Zamislite ovo: sedite u kancelariji, popijete kafu, otvorite mejl koji izgleda kao obaveštenje od Pošte ili vaše banke. Kliknete na link, unesete lozinku koju koristite već pet godina (nešto kao „novisad123“ ili „sifra123“) i vratite se poslu. Za 48 sati cela firma od 100 zaposlenih je paralizovana – podaci su ukradeni, ransomware je zaključao servere, a klijenti beže jer su njihovi podaci na dark webu. Niste vi krivi? Jeste. Vi ste najslabija karika. Ne neki ruski haker u podrumu, ne sofisticirani APT napad vredan miliona dolara – već običan klik i loša lozinka.
Ovo nije scenario iz holivudskog filma. Ovo se dešava svake nedelje u Srbiji i regionu. Prema podacima iz 2025. i početka 2026. godine, phishing (lažni mejlovi) i slaba higijena lozinki su i dalje najveći uzrok incidenata u domaćim firmama – daleko ispred bilo kakvog „naprednog“ hakerskog napada. ITNetwork.rs ne piše ovaj tekst da vas uplaši praznim rečima. Pišemo jer smo videli dovoljno slučajeva gde je jedna greška zaposlenog koštala kompaniju stotine hiljada evra, izgubljenih klijenata i reputacije koja se godinama ne vraća. Hajde da razgovaramo otvoreno i oštro, bez ulepšavanja: zašto su „security awareness“ obuke dosadne i neefikasne, zašto vaša lozinka „novisad123“ i dalje radi u 2026. godini i šta će se desiti ako ne promenite navike.
Phishing je i dalje kralj napada – a vi ste mu omiljena meta
Prema izveštajima iz 2025. i 2026. godine (Cofense, Verizon DBIR, Check Point Research), phishing je i dalje najčešći ulazni vektor za 96% napada putem mejla. U Srbiji i regionu situacija je još gora: lokalne firme su meta svakodnevnih kampanja koje koriste lažne poruke od „Pošte“, „banke“ ili „dobavljača“. Jedan mali proizvođač iz Novog Sada izgubio je 2025. godine ceo ERP sistem jer je računovodja kliknula na „ažuriranje fakture“. Ransomware je zaključao podatke, a otkup je bio 80.000 evra plus izgubljeni poslovi. Sličan slučaj se desio u jednoj beogradskoj IT firmi gde je admin kliknuo na „hitno ažuriranje“ i pustio credential stuffing napad koji je kompromitovao ceo Active Directory.
AI je ovo samo pogoršao. Phishing kampanje su porasle za 204% u 2025. godini, a zlonamerni mejl se sada pojavljuje svakih 19 sekundi. Napadači koriste generativni AI da prave personalizovane poruke koje izgledaju kao da dolaze od vašeg direktora ili klijenta. „Hej, proveri ovaj dokument“ sa vašim imenom i logom firme – ko ne bi kliknuo? A vi, sa lozinkom „novisad123“ koju koristite i na privatnom mejlu, ste idealna meta.
Zašto su obuke za bezbednost dosadne i potpuno neefikasne
Svaka firma u Srbiji danas ima neku vrstu „security awareness“ treninga. Godišnji PowerPoint sa 50 slajdova, obavezno kliktanje „Slažem se“ i test sa pitanjima tipa „Šta je phishing?“. Rezultat? Prema studijama iz 2025. godine (University of Chicago, Harvard), takve obuke nemaju gotovo nikakav uticaj na stvarno ponašanje. Ljudi znaju šta je phishing, ali ipak kliknu – jer je trening dosadan, generičan i ne menja navike.
Problem je u pristupu: umesto da uči ljude da razmišljaju kao napadači, obuka ih tretira kao glupe učenike koji moraju da zapamte pravila. Zaposleni koji rade pod pritiskom, sa 50 mejlova dnevno, neće pročitati „nikad ne klikni na link“. Oni će kliknuti jer je lakše. Zato 8% zaposlenih uzrokuje 80% incidenata – oni koji su najmanje motivisani ili najviše preopterećeni.
Lozinka „novisad123“ – vaš lični ključ za katastrofu
Koliko puta ste videli lozinku „firm123“, „beograd2025“ ili „sifra123“? Prema podacima iz 2025. godine, preko 60% firmi u Srbiji i dalje koristi slabe lozinke koje se lako pogađaju ili ponavljaju. Credential stuffing napadi (gde napadači koriste ukradene lozinke sa drugih sajtova) su eksplodirali jer ljudi koriste istu lozinku na poslu, privatno i na Fejsbuku.
Primer iz prakse: mala softverska firma iz Niša 2025. godine je izgubila ceo kod repo jer je developer koristio istu lozinku na GitHub-u i privatnom mejlu. Napadač je ušao za 15 minuta. Nije bilo sofisticiranog hakovanja – samo ukradena lozinka i klik na phishing mejl. To je realnost: vi niste meta zato što ste važni, već zato što ste lakši od drugih.
Budućnost 2026–2030.: AI deepfake phishing i „ljudski faktor 2.0“
Do 2027. godine AI će učiniti phishing još ličnijim. Zamislite mejl od vašeg direktora koji zvuči i izgleda identično njemu – glas, lice, stil pisanja. Deepfake video poziv gde „šef“ traži da pošaljete fajl. Studije iz 2026. godine već pokazuju porast takvih napada za preko 200%. U Srbiji, gde je digitalizacija brza, ali svest o bezbednosti zaostaje, ovo će biti katastrofa za male i srednje firme.
Bez promene, 2030. godine većina incidenata će i dalje biti uzrokovana ljudskom greškom – samo što će greška biti lakša za napadače. Ako ne promenimo pristup, „vi ste najslabija karika“ neće biti fraza, već svakodnevna realnost.
Šta zaista radi – praktična rešenja koja nisu dosadna
Obuke moraju da budu kratke, relevantne i bazirane na realnim scenarijima iz vaše firme. Umesto PowerPointa – simulacije phishinga sa nagradama za one koji ih prepoznaju. Lozinke? Password manager + MFA (višefaktorska autentifikacija) po defaultu. Zero Trust pristup – nikad ne veruj, uvek proveravaj.
Za firme od 100 zaposlenih: počnite sa malim – mesečni „phishing petak“ sa realnim mejlovima, nagrade za najbolje i kazne samo za one koji ponavljaju greške. To radi bolje od godišnjih predavanja.
Vi ste najslabija karika – ali možete da postanete najjača
Vaša lozinka „novisad123“ i klik na sumnjivi mejl nisu samo greška. To je ulazna kapija za napadača koji može da uništi firmu za koju ste godinama radili. IT industrija i država rade na tehnologiji, ali pravi problem ste vi – običan zaposleni koji misli da se „to neće desiti meni“.
Podelite ovaj tekst ako ste ikada kliknuli na sumnjivi link ili koristili istu lozinku na više mesta. Razgovarajte sa kolegama i šefom. Jer ako ne promenimo navike sada, 2027. godine neće biti „samo“ jedan mejl – biće prekasno.
