Najčešći napadi na male firme počinju phishing porukom, ukradenom lozinkom, nezaštićenim cloud nalogom, zastarelim softverom ili lošim backup-om. Većina osnovnih mera nije skupa: Multi-Factor Authentication – MFA (višefaktorska autentifikacija), jedinstvene lozinke, redovno ažuriranje, testirane rezervne kopije, ograničena prava pristupa i obuka zaposlenih. Najveća greška je verovati da je firma „premala“ ili „nezanimljiva“ napadačima.
Vlasnik male firme često zamišlja sajber napad kao scenario iz filma: haker u mračnoj sobi, ogromna korporacija, milioni evra, komplikovani serveri i timovi stručnjaka. Stvarna slika je obično banalnija i zato opasnija.
Napad često počne porukom koja izgleda kao račun dobavljača. Ili zahtevom da se promeni broj računa za uplatu. Ili email-om koji liči na obaveštenje iz Microsoft 365, Google Workspace-a, banke, kurirske službe ili računovodstvenog programa. Nekada je dovoljan jedan klik, jedno unošenje lozinke na lažnoj stranici ili jedan fajl otvoren bez provere.
Napadači ne biraju malu firmu zato što je posebno važna. Biraju je zato što procenjuju da je slabije zaštićena, da nema razvijen odgovor na incident i da će zaposleni pod pritiskom hitnosti napraviti grešku. Verizonov 2025 Data Breach Investigations Report navodi da su zloupotreba pristupnih podataka sa 22 odsto i iskorišćavanje ranjivosti sa 20 odsto među vodećim početnim vektorima napada, dok je ransomware nesrazmerno pogodio mala i srednja preduzeća.
Drugim rečima: problem nije to što mala firma nema bezbednosni centar sa desetinama analitičara. Problem je ako nema ni osnovnu digitalnu higijenu.
Zašto su male firme laka meta
Mala firma često ima nekoliko karakterističnih slabosti:
-
Vlasnik, finansije, prodaja i administracija koriste isti poslovni email.
-
Lozinke se dele preko poruka, papirića ili Excel fajlova.
-
Bivši zaposleni i dalje imaju pristup cloud folderima.
-
Softver se ne ažurira jer „sve radi, ne diraj“.
-
Backup postoji, ali ga niko nikada nije probao da vrati.
-
Zaposleni nemaju jasnu proceduru za sumnjiv email ili hitan zahtev za uplatu.
-
Administrator nalog se koristi za svakodnevni rad.
-
Firma ima antivirus, pa smatra da je tema završena.
Nijedna od ovih grešaka ne zahteva naprednog hakera. Napadaču je dovoljan propust u procesu.
NIST-ov Cybersecurity Framework 2.0: Small Business Quick-Start Guide namenjen je upravo malim i srednjim organizacijama koje imaju skroman ili nikakav formalni plan sajber bezbednosti. Njegova osnovna poruka je praktična: firma mora da razume šta štiti, da uvede zaštitne mere, da može da prepozna incident, reaguje i oporavi se.
To zvuči kao mnogo posla, ali nije potrebno sve rešiti odjednom. Prvo treba zaštititi ono što napadači najčešće koriste: identitete, email, uređaje, podatke i ljudsku nepažnju.
Phishing: napad koji izgleda kao običan email
Phishing (fišing) je pokušaj prevare u kome napadač koristi lažnu poruku, sajt ili poziv da žrtvu navede da otkrije lozinku, preuzme zlonamerni fajl, klikne na link ili odobri transakciju.
Phishing više ne izgleda nužno kao loše prevedena poruka sa gomilom grešaka. Danas može imati profesionalan dizajn, tačan logo, potpis stvarne osobe, informacije sa sajta firme, pa čak i ton komunikacije koji deluje potpuno uobičajeno.
Najčešći oblici uključuju:
-
Lažna poruka banke o blokiranom računu.
-
„Hitna“ faktura od navodnog dobavljača.
-
Obaveštenje da je istekao Microsoft 365 ili Google Workspace nalog.
-
Link ka dokumentu za koji se traži prijava poslovnim email-om.
-
Lažno obaveštenje dostavne službe ili e-commerce platforme.
-
Poruka „direktora“ koji traži hitnu uplatu ili kupovinu vaučera.
-
Lažan zahtev za promenu bankovnih podataka partnera.
-
Email sa zlonamernim prilogom, najčešće PDF, ZIP, Word ili Excel fajlom.
Napad često koristi social engineering (socijalni inženjering), odnosno manipulaciju ljudima kroz autoritet, strah, hitnost ili radoznalost. Napadač ne mora da provali sistem ako uspe da ubedi zaposlenog da mu sam preda pristup.
Kako prepoznati sumnjivu poruku
Obratite pažnju na nekoliko jasnih znakova:
-
Pošiljalac ima adresu koja je slična pravoj, ali se razlikuje za jedno slovo ili domen.
-
Poruka stvara pritisak: „odmah“, „poslednje upozorenje“, „račun će biti blokiran“.
-
Traži lozinku, kod za prijavu, podatke kartice ili hitnu uplatu.
-
Link vodi na adresu koja nema veze sa pravim domenom kompanije.
-
Prilog stiže bez očekivanog konteksta.
-
Poruka deluje kao da dolazi od kolege, ali traži neuobičajenu radnju.
-
Postoji mala, ali važna promena: broj računa, ime dobavljača, poziv na broj ili email za odgovor.
Najbolja zaštita nije da zaposleni „budu pažljiviji“. To je previše neodređeno. Potrebna je procedura: svaki zahtev za promenu bankovnih podataka ili veću uplatu mora se potvrditi drugim kanalom – telefonom, videopozivom ili već poznatim kontaktom, nikada samo odgovorom na sumnjivi email.
CISA u smernicama za mala i srednja preduzeća izdvaja izbegavanje phishing-a, jake lozinke, MFA i ažuriranje softvera kao osnovne bezbednosne prakse.
Krađa lozinki: jedan nalog, više problema
Napadači često ne „hakuju“ lozinku sofisticiranim metodama. Dobiju je kroz phishing, curenje podataka sa nekog drugog servisa, ponovnu upotrebu iste lozinke ili slabu zaštitu naloga.
Ako zaposleni koristi istu lozinku za privatni sajt, poslovni email, CRM i cloud skladište, dovoljno je da jedan manje važan servis bude kompromitovan. Napadač zatim pokušava istu kombinaciju email adrese i lozinke na drugim poznatim platformama. Taj pristup se naziva credential stuffing (automatizovana zloupotreba već ukradenih pristupnih podataka).
Najveća meta je poslovni email. Ko kontroliše email, često može da resetuje lozinke za druge sisteme, pristupi fakturama, komunicira sa klijentima, šalje prevarne poruke u ime firme i preuzima cloud naloge.
Šta firma mora da uradi
-
Svaki poslovni nalog mora imati jedinstvenu, dugu lozinku.
-
Lozinke ne smeju da se dele među zaposlenima.
-
Koristite password manager (menadžer lozinki) za kreiranje i čuvanje jedinstvenih lozinki.
-
Uvedite MFA za email, cloud, CRM, finansijske sisteme i administratorske naloge.
-
Ukinite pristup zaposlenom ili saradniku čim mu prestane poslovna potreba.
-
Povremeno proverite ko ima administratorske privilegije.
-
Ne koristite zajednički nalog za više ljudi, osim kada postoji strogo kontrolisan poslovni razlog.
MFA ne rešava svaki rizik, ali dramatično smanjuje štetu od ukradene lozinke. Čak i ako napadač zna lozinku, treba mu dodatni dokaz identiteta. Gde je moguće, prednost treba dati aplikaciji za autentifikaciju, security key (bezbednosnom ključu) ili drugim otpornijim metodama u odnosu na običan SMS.
Business Email Compromise: kada napadač glumi direktora ili dobavljača
Business Email Compromise – BEC (kompromitovanje poslovnog email-a) jedan je od najskupljih oblika prevare, jer cilj nije samo krađa naloga, već novca.
Tipičan scenario izgleda ovako: računovodstvo dobije poruku od „direktora“ da hitno plati određenu fakturu. Ili dobije poruku od „dobavljača“ da je promenjen broj računa za uplatu. Poruka može doći sa kompromitovanog stvarnog naloga, pa izgleda potpuno legitimno.
Nekada napadač nedeljama prati komunikaciju. Zna kada firma obično plaća dobavljača, ko odobrava troškove, kakav stil pisanja koristi direktor i koji projekat je u toku. Zatim se umeša u pravi razgovor u trenutku kada jedna poruka može doneti novac.
Ovo nije tehnički problem koji rešava samo antivirus. To je procesni problem.
Pravila koja sprečavaju BEC prevaru
-
Promena bankovnih podataka dobavljača nikada se ne prihvata samo email-om.
-
Uplate iznad definisanog iznosa zahtevaju potvrdu dve osobe.
-
Zaposleni koji izvršava uplatu ne bi trebalo sam da inicira i odobrava istu transakciju.
-
Hitnost nije razlog da se preskoči procedura.
-
Poziv se obavlja na broj telefona koji je ranije potvrđen, ne na broj iz sumnjive poruke.
-
Finansijski tim mora znati da direktor nikada ne traži tajne uplate preko poruke bez standardne procedure.
Najvažnija rečenica koju firma treba da normalizuje je: „Razumem da je hitno, ali proverićemo.“ To nije neposlušnost. To je zaštita firme.
Ransomware: blokada podataka i ucena
Ransomware (ransomver) je zlonamerni softver koji šifruje fajlove ili blokira pristup sistemu, a zatim traži otkupninu. Savremeni napadi često ne staju na šifrovanju. Napadači prvo ukradu podatke, pa zatim prete da će ih objaviti ako firma ne plati.
To se naziva double extortion (dvostruka ucena): firma gubi pristup svojim podacima, a istovremeno rizikuje curenje podataka o klijentima, zaposlenima, ugovorima i finansijama.
Ransomware može ući kroz phishing prilog, ukradeni VPN ili Remote Desktop pristup, neažuriran sistem, loše zaštićen cloud nalog ili kompromitovanog dobavljača.
Najgora situacija je kada firma shvati da ima backup tek kada proba da ga vrati – i otkrije da je backup zastareo, nepotpun, dostupan napadaču ili nikada nije testiran.
CISA upozorava da organizacije pogođene ransomware-om često nemaju backup ili imaju nepotpune i oštećene kopije, zbog čega preporučuje redovno pravljenje i testiranje rezervnih kopija.
Backup nije fajl, već sposobnost oporavka
Praktično pravilo je 3-2-1:
-
Čuvajte najmanje tri kopije važnih podataka.
-
Koristite najmanje dva različita medija ili sistema čuvanja.
-
Najmanje jedna kopija mora biti van primarne lokacije i zaštićena od napada na glavnu mrežu.
ITNetwork u tekstu o bezbednosti podataka u oblaku preporučuje 3-2-1 pristup, uz kombinovanje rezervnih kopija, upravljanja identitetom, politike lozinki i MFA zaštite.
Ali postoji još važniji dodatak: backup mora da se testira. Firma treba povremeno da proba vraćanje podataka i sistema, makar na ograničenom uzorku. Ako ne znate koliko traje oporavak i da li su podaci upotrebljivi, nemate plan oporavka – imate nadu.
Zastareo softver: otvorena vrata koja niko nije zaključao
Mnoge firme odlažu ažuriranja jer se plaše da će „nešto prestati da radi“. To je razumljiv strah, naročito ako je firma zavisna od starog računovodstvenog programa, posebnog uređaja ili softvera koji održava spoljni dobavljač.
Međutim, neažuriran softver je često pozivnica za napad. Kada proizvođač objavi bezbednosnu zakrpu, napadači dobijaju signal da postoji poznat propust. Ako firma ne ažurira sistem, napadač možda ne mora ni da traži novu slabost – dovoljno je da iskoristi već poznatu.
Verizonov DBIR 2025 navodi da je iskorišćavanje ranjivosti poraslo za 34 odsto i da predstavlja 20 odsto vodećih početnih vektora napada.
Minimum održavanja
-
Uključite automatska ažuriranja tamo gde je bezbedno i moguće.
-
Vodite evidenciju računara, telefona, rutera, servera i poslovnih aplikacija.
-
Uklonite softver koji se više ne koristi.
-
Ne koristite operativne sisteme i aplikacije koje više nemaju bezbednosnu podršku, osim uz ozbiljne kompenzacione mere.
-
Posebno pratite internet dostupne servise, VPN, email, cloud administraciju i remote access.
-
Za kritične sisteme testirajte zakrpe pre širokog uvođenja, ali ih ne odlažite bez razloga.
„Ne menjaj ako radi“ u sajber bezbednosti često znači „čekaj da napadač prvi promeni stvari umesto tebe“.
Malware, lažni softver i opasni dodaci
Malware (zlonamerni softver) obuhvata različite vrste programa koji kradu podatke, prate aktivnosti, otvaraju pristup napadaču, prikazuju reklame, uništavaju fajlove ili instaliraju ransomware.
Mala firma može biti kompromitovana i kada zaposleni:
-
Preuzme „besplatnu“ verziju plaćenog softvera.
-
Instalira neprovereni browser extension (dodatak za pregledač).
-
Klikne na lažni update za browser, PDF čitač ili antivirus.
-
Preuzme lažnu VPN aplikaciju.
-
Otvori dokument koji traži uključivanje makroa.
-
Koristi privatni, neažurirani uređaj za poslovne podatke.
ITNetwork je ranije upozorio na lažne VPN aplikacije koje mogu navesti korisnike da preuzmu malware, što pokazuje da ni alat koji izgleda kao bezbednosno rešenje nije automatski bezbedan.
Kako smanjiti rizik
-
Instaliranje softvera neka bude ograničeno na ovlašćene osobe.
-
Koristite standardne korisničke naloge za svakodnevni rad, ne administratorske naloge.
-
Nabavljajte softver samo sa zvaničnih izvora.
-
Onemogućite makroe iz neproverenih dokumenata.
-
Koristite zaštitu krajnjih uređaja, odnosno Endpoint Protection (zaštitu uređaja).
-
Uvedite osnovnu evidenciju uređaja i odobrenih aplikacija.
-
Redovno proveravajte browser dodatke, posebno na računarima finansija i administracije.
Cloud nalog nije automatski zaštićen
Mnoge firme su prešle na Microsoft 365, Google Workspace, Dropbox, OneDrive, Slack, CRM i druge cloud servise uz pretpostavku da je „sve sada bezbedno jer je u oblaku“.
Cloud provajder obično štiti infrastrukturu. Ali firma ostaje odgovorna za svoje korisnike, lozinke, pristupe, deljene foldere, podešavanja i sadržaj. To se zove shared responsibility model (model podeljene odgovornosti).
Ako je folder podešen na „svako ko ima link može da pristupi“, ako bivši zaposleni ima aktivan nalog, ako administrator nema MFA ili ako je poslovni dokument prosleđen na privatnu adresu, problem nije „u oblaku“. Problem je u upravljanju pristupom.
Najvažnije cloud provere
-
Ko ima administratorski pristup?
-
Da li je MFA obavezan za sve korisnike?
-
Da li bivši zaposleni i saradnici imaju ugašene naloge?
-
Koji folderi su javno dostupni preko linka?
-
Da li se deljenje sa privatnim email adresama kontroliše?
-
Da li postoje logovi prijava i neobičnih aktivnosti?
-
Da li su važni podaci bekapovani nezavisno od provajdera?
-
Da li se pristup daje prema ulozi, a ne prema ličnom dogovoru?
Pravilo least privilege (najmanje potrebnih privilegija) znači da svaka osoba treba da ima samo onaj pristup koji joj je potreban za posao – i ništa više. Prodaja ne mora imati pristup platama. Praktikant ne mora imati pristup kompletnom CRM-u. Spoljni saradnik ne mora ostati administrator zauvek.
DDoS i prekid dostupnosti
Distributed Denial of Service – DDoS (distribuirani napad uskraćivanjem usluge) pokušava da zatrpa sajt, aplikaciju ili mrežu velikim brojem zahteva, kako bi legitimnim korisnicima postala nedostupna.
Za malu firmu to može značiti da online prodavnica ne radi tokom kampanje, da korisnici ne mogu da rezervišu termin, da sajt ne prikazuje ponudu ili da partneri ne mogu da pristupe servisu.
DDoS nije uvek najčešći napad na malu firmu, ali posledice mogu biti ozbiljne ako se poslovanje oslanja na jedan sajt, aplikaciju ili online servis.
Osnovna zaštita uključuje:
-
Pouzdan hosting ili cloud infrastrukturu.
-
CDN i DDoS zaštitu tamo gde je relevantno.
-
Monitoring dostupnosti sajta i aplikacije.
-
Plan komunikacije ako servis padne.
-
Kontakt osobu kod hosting provajdera.
-
Redovne provere DNS, domena i naloga kod provajdera.
Dostupnost je deo bezbednosti. Nije dovoljno da podaci nisu ukradeni ako korisnici ne mogu da dođu do proizvoda ili usluge.
Napadi preko dobavljača i partnera
Mala firma može imati solidnu zaštitu, a da ipak bude ugrožena preko računovođe, marketinške agencije, IT podrške, web developera, SaaS provajdera ili drugog partnera koji ima pristup podacima i sistemima.
Verizonov DBIR 2025 navodi da se udeo incidenata sa uključenom trećom stranom udvostručio na 30 odsto. To ne znači da treba prestati sa korišćenjem partnera. Znači da pristup partnera mora biti ograničen, evidentiran i redovno preispitivan.
Pre nego što nekome date pristup, postavite pitanja:
-
Koji pristup mu je zaista potreban?
-
Da li koristi sopstveni nalog ili zajednički nalog?
-
Da li koristi MFA?
-
Koliko dugo pristup treba da traje?
-
Da li postoji ugovor ili obaveza čuvanja poverljivosti?
-
Šta se dešava kada saradnja prestane?
-
Da li partner obaveštava firmu ako dođe do incidenta?
Ne morate svakom partneru dati „admin“ pristup zato što je to najbrže. Brzo nije isto što i bezbedno.
AI čini prevare ubedljivijim
AI nije samo alat odbrane. Napadači ga koriste za bolje napisane phishing poruke, prevode bez očiglednih grešaka, personalizovane prevare, generisanje lažnih dokumenata, istraživanje ciljeva i ponekad za imitaciju glasa.
Zato će stara pravila poput „prevara se prepoznaje po lošem pravopisu“ postajati sve manje korisna. Danas prevara može biti gramatički savršena, vizuelno dobro urađena i poslata u pravom trenutku.
ITNetwork je u tekstu o novoj eri sajber kriminala opisao kako AI pojačava kapacitet napadača da automatizuju i personalizuju napade, zbog čega firme moraju više pažnje posvetiti procesima provere i zaštiti identiteta.
Najbolja odbrana od AI-generisane prevare nije pokušaj da pogodite da li je tekst napisao čovek ili alat. Odbrana je procedura: nijedna osetljiva radnja ne izvršava se samo na osnovu jedne poruke, bez nezavisne potvrde.
Plan zaštite za prvih 30 dana
Mala firma ne mora odmah da kupi skupe sisteme. Ali mora da prestane da odlaže osnovne mere.
Prva nedelja: zaštitite identitete
-
Uključite MFA za poslovni email, cloud, CRM, finansijske alate i administratore.
-
Ukinite zajedničke naloge gde god je moguće.
-
Popišite sve aktivne korisnike i ugasite pristup bivšim zaposlenima i saradnicima.
-
Uvedite password manager i jedinstvene lozinke.
-
Proverite ko ima administratorska prava.
Druga nedelja: zaštitite podatke i uređaje
-
Napravite evidenciju najvažnijih podataka: klijenti, fakture, ugovori, finansije, projekti.
-
Uvedite backup prema 3-2-1 principu.
-
Testirajte vraćanje makar jednog važnog foldera ili sistema.
-
Ažurirajte operativne sisteme, browser-e, rutere i poslovne aplikacije.
-
Uklonite nepotreban i nepodržan softver.
Treća nedelja: zaštitite procese
-
Napišite pravilo za potvrdu promena bankovnih računa i velikih uplata.
-
Uvedite obavezno dvostruko odobrenje za rizične finansijske radnje.
-
Definišite ko sme da instalira aplikacije.
-
Napišite kratku proceduru za prijavu sumnjivog email-a.
-
Proverite cloud foldere koji su javno deljeni preko linka.
Četvrta nedelja: obučite ljude i testirajte reakciju
-
Organizujte kratku obuku o phishing-u i BEC prevarama.
-
Pošaljite simulirani phishing test uz prethodno objašnjena pravila, ne kao javno ponižavanje zaposlenih.
-
Napišite plan incident response-a (odgovora na incident): koga zvati, ko donosi odluke, koje naloge blokirati i kako komunicirati sa klijentima.
-
Sačuvajte kontakt spoljne IT podrške, pravnika i relevantnih institucija.
-
Dogovorite redovan mesečni pregled bezbednosti.
CISA za mala i srednja preduzeća preporučuje kombinaciju izbegavanja phishing-a, jakih lozinki, MFA, ažuriranja softvera, logovanja, backup-a i šifrovanja podataka kao osnovu sajber odbrane.
Šta uraditi ako sumnjate na napad
Paničenje je razumljivo, ali kašnjenje i skrivanje incidenta obično povećavaju štetu.
Ako sumnjate da je nalog kompromitovan ili da je uređaj zaražen:
-
Odmah prekinite sumnjivu radnju i sačuvajte poruku, link, prilog i screenshotove.
-
Isključite kompromitovani uređaj sa mreže – odvojite Wi-Fi ili mrežni kabl – ali ne brišite tragove i ne pokušavajte nasumično „čišćenje“.
-
Obavestite vlasnika firme, IT podršku ili osobu zaduženu za incident response.
-
Promenite lozinke sa drugog, pouzdanog uređaja, posebno za email i administratorske naloge.
-
Proverite MFA uređaje, aktivne sesije, pravila automatskog prosleđivanja email-a i novokreirane korisnike.
-
Ako postoji finansijska prevara, odmah kontaktirajte banku i pokušajte da zaustavite ili opozovete transakciju.
-
Ako su potencijalno ugroženi lični podaci, uključite pravni tim ili stručnjaka za zaštitu podataka kako biste procenili obaveze obaveštavanja.
-
Dokumentujte tok incidenta: vreme, uređaji, nalozi, poruke i preduzete mere.
Ne plaćajte otkupninu automatski. Plaćanje ne garantuje povrat podataka, ne garantuje da podaci nisu ukradeni i može podstaći dalju ucenu. Odluke kod ozbiljnog ransomware incidenta treba donositi uz stručnu IT, pravnu i poslovnu procenu.
Bezbednost je poslovni proces, ne antivirus
Antivirus je koristan. Firewall je koristan. MFA je koristan. Backup je neophodan. Ali nijedna pojedinačna tehnologija ne rešava problem ako firma nema jasna pravila i ljude koji ih razumeju.
Najveća promena za malu firmu nije kupovina još jednog alata. To je promena stava:
-
Nije nepristojno proveriti hitan zahtev direktora.
-
Nije gubljenje vremena testirati backup.
-
Nije paranoja tražiti MFA.
-
Nije komplikovanje posla ugasiti pristup bivšem saradniku.
-
Nije slabost prijaviti sumnjiv email.
-
Nije „IT problem“ ako se preko email-a odobrava uplata ili čuvaju podaci klijenata.
Sajber bezbednost je danas deo finansijske discipline, odnosa prema klijentima i kontinuiteta poslovanja. Firma koja se oporavi od napada nije ona koja ima najskuplji softver, već ona koja je pre napada znala šta štiti, ko ima pristup, gde su joj kopije podataka i ko reaguje kada nešto krene po zlu.
Za dodatno čitanje na ITNetwork-u pogledajte tekstove o sajber pretnjama za firme u Srbiji, AI-ju i sajber kriminalu, sigurnom skladištenju podataka u oblaku i ulozi ljudi u sajber odbrani.



