U 2025. godini, 43% cyber napada u Francuskoj je ciljalo tvrtke s manje od 50 zaposlenih (izvor ANSSI). Prosječna cijena napada za malu tvrtku: 25 000 eura — između gubitka poslovanja, tehnijske sanacije i gubitka podataka.
Ipak, 80% ovih napada moglo je biti izbjegnuto s osnovnim mjerama. Nije potreban sigurnosni proračun od 50 000 eura. Deset jednostavnih akcija je dovoljno.
Mjera 1: jaki lozinke i upravitelj lozinki
Lozinka "Entreprise2024!" nije dobra lozinka. Bit će probijena u 3 sekunde automatiziranim alatom.
Akcija: instalirajte upravitelj lozinki za cijeli tim (Bitwarden u besplatnoj verziji ili 1Password za 4 eura/mjesec/korisnika). Svaka lozinka je nasumično generirana, najmanje 16 znakova, jedinstvena po servisu.
Glavna lozinka upravitelja trebala bi biti duga fraza koju pamtite: "MonMačkaJeDesuDobra" je beskonačno jača od "P@ssw0rd!2024".
Mjera 2: autentifikacija s dva faktora (2FA)
Čak i s dobrom lozinkom, ako je zaposlenik prevaren phishingom, napadač ima lozinku. 2FA dodaje dodatni sloj: osim lozinke, potreban je privremeni kod generiran na telefonu.
Akcija: aktivirajte 2FA na svim kritičnim računima — email, banka, hosting, društvene mreže, poslovni alati. Koristite aplikaciju (Google Authenticator, Authy) umjesto SMS-a (koji se može presresti).
Mjera 3: automatske nadogradnje
Sigurnosne provjere ispravlja izdavač u danima nakon odkrivanja. Ali ako ne nadograđujete, provjera ostaje otvorena. Ransomware-i masivno iskorištavaju dobro poznate provjere iz Windowsa i preglednika od prije nekoliko mjeseci.
Akcija: aktivirajte automatske nadogradnje na svim računalima (Windows, macOS, preglednici, poslovni softver). Jedan restart tjedno je cijena koju trebate platiti.
Mjera 4: sigurnosna kopija 3-2-1
Pravilo 3-2-1: 3 kopije vaših podataka, na 2 različita medija, od kojih 1 izvan lokacije.
Konkretna akcija:
- Kopija 1: vaš tvrdi disk (podaci u produkciji)
- Kopija 2: eksterni tvrdi disk ili NAS (dnevna automatska sigurnosna kopija)
- Kopija 3: servis u oblaku (Backblaze B2 za 6$/mjesec ili Synology C2)
Testirajte vraćanje podataka jednom kvartalno. Sigurnosna kopija koju ne znate vratiti nije sigurnosna kopija.
Mjera 5: edukacija protiv phishinga
90% napada počinje s phishing emailom. Slaba karika je čovjek.
Akcija: obučite svoj tim da prepozna sumnjive emaile. Znakovi upozorenja:
- Vještačka hitnost ("Vaš će se račun suspendirati za 2h")
- Nepoznat pošiljaoc ili sumnjiva domena
- Linkovi na čudne URL-e (prođite mišem bez klikanja)
- Neočekivani prilozi (.exe, .zip, .js)
- Zahtjev za korisničkim podacima putem emaila (nijedan legitimni servis to ne radi)
Izvršite simulirani phishing vježbu jednom godišnje. Platforme kao Gophish (besplatno) omogućavaju vam slanje lažnih phishing emaila vašem timu kako biste prepoznali slabosti.
Mjera 6: siguran Wi-Fi
Wi-Fi vašeg ureda je ulazna točka. Ako je lozinka "bonjour123" ili koristite zastarjeli protokol WEP (zastarjelo prije 15 godina), bilo tko sa ceste može pristupiti vašoj mreži.
Akcija: protokol WPA3 (ili najmanje WPA2-AES), složena lozinka od 20+ znakova, odvojena gostinska mreža za posjetitelje.
Mjera 7: šifriranje prijenosnih računala
Prijenosno računalo ukradeno iz automobila, torba zaboravljena u vlaku — to se događa. Ako disk nije šifriran, lopov pristupa svim vašim podacima.
Akcija: aktivirajte BitLocker (Windows Pro) ili FileVault (macOS). Besplatno je, integrirano je u sustav i prozirno je u upotrebi.
Mjera 8: ograničena prava pristupa
Ne trebam svi pristupiti svemu. Računovođa ne trebam pristupiti tehničkim datotekama, praktikant ne trebam administratorska prava.
Akcija: primijenite načelo najmanje privilegije. Svaki korisnik pristupa samo resursima nužnim za svoj rad. Uklonite račune osoba koje napuštaju tvrtku isti dan kad odlaze.
Mjera 9: antivirus i vatrozid
Windows Defender je dovoljan za većinu malih tvrtki. Nema potrebe kupovati plaćeni antivirus ako je vaša digitalna higijena dobra. Međutim, provjerite je li Defender aktiviran i ažuran na svim računalima.
Vatrozid Windowsa trebao bi ostati aktiviran. Nemojte ga deaktivirati "jer softver ne radi" — pronađite pravilnu iznimku umjesto otvaranja svega.
Mjera 10: plan reagiranja na incident
Dana kada se to dogodi (a statističari će se to dogoditi), trebate znati što napraviti. Plan reagiranja u 5 linija:
- Izolirati zaraženo računalo (odspojiti mrežu, ne gašiti)
- Obavijestiti vašeg IT pružatelja ili nazvati 3218 (cybermalveillance.gouv.fr)
- Nemojte plaćati otkupninu (to ne jamči povratak podataka i financira kriminalce)
- Vratiti iz sigurnosne kopije
- Podnijeti prijavu i prijaviti incident AZOP-u ako su osobni podaci uključeni
Isprintajte ovaj plan. Zaljepite ga. Dana J, nitko neće tražiti digitalni dokument na računalu šifriranom ransomware-om.
Cybersigurnost nije tehnički predmet rezerviran za informatičare. To je predmet voditeljskog rukovodstva. 10 jednostavnih mjera, rigorozno primijenjenih, blokira većinu napada.