažnje dok su napadači tiho kompromitovali systeme. Ova taktika poznata pod nazivom Smoke Screen je sve češća

Slučaj 3: Cloudflare, novembar 2025. – kada infrastruktura pada bez ijednog napadača

1. novembra 2025. pola interneta se nakratko „isključilo“. Cloudflare, koji proksi-ruje i štiti petinu svih internet stranica, doživeo je masovni outage zbog greške u sopstvenom internom sistemu. ChatGPT, X (bivši Twitter), Canva, i bezbroj drugih servisa – nedostupni.

Zanimljivo je da ovde nema napadača. Nema hakera. Samo interna greška koja se propagirala kroz globalnu infrastrukturu.

Ključne lekcije:

• Zavisnost od jednog CDN/cloud provajdera je rizik: Ako vaš sajt ili servis u potpunosti zavisi od Cloudflare-a (ili AWS-a, ili Azurea), imate implicit single point of failure. Multi-cloud i backup DNS strategije nisu paranoja – to je osnovna resilience arhitektura

• Ne možete kontrolisati sve: Postoje outage-ovi koji se ne mogu sprečiti vašim merama – ali možete kontrolisati koliko vas pogađaju. Lokalni cache (keš) kritičnih resursa, fallback opcije i degraded mode (umanjeni režim rada koji nastavlja da funkcioniše i bez eksternih servisa) su alati koje svaki ozbiljan sistem mora imati

• Komunikacija u kriznoj situaciji: Koliko brzo ste informisali korisnike? Cloudflare je brzo objasnio uzrok i pružio post-mortem analizu. Transparentnost u kriznim situacijama direktno utiče na koliko reputacione štete kompanija pretrpi

Kako se zaštititi: praktičan framework za srpske organizacije

Ovde prelazimo na deo koji je najvažniji i koji ne možete da preskočite. Postoji 12 oblasti koje svaka organizacija mora da adresira – ne jednom, nego kontinuirano.

Oblast 1: Asset Management (upravljanje imovinom) – znate li šta imate?

Zvuči trivijalno, ali ovo je oblast u kojoj srpske kompanije najčešće padaju. Ne možete da zaštitite nešto što ne znate da imate.

Šta to podrazumeva:

• Kompletan i ažuran inventar svih hardware uređaja, software aplikacija i cloud servisa

• Klasifikacija podataka po osetljivosti (javni, interni, poverljivi, strogo poverljivi)

• Mapiranje tokova podataka – ko šalje koje podatke kome, i kojim putem

• Identifikacija „shadow IT“ – softver i servisi koje zaposleni koriste bez odobrenja IT-a (Dropbox, WhatsApp za poslovnu komunikaciju, personal Google Drive, itd.)

Praktičan korak za danas: Organizujte internal audit. Zamolite svaki tim da napravi listu alata koje koriste za posao. Rezultati vas mogu iznenaditi – ili uplašiti.

Oblast 2: Patch Management (upravljanje zakrpama) – ne možete čekati „pogodan momenat“

Podsetimo se: Unit 42 istraživanje pokazuje da su napadi na srpske vladine institucije koristili poznate ranjivosti u Microsoft Exchange, SAP i Windows sistemima – ranjivosti za koje su zakrpe bile dostupne. Napadači nisu koristili exotičnu magiju. Koristili su lenjost.

Šta to podrazumeva:

• Automatsko ažuriranje za sve endpoint uređaje gde god je to bezbedno (uz testing pre deployment-a za kritične sisteme)

• Vulnerability scanning (skeniranje ranjivosti) – redovno, automatizovano, s prioritizacijom po ozbiljnosti

• Patch SLA (Service Level Agreement za zakrpe): kritične ranjivosti – zakrpa u roku od 24-48 sati; visoke – u roku od 7 dana; ostale – u roku od 30 dana

• Za sisteme koji se ne mogu ažurirati (legacy sisteme) – kompenzatorne kontrole poput mrežne izolacije i pojačanog monitoringa

Praktičan korak za danas: Pokrenite besplatni alat poput Nessus Essentials ili OpenVAS i skenirajte svoju mrežu. Vidite šta dobijete. Garantujem da će biti neugodnih iznenađenja.

Oblast 3: Identity and Access Management (IAM) – privilegovani pristup je privilegovana meta

Active Directory kompromitovanje u Air Serbia slučaju pokazuje koliko je identitet ključan vektor napada. Moderan pristup IAM-u počiva na tri principa: Least Privilege (najmanji mogući pristup), Need to Know (samo onima koji stvarno trebaju), i Zero Trust (ne veruj nijednom korisniku ili uređaju automatski).

Šta to podrazumeva:

• Multi-Factor Authentication (MFA, višefaktorska autentikacija) za SVE korisnike, bez izuzetka – posebno za remote access i privilegovane naloge

• Privileged Access Management (PAM) – posebna zaštita i monitoring admin naloga; admin operacije trebaju posebne, sesijski ograničene kredencijale

• Regular Access Reviews (redovni pregledi pristupa) – svako 6 meseci, ili kada zaposleni menja ulogu ili odlazi

• Separation of Duties (razdvajanje dužnosti) – niko ne sme imati ovlašćenja da sam odobri i izvrši kritičnu operaciju

• Just-in-Time Access – privilegovani pristup se dodeljuje privremeno, samo kada je potreban, i automatski se oduzima

Praktičan korak za danas: Proverite koliko korisnika u vašoj organizaciji ima admin prava na lokalne mašine ili domenski Admin status. U većini srpskih kompanija, taj broj je šokantan.

Oblast 4: Network Segmentation (segmentacija mreže) – zaustavite lateralni pokret

Jedan od razloga zbog kojih su kompromitovanja tako efikasna jeste sloboda kretanja kroz mrežu jednom kada napadač uđe. Ako je cela vaša kompanija jedna ravna mreža bez segmentacije, kompromitovan laptop u marketingu može biti direktan put do finansijskog servera.

Šta to podrazumeva:

• Mikrosegmentacija – podela mreže na male segmente s striktnom kontrolom saobraćaja između njih

• VLAN-ovi (Virtual Local Area Network) za razdvajanje IT, OT (Operational Technology), gostujuće WiFi mreže, IoT uređaja

• DMZ (Demilitarized Zone) za sisteme koji moraju biti dostupni izvana – ovo je zapravo i Air Serbia uradila tokom incidenta, što je bio dobar potez ali kasno

• East-West traffic monitoring – ne samo monitoring saobraćaja koji ulazi ili izlazi iz mreže, nego i saobraćaja unutar mreže (gde se kompromitovani uređaji kreću)

Oblast 5: Endpoint Detection and Response (EDR) – više nije dovoljno samo imati antivirus

Klasičan antivirus je mrtav. On prepoznaje poznate potpise malvera – ali savremeni malver se transformiše, koristi legitimne sistemske alate (Living off the Land tehnika), i dizajniran je da zaobiđe potpis-bazirane detekcije.

EDR (Endpoint Detection and Response) rešenja prate ponašanje na endpointima u realnom vremenu, detektuju anomalije, i omogućavaju brz odgovor i izolaciju kompromitovane mašine. XDR (Extended Detection and Response) ovo proširuje na mrežu, email, cloud i identitete.

Napomena o CrowdStrike lekciji: Uvođenje EDR rešenja je esencijalno – ali budite oprezni oko automatic update politike za kernel-level softver. Staged rollout (postepeno uvođenje) je obavezan.

Oblast 6: Backup i oporavak – ovo je vaša poslednja linija odbrane

Backup nije backup ako nije testiran. Ovo je jedna od najčešće ignorisanih, a najopasnijih pretpostavki u IT menadžmentu: „Imamo backup.“ Da li ste ikad pokušali da ga restorujete? Da li znate koliko dugo traje? Da li su svi kritični sistemi pokriveni?

3-2-1-1-0 pravilo (moderna evolucija klasičnog 3-2-1):

• 3 kopije podataka

• 2 različita medijuma

• 1 kopija off-site (van poslovnih prostorija)

• 1 kopija air-gapped (potpuno izolovana od mreže – ransomware ne može da je dohvati)

• 0 grešaka pri verifikaciji backup-a

RTO i RPO su stvarne poslovne odluke: Recovery Time Objective (koliko dugo možete biti nedostupni) i Recovery Point Objective (koliko starih podataka možete izgubiti) – ovo nisu tehničke metrike. To su poslovne odluke koje menadžment mora doneti, jer od njih zavisi koliko investirate u backup infrastrukturu.

Oblast 7: Security Awareness Training (obuka o bezbednosti) – vaš najveći rizik sedi u otvorenom prostoru

Istraživanja konzistentno pokazuju da 82-90% svih uspešnih napada počinje phishing-om (fišingom) – prevarom kojom napadači navode zaposlene da kliknu link, otvore prilog ili predaju kredencijale. Sva tehnička zaštita na svetu ne pomaže ako nekomu pošaljete QR kod koji direktno do vaše mreže.

Što funkcioniše, a što ne funkcioniše:

Ne funkcioniše: Jednogodišnje „compliance“ obuke koje svi proklikaju u 10 minuta i odmah zaborave.

Funkcioniše: Kratke, redovne obuke (5-10 minuta mesečno), simulovani phishing napadi sa immediate feedback-om kada zaposleni „nasedne“ (bez kažnjavanja – cilj je učenje), role-based training (različit sadržaj za IT tim, CFO-a, menadžment, customer service), i jasni protokoli šta uraditi kada primite sumnjivu komunikaciju.

Praktičan korak za danas: Pošaljite simulated phishing email sopstvenoj organizaciji. Postoje besplatni alati poput GoPhish za ovo. Vidite koliko procenata zaposlenih klikne. Taj broj je vaše polazište.

Oblast 8: Incident Response Plan (plan odgovora na incident) – ne improvizujte u krizi

Panic is not a strategy (Panika nije strategija). Incident Response Plan (IRP) je dokumentovana procedura koja definiše ko radi šta, kojim redosledom, kada sistem doživi napad ili kvar.

Minimalni elementi IRP-a:

• Detection and Analysis: Kako detektujemo incident? Ko ga prijavljuje? Gde? Ko verifikuje?

• Containment (izolacija): Koje sisteme odmah isolujemo? Ko ima ovlašćenje za donošenje te odluke? (Ova odluka mora biti delegirana unapred – u krizi nema vremena za odobrenje lanca komandovanja)

• Eradication (eliminacija): Kako uklanjamo napadača ili kvar?

• Recovery (oporavak): Kojim redosledom vraćamo sisteme? Koji su prioriteti?

• Post-Incident Analysis: Šta smo naučili? Šta menjamo?

• Communication Plan: Ko kontaktira klijente? Ko kontaktira medije? Ko prijavljuje regulatoru? (Prema novom srpskom NIS2 zakonu – 24 sata za prijavljivanje!)

Obavezno: Testirajte plan bar jednom godišnje kroz tabletop vežbu – simuliranu kriznu situaciju gde tim prolazi kroz IRP bez stvarnog incidenta.

Oblast 9: Third Party Risk Management (upravljanje rizicima od trećih strana) – vaš dobavljač je vaša ranjivost

CrowdStrike incident je bio napad koji je inicirano od strane trustovanog vendora. Air Serbia incident uključivao je iskorišćavanje ekspozure prema Internetu. Moderni supply chain napadi (napadi na lanac snabdevanja) specifično targetiraju dobavljače softvera i usluga koji imaju pristup vašim sistemima.

Šta to podrazumeva:

• Vendor Assessment (procena dobavljača) pre angažmana – kakvu bezbednosnu politiku imaju?

• Contractual Requirements (ugovorne obaveze) u pogledu bezbednosti – ISO 27001 sertifikacija, pravo na audit, obaveza prijavljivanja incidenata

• Minimalni neophodni pristup – nikad ne dajte dobavljaču širi pristup od onog koji je neophadan za obavljanje posla

• Regular Reviews – ne samo jednom; periodično proveravajte da li vaši dobavljači i dalje zadovoljavaju bezbednosne zahteve

Oblast 10: Logging i monitoring – ne možete detektovati ono što ne vidite

Dwell time od 204 dana – toliko napadači prosečno sede unutar mreže pre detekcije. Razlog? Nedovoljno ili neadekvatno logovanje i monitoring.

Minimalne logging obaveze:

• Svi autentikacioni događaji (uspešni i neuspešni logini) – posebno za privilegovane naloge

• Svi mrežni tokovi između segmenata

• DNS upiti – ovo je potcenjen zlatni rudnik za detekciju malvera koji komunicira s Command and Control serverima

• Promene u privilegijama i konfiguracijama

• File access events za osetljive podatke

SIEM (Security Information and Event Management) platforma koja agreguje logove iz svih izvora i automatski detektuje anomalije nije luksuz za velike kompanije. Postoje i dostupnija rešenja (pa i open-source) koja manja preduzeća mogu da koriste.

Kritično: Log retention. Logovi moraju biti čuvani dovoljno dugo i zaštićeni od modifikacije. Napadači koji su u vašoj mreži rutinski brišu ili menjaju logove da prikriju tragove. Immutable log storage (nepromenjivo čuvanje logova) je obavezno.

Oblast 11: Business Continuity i Disaster Recovery – šta kada sve to ne pomogne

Ponekad je napad uspešan. Ponekad se tehnički kvar dogodi bez ijednog hakera u priči. Business Continuity Plan (BCP) i Disaster Recovery Plan (DRP) su vaš odgovor na pitanje: „Kako nastavljamo da radimo dok se sistem ne oporavi?“

Razlika između BCP i DRP:

• BCP odgovara na pitanje: Kako kompanija nastavlja da funkcioniše (makar i u smanjenom kapacitetu) dok traje incident?

• DRP odgovara na pitanje: Kako vraćamo IT sisteme u operativno stanje?

Oba plana moraju biti dokumentovana, testirana (bar jednom godišnje), i moraju biti dostupna i kada su IT sistemi nedostupni (papirna kopija, offline storage).

Oblast 12: Vulnerability Disclosure i Bug Bounty – naučite od etičkih hakera

Jedan od najefikasnijih (i najjeftinijih) načina da pronađete ranjivosti u sopstvenim sistemima pre napadača jeste da angažujete etičke hakere – ili da uspostavite Vulnerability Disclosure Program koji definiše kako da istraživači prijave pronađene ranjivosti.

Za srpske kompanije, ovo je uglavnom neiskorišćen resurs. Platforme poput HackerOne, Bugcrowd i YesWeHack omogućavaju organizovanje bug bounty programa i sa skromnim budžetima.

Poseban fokus: Zero Trust arhitektura kao novi standard

Stariji security model bio je jednostavan: sve unutar perimetra (firewalla) je bezbedno; sve izvan je opasno. Ovaj model je mrtav, iz jednog prostog razloga: perimetar više ne postoji.

Zaposleni rade od kuće, iz kafića, s mobilnih uređaja. Podaci su u cloud-u. SaaS aplikacije se koriste iz browsera. Poverljivi partneri imaju pristup delovima vaše mreže. Granica između „unutra“ i „napolju“ je postala potpuno nejasna.

Zero Trust zamenjuje stari model novom filozofijom koja se može sažeti u jednu rečenicu: „Nikada ne veruj, uvek verifikuj.“ (Never Trust, Always Verify)

Zero Trust arhitektura počiva na pet stubova:

1. Identity (identitet): Svaki korisnik se verifikuje pri svakom pristupu, bez obzira na to da li je unutar ili izvan mreže – MFA, continuous authentication

2. Devices (uređaji): Svaki uređaj koji traži pristup mora biti poznat i kompijantan s politikama – Device Trust

3. Networks (mreže): Mikrosegmentacija i kontrola East-West saobraćaja – nikad implicitan pristup između segmenata

4. Applications (aplikacije): Pristup samo specifičnim aplikacijama, ne celoj mreži – Software Defined Perimeter

5. Data (podaci): Klasifikacija i zaštita podataka na nivou samih podataka – data-centric security

Implementacija Zero Trust nije jednodnevni projekat. To je put koji traje godinama. Ali i minimalne mere – MFA za sve, segmentacija najkritičnijih sistema, monitoring privilegovanih naloga – mogu drastično smanjiti rizik dok se ne dođe do pune implementacije.

AI i automatizacija: napadači su već koristili, a vi?

PULSEC podaci za 2026. i upozorenja Kaspersky-a potvrđuju trend koji je teško ignorisati: AI alati postaju standardni deo arsenala sajber napadača u Srbiji.

Na strani napadača, AI se koristi za:

• Generisanje ubedljivih phishing email-ova na srpskom jeziku bez gramatičkih grešaka koje su nekada bile alarm

• Automatizovano otkrivanje ranjivosti u target sistemima

• Generisanje polimorfnog malvera koji se transformiše da zaobiđe detekciju

• Deepfake audio i video za Business Email Compromise napade (zamislite napadača koji simulira glas vašeg direktora da naloži hitni transfer)

Na strani odbrane, AI se koristi za:

• Bihejvioral analytics (analiza ponašanja) – detektovanje anomalija koje su premale da bi pokrenule tradicionalne alarmne sisteme

• Automated Threat Hunting – proaktivno pretraživanje indikatora kompromitovanja bez potrebe da čekate alarm

• Phishing detection u email sistemima

• Automatizovano odgovaranje na incidente – izolovanje kompromitovanih endpoint-ova bez čekanja na human decision

Jedna stvar je sigurna: kompanije koje ne počnu da koriste AI u cyber odbrani biće u rastućem dezavantažu naspram napadača koji ga već koriste.

Šta nas čeka u narednim godinama: prognoza i priprema

Nikome ne možemo garantovati šta će doneti 2027. ili 2030. godina, ali trendovi se jasno ocrtavaju:

Ransomware-as-a-Service (RaaS) ostaje dominantna pretnja

Model po kome kriminalne grupe „iznajmljuju“ ransomware infrastrukturu partnerima koji izvode napade i dele profit nastaviće da raste. Specijalizacija unutar kriminalnih ekosistema (jedni pronalaze žrtve, drugi kompromituju sisteme, treći pregovaraju otkupninu) čini ove grupe sve efikasijima. Srbija, kao zemlja u EU accession procesu s rastućom digitalizacijom, biće sve atraktivnija meta.