Raptoric Journal/Sigurnosni program i rizik
Sigurnosni program i rizik8. lipnja 2026. · 11 min čitanja

Kibernetička sigurnost za regulirane tvrtke: odakle krenuti

Velik popis alata i obveza brzo paralizira. Sigurnost ne počinje kupnjom, nego razumijevanjem onoga što štitite. Evo prvih koraka koji zaista smanjuju rizik.
Autor
R
Raptoric, program i rizik
Podijelite
LinkedInX / TwitterCopy link

Krenite od činjenice. Niste sigurni dok ne znate gdje su vaše slabosti i tko ih može iskoristiti. Regulirane tvrtke u financijama, zdravstvu, tehnologiji, infrastrukturi i javnom sektoru imaju dvije obveze koje se preklapaju. Prva je zaštita podataka i sustava od stvarnih napada. Druga je dokazivanje regulatoru da ste tu zaštitu uspostavili. Mnoge tvrtke krenu od druge obveze, popune obrasce i čekaju reviziju. To je pogrešan redoslijed. Sigurnost gradite zato što vas netko stvarno napada, a usklađenost je posljedica dobre sigurnosti, ne njezina zamjena.

Mi u Raptoricu otkrivamo sigurnosne propuste prije napadača i pomažemo reguliranim tvrtkama da te propuste zatvore na način koji izdrži i tehnički napad i regulatornu provjeru. Ovaj tekst objašnjava odakle konkretno krenuti, koje korake poduzeti i kojim redoslijedom. Pisan je za tehničke voditelje i upravu koja mora donijeti odluke, rasporediti proračun i odgovarati za rezultat. Cilj nije da postanete stručnjak za svaki standard, nego da znate postaviti prava pitanja i prepoznati dobar posao od lošeg.

Što kibernetička sigurnost zapravo znači za reguliranu tvrtku

Kibernetička sigurnost je skup mjera kojima štitite povjerljivost, cjelovitost i dostupnost podataka i sustava. Za reguliranu tvrtku tome se dodaje treći sloj, dokazivost. Morate pokazati da mjera postoji, da radi i da je netko odgovoran za nju. Informacijska sigurnost je širi pojam koji uključuje i papirnate procese, ljude i fizički pristup, ne samo tehnologiju. Razlika je važna jer regulatori ne ocjenjuju samo vaše vatrozide, nego cijeli sustav upravljanja informacijskom sigurnošću.

U praksi se sve svodi na rizik. Ne možete zaštititi sve jednako jako, pa odlučujete gdje stoji najveća šteta i tamo ulažete prvo. Regulirana tvrtka rizik mora i mjeriti i dokumentirati. Kada se to radi ozbiljno, sigurnost prestaje biti trošak i postaje način na koji donosite poslovne odluke. Kada se radi formalno, dobijete registar rizika koji nitko ne čita i koji ne mijenja ništa.

Tri stupa na kojima sve počiva

Svaki ozbiljan sigurnosni program stoji na tri noge. Ako jedna nedostaje, cijeli program se ruši pod prvim pravim pritiskom. Mnoge tvrtke ulože u jednu nogu, obično u tehnologiju, i čude se zašto i dalje imaju incidente.

  • Ljudi nose najveći dio rizika jer napadači najčešće ulaze kroz phishing, ukradene lozinke i pogreške u konfiguraciji koje napravi umoran administrator pod pritiskom roka.
  • Procesi određuju što se događa kada nešto pođe po zlu, tko se obavještava, kako se incident dokumentira i kako se sustav vraća u rad, a bez njih i najbolji alat ostaje neiskorišten.
  • Tehnologija obuhvaća vatrozide, sustave za otkrivanje prijetnji, enkripciju i upravljanje pristupom, ali ona je samo onoliko dobra koliko je dobro konfigurirana i nadzirana.
  • Upravljanje povezuje sve troje jer netko mora odlučivati o proračunu, prioritetima i prihvatljivom riziku, a ta odgovornost mora biti na razini uprave, ne skrivena u IT odjelu.

Prvi korak: znajte što imate i koliko vrijedi

Ne možete štititi ono što ne vidite. Prvi konkretan korak je popis imovine. Tu spadaju serveri, aplikacije, baze podataka, cloud računi, krajnje točke, mrežna oprema i podaci koje obrađujete. Većina tvrtki podcijeni koliko sustava zapravo ima, posebno onih koje je netko davno postavio i zaboravio. Upravo ti zaboravljeni sustavi najčešće postanu ulazna točka.

Uz popis ide klasifikacija. Nemaju svi podaci istu vrijednost. Zdravstveni karton, financijska transakcija i marketinški letak ne traže istu razinu zaštite. Kada znate što imate i koliko vrijedi, možete racionalno odlučiti gdje uložiti prvo. Ovaj korak zahtijeva vrijeme i discipliniran rad, ali bez njega je svaka kasnija odluka nagađanje. Procjena rizika koja se gradi na nepotpunom popisu imovine daje lažan osjećaj sigurnosti.

Drugi korak: procjena ranjivosti i penetracijsko testiranje

Nakon što znate što imate, morate doznati gdje je to slabo. Dvije metode rade taj posao i ljudi ih često brkaju. Procjena ranjivosti je široko, najčešće automatizirano skeniranje koje pronalazi poznate slabosti na velikom broju sustava. Penetracijsko testiranje je dublje i radi ga čovjek, koji pokušava stvarno iskoristiti slabosti i lančano ih povezati kao što bi to učinio napadač. Razliku detaljno objašnjavamo u tekstu o tome u čemu se razlikuju procjena ranjivosti i pentest.

Većini reguliranih tvrtki treba oboje. Procjena ranjivosti daje širinu i radi se često, idealno kontinuirano. Penetracijsko testiranje daje dubinu i radi se periodički te nakon većih promjena. Ako tek krećete, ne odlučujte se za jedno ili drugo, nego razumijte da rješavaju različite probleme. Više o tome kako izgleda ozbiljan pentest i što biste trebali dobiti pišemo u vodiču što je penetracijsko testiranje, a cijeli spektar ofenzivnih usluga pokrivamo na stranici ofenzivne sigurnosti.

Automatizirano skeniranje otkriva poznate ranjivosti pojedinačno. Penetracijski test utvrđuje kako se one povezuju u stvarni napadni put do vaših sustava i podataka.

Kako izgleda ozbiljno penetracijsko testiranje korak po korak

Dobar angažman ima jasan tijek. Ako vam netko ponudi pentest bez razgovora o opsegu i ciljevima, to je razlog za oprez. Evo kako mi radimo i kako bi to trebalo izgledati bez obzira na partnera.

  • Definiranje opsega i ciljeva, gdje zajedno odlučujemo što se testira, što je izvan granica i koje rizike smijemo iskoristiti bez prekida poslovanja.
  • Izviđanje i mapiranje, u kojem prikupljamo informacije o ciljnim sustavima i gradimo sliku površine napada onako kako je vidi vanjski napadač.
  • Otkrivanje i provjera ranjivosti, gdje pronalazimo slabosti i ručno potvrđujemo koje su stvarno iskoristive, a koje su lažni alarmi koje bi automatski alat prijavio.
  • Iskorištavanje i lateralno kretanje, u kojem pokazujemo dokle bi napadač stvarno došao i koje podatke ili sustave bi dosegnuo, uvijek unutar dogovorenih granica.
  • Izvještavanje i prioritizacija, gdje svaki nalaz dobiva ocjenu rizika, jasan opis i konkretne korake za popravak, poredane po važnosti, ne abecedno.
  • Ponovno testiranje nakon popravaka, kojim potvrđujemo da su propusti stvarno zatvoreni, a ne samo prijavljeni kao riješeni.

Što dobivate na kraju, izvještaj koji nešto mijenja

Vrijednost angažmana mjeri se onime što ostaje nakon njega. Loš izvještaj je izvoz iz skenera s tisuću redaka i bez konteksta. Dobar izvještaj radi razliku između nalaza koji vas može uništiti i nalaza koji je dosadan, ali bezopasan. Mora ga moći čitati i inženjer koji popravlja i član uprave koji odlučuje o proračunu.

  • Sažetak za upravu koji u nekoliko rečenica kaže koliko ste izloženi i što to znači za poslovanje, bez tehničkog žargona.
  • Tehnički nalazi s dokazom koncepta, gdje za svaku slabost pokazujemo kako se iskorištava i kakve su posljedice ako je netko iskoristi.
  • Ocjena rizika za svaki nalaz, poredana po prioritetu, tako da znate što popraviti danas, a što može pričekati sljedeći ciklus.
  • Konkretne preporuke za popravak koje vaš tim može slijediti, bez općenitih fraza tipa ojačajte sigurnost.
  • Mapiranje nalaza na regulatorne zahtjeve gdje je to relevantno, tako da isti rad koristite i za sigurnost i za dokazivanje usklađenosti.

Gdje sve to dotiče regulativu

Regulatorni okvir je razlog zašto regulirane tvrtke ne mogu odgađati ovaj posao. U Hrvatskoj i Europskoj uniji nekoliko propisa izravno traži ono o čemu govorimo. NIS2, odnosno Direktiva (EU) 2022/2555, proširuje obveze upravljanja rizicima kibernetičke sigurnosti na velik broj sektora i u hrvatsko zakonodavstvo je prenesena Zakonom o kibernetičkoj sigurnosti. Što to znači u praksi za obveznike objašnjavamo u tekstu o tome kako NIS2 i Zakon o kibernetičkoj sigurnosti mijenjaju obveze, a uslugu usklađivanja vodimo kroz NIS2 stranicu.

Financijske institucije imaju dodatni sloj. DORA, Uredba (EU) 2022/2554, na snazi je od siječnja 2025. i traži upravljanje rizicima informacijsko-komunikacijske tehnologije, testiranje otpornosti i nadzor nad vanjskim pružateljima usluga. Banke i druge subjekte pod nadzorom HNB-a i Hanfe to izravno obvezuje. Detalje za financijski sektor pokrivamo u tekstu o tome što DORA traži od financijskih institucija i na DORA stranici. Cijeli program upravljanja rizicima i usklađenosti vodimo kroz GRC uslugu.

Standardi su drugi alat. ISO/IEC 27001:2022 definira sustav upravljanja informacijskom sigurnošću i u zadnjoj verziji donosi 93 kontrole organizirane u četiri teme. Certifikat izdaje akreditirano certifikacijsko tijelo, ne savjetnik koji vas priprema. SOC 2 je izvještaj temeljen na Trust Services kriterijima i traže ga prije svega američki kupci. Put do ISO certifikata u domaćem kontekstu opisujemo u tekstu o tome kako do ISO 27001 u Hrvatskoj, a usluge vodimo na stranicama ISO 27001 i SOC 2.

Otkrivanje prijetnji i odgovor na incidente

Testiranje vam kaže gdje ste slabi u jednom trenutku. Otkrivanje prijetnji radi stalno, jer napadi se događaju i kada nitko ne gleda. Regulirana tvrtka mora znati prepoznati upad u razumnom roku i reagirati na njega. NIS2 i DORA oboje traže sposobnost prijave incidenata u kratkim rokovima, što je nemoguće ako uopće ne vidite što se događa u vašoj mreži.

Praktično, to znači prikupljanje i analizu zapisa, nadzor neobičnog ponašanja i unaprijed pripremljen plan odgovora. Plan koji prvi put pišete usred incidenta je beskoristan. Ovo područje pokrivamo kroz otkrivanje prijetnji i odgovor. Ne morate sve graditi interno odjednom, ali morate odlučiti tko gleda vaše sustave izvan radnog vremena, jer napadači rade i vikendom.

Sigurnost aplikacija i novih AI sustava

Većina ozbiljnih proboja danas ide kroz aplikacije, ne kroz mrežu. Ako razvijate vlastiti softver ili izlažete API-je, tu je vaša najveća površina napada. OWASP održava popise najčešćih ranjivosti web aplikacija i oni su dobra polazna točka, ali pravu sliku daje testiranje vašeg konkretnog koda i arhitekture. Sigurnost aplikacija pokrivamo kroz AppSec uslugu i ona bi trebala biti dio razvojnog ciklusa, ne provjera na samom kraju.

AI sustavi donose nove vrste rizika koje klasični alati ne hvataju. Prompt injection, curenje podataka kroz modele i manipulacija ulaznim podacima traže drukčiji način testiranja. Tko gradi proizvode na velikim jezičnim modelima mora to uzeti ozbiljno, a regulatorni okvir se zaoštrava kroz EU AI Act. O konkretnim napadima pišemo u tekstu o tome kako napadi prompt injection ugrožavaju AI sustave, uslugu vodimo na AI sigurnosnoj stranici, a regulatorni dio na stranici EU AI Act.

Kada i koliko često sve to raditi

Sigurnost nije projekt s krajem, nego ciklus. Učestalost ovisi o riziku i o tome koliko se brzo mijenjate. Tvrtka koja objavljuje novu verziju softvera svaki tjedan ne može testirati jednom godišnje i tvrditi da je sigurna.

  • Procjenu ranjivosti pokrećite kontinuirano ili barem mjesečno, jer nove slabosti se objavljuju svaki dan i prozor između objave i zakrpe je vrijeme u kojem ste izloženi.
  • Penetracijsko testiranje radite najmanje jednom godišnje, a uvijek i nakon većih promjena arhitekture, migracije u cloud ili lansiranja novog ključnog sustava.
  • Procjenu rizika i registar rizika revidirajte barem jednom godišnje i pri svakoj značajnoj promjeni poslovanja, jer zastarjela procjena vrijedi koliko i nikakva.
  • Plan odgovora na incidente vježbajte kroz simulacije najmanje jednom godišnje, jer plan koji nitko nije isprobao gotovo sigurno ne radi kako mislite.
  • Obuku zaposlenika ponavljajte redovito, jer ljudi zaboravljaju, a phishing kampanje postaju sve uvjerljivije.

Najčešće pogreške i znakovi upozorenja

Vidjeli smo iste greške dovoljno puta da ih možemo prepoznati unaprijed. Neke rade tvrtke, a neke loši dobavljači. Vrijedi znati i jedne i druge.

  • Kupnja alata bez ljudi koji ih znaju koristiti, jer skupa platforma za nadzor bez nekoga tko čita upozorenja je samo trošak koji stvara lažan osjećaj sigurnosti.
  • Tretiranje usklađenosti kao cilja umjesto posljedice, gdje tvrtka prođe reviziju na papiru, a stvarno je jednako ranjiva kao i prije.
  • Naručivanje pentesta koji je zapravo automatsko skeniranje preimenovano u izvještaj, što prepoznajete po niskoj cijeni, kratkom trajanju i nedostatku ručne provjere nalaza.
  • Odgađanje popravaka nakon testiranja, jer izvještaj pun kritičnih nalaza koji nitko ne rješava gori je od nepostojanja izvještaja kada dođe do incidenta.
  • Izbor partnera samo po cijeni, bez provjere metodologije i kvalitete izvještaja, o čemu detaljnije pišemo u vodiču kako odabrati partnera za pentest.
  • Zaboravljanje na vanjske pružatelje usluga, jer vaš rizik uključuje i njihove sustave, što NIS2 i DORA izričito naglašavaju.

Koliko sve to košta i kako rasporediti ulaganje

Trošak ovisi o veličini, složenosti i regulatornom opterećenju. Nećemo vam navoditi izmišljene brojke jer poštena procjena dolazi tek nakon razgovora o opsegu. Možemo vam reći kako razmišljati o raspodjeli. Krenite od onoga što vas može najviše koštati ako padne, ne od onoga što je najlakše kupiti.

Prvi novac ide u vidljivost, popis imovine i procjenu rizika, jer bez toga trošite naslijepo. Drugi val ide u zatvaranje najvećih rupa koje pronađe testiranje. Tek onda gradite kontinuirani nadzor i formalnu usklađenost. Tvrtke koje krenu obrnuto, od certifikata prema sigurnosti, najčešće potroše više i dobiju manje. Najskuplji trošak je uvijek incident koji ste mogli spriječiti, jer uz tehničku štetu dolaze i regulatorne kazne i gubitak povjerenja kupaca.

Česta pitanja

Trebamo li prvo penetracijsko testiranje ili procjenu rizika?

Krenite od procjene rizika i popisa imovine, jer vam oni govore što uopće vrijedi testirati. Penetracijsko testiranje bez te podloge troši resurse na sustave koji možda nisu kritični. Kada znate gdje su vaši najvredniji podaci, testiranje usmjeravate onamo gdje bi šteta bila najveća.

Je li usklađenost s NIS2 ili DORA dovoljna da budemo sigurni?

Nije. Usklađenost je minimalni prag koji propisuje regulator, ne gornja granica sigurnosti. Napadači ne čitaju vaše regulatorne obrasce. Tvrtka može biti potpuno usklađena na papiru i pasti pod prvim ozbiljnim napadom ako su kontrole formalne. Usklađenost gradite kao posljedicu stvarne sigurnosti, ne kao zamjenu za nju.

Možemo li sve raditi interno?

Dio možete, posebno dnevni nadzor i upravljanje. Penetracijsko testiranje vlastitih sustava interno ima slijepe točke jer ljudi teško pronalaze slabosti u onome što su sami izgradili. Neovisan pogled izvana otkriva ono što interni tim previdi. Mnoge tvrtke kombiniraju interni tim za svakodnevni rad i vanjskog partnera za testiranje i provjeru.

Koliko traje dok ne budemo na razumnoj razini sigurnosti?

Osnovnu vidljivost i prve popravke možete postići u nekoliko mjeseci. Zreo sustav upravljanja informacijskom sigurnošću s certifikatom gradi se obično godinu dana ili više, ovisno o polaznom stanju. Važnije od datuma je da krenete pravim redoslijedom, jer dobro postavljen temelj ubrzava sve kasnije korake.

Tko u tvrtki treba biti odgovoran za sigurnost?

Odgovornost mora biti na razini uprave, čak i kada dnevni posao radi IT odjel ili vanjski partner. NIS2 izričito traži uključenost najvišeg vodstva u upravljanje rizicima. Kada je sigurnost samo IT problem skriven u jednom odjelu, ne dobiva proračun ni autoritet koji joj trebaju i prvi je na udaru kada zatreba ušteda.

Ako tek krećete, ne pokušavajte sve odjednom. Napravite popis imovine, procijenite rizik, testirajte ono što najviše vrijedi i popravite najveće rupe, a onda gradite kontinuirani nadzor i usklađenost. Mi taj put prolazimo s reguliranim tvrtkama kroz GRC uslugu, od prve procjene do dokazive usklađenosti s NIS2, DORA-om i ISO 27001. Ako želite konkretan plan za svoju situaciju, dogovorite uvodni razgovor i proći ćemo gdje stojite i koji je sljedeći korak.

Želite li ovakvu provjeru na vlastitim sustavima?
Iskusni inženjer definirat će opseg posla s vama u 30-minutnom razgovoru.
Dogovorite razgovor
Nastavite čitati
Svi tekstovi →