Svakodnevno svjedočimo vijestima o cyber kriminalcima koji ucjenjuju, otimaju podatke i kradu novac, dok su njihove žrtve često nedovoljno educirane ili potpuno nespremne da im se suprotstave. Jednako kao što još uvijek ima naivnih građana, tako postoje i tvrtke u kojima vlasnici i uprave i dalje nevoljko odvajaju novac za sigurnost.
Hrvatska je na vrijeme usvojila Zakon o kibernetičkoj sigurnosti, još prošle godine, a od tada se tvrtke i organizacije postupno usklađuju s njegovim odredbama. Zakon propisuje alate i obveze koje tvrtke moraju implementirati, a koji će svakako pridonijeti boljoj zaštiti. Ipak, iako svijest o potrebi zaštite raste, još uvijek postoje oni koji misle “neće baš mene”. Takav stav mogao bi biti iznimno skup, pa čak i ugroziti opstanak poslovnog subjekta, ističe Marko Gulan, savjetnik za kibernetičku sigurnosti i upravljanje kibernetičkim krizama te ujedno predsjednik Odbora za industrijsku i OT sigurnost Hrvatske udruge menadžera sigurnosti.
Kako upozorava Gulan, nitko ne bi smio računati na sreću kada je riječ o cyber prijetnjama.
Porazna statistika
“Naime, statistika kaže da su cyber napadi na EU tržištu od 2020. do 2023. godine dramatično porasli, s 1,2 milijuna incidenata u 2020. na 2,1 milijun napada u 2023. Procjenjuje se da su financijske posljedice ovog rasta proporcionalno eskalirale, s 5,5 milijardi eura u 2020. na čak 9,7 milijardi eura u 2023. godini.
Sličan trend vidljiv je i u Hrvatskoj, kojoj broj prijavljenih kaznenih djela raste zabrinjavajućom dinamikom. U 2024. godini zabilježeno je 2167 prijavljenih cyber kaznenih djela, što predstavlja rast od 21,7 posto u odnosu na 2023., kada je zabilježen 1781. No još je alarmantniji rast financijske štete – s 11,1 milijun eura u 2023. na čak 17 milijuna eura u 2024., što je povećanje od 52,5 posto”, suočio nas je s najnovijim podacima MUP-a, Marko Gulan, koji dodaje kako se radi se o enormnim štetama i drastičnom povećanju izgubljenog novca.
“Pri tome treba uzeti u obzir da su to isključivo podaci prijavljenih slučajeva. Stručnjaci procjenjuju da je stvarna šteta minimalno deset puta veća, budući da mnoge tvrtke, zbog reputacijskih rizika i straha od regulatornih posljedica, ne prijavljuju incidente ili ih interno saniraju bez službenih evidencija”, objašnjava Gulan.
Čak i ako se vodimo samo prijavljenim slučajevima, trend rasta cyber prijetnji neupitan je. “Zbog toga neprestano treba naglašavati neodgodivu potrebu za strateškim pristupom kibernetičkoj otpornosti, s posebnim naglaskom na proaktivnu prevenciju i osiguranje financijske zaštite organizacija”, kaže Gulan.
Predviđanja za nadolazeće godine također nikako ne ulijevaju optimizam kada je riječ o kibernetičkoj sigurnosti. “Statista predviđa kako će globalni godišnji trošak kibernetičkog kriminala do 2028. dosegnuti 13,8 bilijuna dolara, dok se veličina europskog tržišta kibersigurnosti procjenjuje na 63,12 milijardi dolara u 2025. godini. Ovi podaci jasno pokazuju da cyber prijetnje postaju sve veći izazov, ne samo u tehnološkom već i u financijskom kontekstu”, kazao nam je Gulan.
Jasno da cyber kriminal nije izoliran problem pojedinaca ili pojedinačnih tvrtki, napadači ciljaju sve, a metode postaju sve sofisticiranije. “Dvije danas najčešće prijetnje su Business Email Compromise (BEC), kada kriminalci manipulacijom e-mail komunikacije navode zaposlenike da izvrše financijske transakcije na lažne račune, te ransomware, koji je u posljednje vrijeme evoluirao iz klasičnog modela enkripcije podataka u sofisticiranije metode iznude. Sve je češća praksa da napadači ne zaključavaju podatke, već ih potajno kradu i prijete njihovom objavom ako otkupnina ne bude plaćena. Ova metoda stavlja tvrtke pod dodatni pritisak jer rizik više nije samo gubitak podataka nego i potencijalna šteta zbog curenja povjerljivih informacija i regulatornih posljedica”, pojašnjava Gulan i ističe: “Ransomware se etablirao kao jedan od najdestruktivnijih oblika cyber napada s ozbiljnim financijskim posljedicama.”
“Kada se tvrtka suoči s takvim napadom, ključno je odgovoriti na pitanje: platiti ili ne platiti otkupninu?” Naime, menadžeri se tada nalaze pred kritičnom odlukom – platiti otkupninu kako bi pokušali vratiti pristup podacima ili preuzeti rizik daljnjih poslovnih gubitaka. “Financijska realnost pokazuje da plaćanje otkupnine ne rješava problem, već dugoročno generira dodatne troškove, povećava izloženost novim napadima i ugrožava održivost poslovanja.”
Štiti jedino ulaganje u prevenciju
Plaćanje otkupnine, kako naglašava Gulan, nije jednokratni trošak, već financijska zamka s dalekosežnim posljedicama. “Prosječan iznos otkupnine u ransomware napadima premašuje 1,5 milijuna eura, no čak i nakon uplate 46 posto tvrtki ne uspijeva vratiti potpuni pristup svojim podacima. Osim samog iznosa otkupnine, poduzeća se suočavaju s nizom dodatnih financijskih udara – od forenzičkih istraga i pravnih troškova do regulatornih kazni i gubitaka uzrokovanih zastojem poslovanja. Kumulativno, tijekom nekoliko godina, posljedice jednog velikog kibernetičkog napada mogu dosegnuti čak i godišnji prihod tvrtke, što ga čini jednim od najvećih strateških financijskih rizika u modernom poslovanju.” Osim toga, plaćanje otkupnine ne uklanja prijetnju – naprotiv, tvrtke koje plate često postaju mete ponovnih napada jer ih kriminalne skupine smatraju sigurnim izvorom prihoda. “Dodatni izazov predstavlja i regulatorni aspekt. U određenim slučajevima, plaćanjem otkupnine tvrtka može nehotice preu
U kibernetičkoj sigurnosti najskuplji je rizik nečinjenje. Svaka odgoda implementacije sigurnosnih mjera povećava financijsku izloženost
Zbog rastućih prijetnji industrija cyber osiguranja doživljava veliku ekspanziju, tvrdi Gulan. “Cyber osiguranje omogućuje tvrtkama da ublaže financijske rizike kibernetičkih napada. Premije rastu proporcionalno s učestalošću i složenošću napada, ali u konačnici osiguranje donosi stabilnost i predvidivost financijskog poslovanja u slučaju incidenta. U nekim slučajevima cyber osiguranje može pokriti troškove forenzičke analize, pravne podrške i sanacije sustava, što ga čini važnim dijelom modernog upravljanja rizicima.”
Na pitanje što je najbolje učiniti, Gulan odgovara: “Najbolja strategija protiv financijskih posljedica ransomware napada nije plaćanje otkupnine, već ulaganje u prevenciju i osiguranje. Izrada sigurnosnih kopija podataka, segmentacija mreže, edukacija zaposlenika i implementacija proaktivnih sigurnosnih mjera mogu znatno smanjiti rizik od napada i osigurati kontinuitet poslovanja čak i u slučaju kompromitacije sustava. No kako nijedan sigurnosni sustav nije stopostotno neprobojan, cyber osiguranje postaje ključan alat u zaštiti tvrtki od nepredvidivih financijskih udara.” Dugoročno gledano, strateška ulaganja u prevenciju i sigurnost nisu trošak, već nužna zaštita poslovne održivosti. “U kibernetičkoj sigurnosti najskuplji rizik je nečinjenje. Svaka odgoda implementacije sigurnosnih mjera povećava financijsku izloženost, narušava tržišnu poziciju i može rezultirati nepopravljivim reputacijskim gubicima. U digitalnoj ekonomiji sigurnost nije opcija, već imperativ za dugoročnu konkurentsku prednost i povjerenje dionika”, zaključuje Gulan.
Kibernetički napad više nije hipotetski scenarij, već realna prijetnja za svaku tvrtku. Brzina reakcije i kvaliteta pripreme ključni su za minimiziranje financijskih i reputacijskih gubitaka, a kontinuirane simulacije, edukacija zaposlenika i primjena najboljih sigurnosnih praksi ostaju najbolja obrana od eskalirajućih cyber prijetnji. kršiti zakone o financiranju kriminala, što može rezultirati dodatnim kaznama i pravnim komplikacijama. Također, s obzirom na to da većina napadača zahtijeva plaćanje u kriptovalutama, postavlja se i pitanje regulatorne usklađenosti, budući da europski zakoni postaju sve stroži kada je riječ o financijskim transakcijama ovakve vrste.”
Ransomware napadi ostavljaju i dugoročne posljedice na financijsku stabilnost kompanija. “Vrijednost dionica pogođenih tvrtki u prosjeku pada između 5 i 10 posto, a u težim slučajevima i do 20 posto. Investitori i poslovni partneri preispituju sigurnosne kapacitete tvrtke, što može otežati buduće financiranje, ulaganja i rast. Istovremeno, osiguravajuće kuće sve više prepoznaju važnost cyber osiguranja kao ključnog alata zaštite od ovakvih financijskih udara.