Kad danas kažemo “kibernetička sigurnost”, zvuči kao da pričamo o nečemu jako velikom, jako ozbiljnom i jako dalekom. Nešto za hakere u kapuljačama, državne službe i velike kompanije s ogromnim ekranima na zidu. Ali, zapravo, kibernetička je sigurnost puno bliže nama nego što volimo priznati - kaže Tino Šokić, stručnjak za kibernetičku sigurnost i instruktor, te dodaje:

- Zakon o kibernetičkoj sigurnosti kaže da je kibernetička sigurnost definirana prema Uredbi EU-a 2019/881, a tamo se u osnovi govori o svim aktivnostima koje su potrebne za zaštitu mrežnih i informacijskih sustava, korisnika tih sustava i drugih osoba od kibernetičkih prijetnji. Drugim riječima, nije to jedan alat, jedan firewall, jedan antivirus ili jedan čovjek u IT-ju koji “pazi na sve”. Da bar jest. Bilo bi nam svima lakše.

BEZ MISTIFIKACIJE

Ako to prevedemo na normalan jezik, da se tako izrazim, što je kibernetička sigurnost...?

- Kibernetička sigurnost je sve što radimo kako bismo zaštitili digitalni svijet u kojem živimo i radimo.

Možemo i još jednostavnije. Kad podijelimo izraz na dvije riječi, “kibernetička” se odnosi na ono što je digitalno. Računala, mreže, mobiteli, aplikacije, sustavi, podatci, korisnički računi, online-servisi, cloud, mailovi, baze podataka. Ukratko, sve ono što danas nekako radi dok ne prestane raditi. A “sigurnost” znači stanje u kojem taj prostor nije prepušten nesigurnosti, neredu, zločinu, manipulaciji ili malicioznim aktivnostima. Dakle, kibernetička sigurnost je pokušaj da naš digitalni prostor bude, koliko je moguće, uređen, zaštićen i pouzdan. Kažem “koliko je moguće” jer apsolutna sigurnost ne postoji.

Tko vam prodaje apsolutnu sigurnost, vjerojatno vam prodaje i čarobni USB koji rješava sve probleme. Spoiler: ne rješava!

To je onaj trenutak kad kliknemo na link u mailu jer “izgleda stvarno”. Kad imamo istu lozinku za pet različitih servisa jer, realno, tko će to sve pamtiti.

Kad firma uvede novi alat, ali nitko ne pita tko ima pristup, gdje su podatci i što se dogodi ako nešto pođe po zlu.

Svi danas pričaju o cyber-sigurnosti. I to je dobro. Problem je što se često priča kao da je to isključivo tehnička tema. A nije. Naravno, tehnologija je važna. Firewall, antivirus, monitoring, enkripcija, sigurnosne kopije, upravljanje ranjivostima - sve to ima svoje mjesto. Ali kibernetička sigurnost nije samo pitanje alata. To je pitanje ljudi, procesa, odluka, navika i zdravog razuma. A zdrav razum je, kako znamo, ponekad najrjeđa sigurnosna kontrola.

Dakle, kad govorimo o kibernetičkoj sigurnosti, govorimo o zaštiti svega onoga što nam je danas digitalno važno: podatci, sustavi, identiteti, poslovanje, ugled, i, vrlo često, mir u glavi.

Jer napad ne mora uvijek izgledati kao scena iz filma. Ponekad izgleda kao običan mail. Običan klik. Obična pogreška. Obična lozinka. Obična pretpostavka da “nas nitko neće”. Zato je važno da o kibernetičkoj sigurnosti pričamo jednostavno, konkretno i bez mistifikacije. Ne zato da svi postanemo hakeri. Nego zato da prestanemo biti laka meta.

Kibernetičko djelovanje i kibernetički kriminal u znatnom su porastu posljednjih nekoliko godina. Neki od globalnih napada tvrtkama i pojedincima nanijeli se ozbiljne štete... Kako se obraniti, kojim i kakvim sredstvima, alatima, ulaganjima...?

- To je pitanje za milijun dolara, a nekada i za nekoliko stotina milijuna neke valute.

Kibernetički napad dogodi se u digitalnom prostoru, ali posljedice vrlo brzo iziđu iz ekrana. To više nije samo “pali su im mailovi” ili “netko im je zaključao računala”. To može značiti da bolnica ne može normalno raditi, proizvodnja staje, roba se ne doprema, podatci nestaju, reputacija pada, a direktor prvi put pita: “Dobro, imamo li backup?”

Naravno, pitanje obično dođe tri dana prekasno. Zato kibernetičku sigurnost ne smijemo gledati kao trošak IT odjela. To je zaštita poslovanja. I tu dolazimo do glavnog problema.

Bruce Schneier, američki kriptolog kojeg pratim već godinama, davno je rekao da je najveći neprijatelj sigurnosti - kompleksnost. I tu je, po meni, pogodio u sridu, kako bi Sinjani rekli.

Dakle, ne samo da je pogodio, pogodio je točno tamo gdje treba.

Što je sustav složeniji, to ga je teže razumjeti, teže nadzirati i teže zaštititi. Dobro ste ako imate nekoliko računala, nekoliko korisnika i nekoliko aplikacija. Ali što kada imate tisuće računala? Desetke tisuća uređaja? Ljude po različitim vremenskim zonama? Cloud servise, VPN-ove, poslovne aplikacije, mobilne uređaje, dobavljače, vanjske suradnike i gotovo beskonačan broj verzija softvera? A pametne uređaje nisam ni spomenuo.

Pametni televizori, kamere, pisači, senzori, brave, aparati za kavu. Da, i aparat za kavu danas može biti sigurnosni problem. Jer očito ni kava više ne može biti samo kava. I zato obrana ne počinje kupnjom najskupljeg alata. Obrana počinje razumijevanjem vlastitog okruženja.

To je nešto čime počinjem u bilo kakvoj procjeni informacijskog sustava tvrtke. Što imamo? Gdje se nalazi? Tko ima pristup? Što je izloženo internetu? Koji su nam najvažniji sustavi? Što se događa ako oni prestanu raditi?

Nakon toga dolaze osnove: višefaktorska autentifikacija, redovita ažuriranja, sigurnosne kopije koje su stvarno testirane, nadzor sustava, upravljanje pristupima, edukacija zaposlenika i jasan plan što radimo kad se incident dogodi. Ne - ako se dogodi. Kad se dogodi.

Jer cilj kibernetičke sigurnosti nije obećati da napada nikada neće biti. Cilj je smanjiti mogućnost napada, smanjiti štetu i oporaviti se dovoljno brzo da posao ne stane.

TROŠKOVI I ZNANJE

Globalna potrošnja na kibernetičku sigurnost u 2026. godini premašit će 300 milijardi dolara, objavio je IDC (Trusted Tech Intelligence) u procjeni iz svojeg izdanja Worldwide Security Spending Guide... IDC ističe da dodatni impuls tržištu daje usvajanje sigurnosnih platformi temeljenih na umjetnoj inteligenciji... Vaš komentar?

- Brojka je ogromna, ali nije iznenađujuća. Uvijek sam skeptičan oko velikih brojeva jer, osim što su ljudi loši s velikim brojevima, papir sve trpi, ali indikacija i više nego da postoji. Drugim riječima, tržište raste jer raste i ovisnost o digitalnom poslovanju, ali i zato što su napadi postali složeniji, brži i skuplji za ignorirati.

A sad dolazi moj mali, opetovani, “ali”, jer bez toga očito ne mogu. Veća potrošnja ne znači automatski veću sigurnost. Možete potrošiti milijune na sigurnosne alate i opet imati lozinku “Firma2026!”, neugašene korisničke račune bivših zaposlenika, backup koji nitko nikad nije testirao i sustav koji nije ažuriran od vremena kad je Windows XP još imao karijeru.

AI sigurnosne platforme sigurno će pomoći. Pogotovo u analizi velikih količina podataka, detekciji anomalija, korelaciji događaja i ubrzavanju rada sigurnosnih timova. Ali AI nije čarobni zaštitar. Ako mu date loše podatke, loše procese i nejasne odgovornosti, dobit ćete samo skuplju verziju postojećeg nereda. Još kada tome dodamo nerazumijevanje u upotrebi umjetne inteligencije, stvar postaje još ozbiljnija. Jer mnoge organizacije danas uvode AI ne zato što su jasno definirale problem koji žele riješiti, nego zato što je AI hype i zato što “svi to sada moraju imati”. I tu dolazimo do nove razine kompleksnosti.

Odjednom imate nove alate, nove integracije, nove tokove podataka, nove korisničke navike, nove dobavljače, nove modele, nove rizike i novi napadački obzor. A često bez jasnog odgovora na osnovna pitanja: koji se podatci šalju u AI sustav, tko ima pristup, gdje se ti podatci obrađuju, čuvaju li se, koriste li se za treniranje modela i što se događa ako model da pogrešan ili opasan odgovor.

Drugim riječima, AI može pomoći sigurnosti. Ali može i dramatično povećati nered ako AI uvedemo samo zato kako bismo na sastanku mogli reći da “koristimo AI”.

Zato je moj komentar vrlo jednostavan: dobro je da se ulaže, ali pitanje nije samo koliko trošimo. Pitanje je znamo li što štitimo, od čega se branimo, tko je odgovoran i što radimo kad stvari krenu po zlu.

AI NIJE SUPERJUNAK

Kakva je zapravo uloga umjetne inteligencije u kibernetičkoj sigurnosti, ali i u cyber-napadima? Postaju li AI platforme novi zamašnjak tržišta...? S tim u vezi, stoji li teza da se sigurnosni timovi sve više oslanjaju na AI kako bi premostili nedostatak stručnjaka i nosili se s golemom količinom podataka?

- Uloga umjetne inteligencije u kibernetičkoj sigurnosti je velika, ali moramo paziti da od AI-a ne napravimo novog superjunaka u plaštu. AI može pomoći i već pomaže jako puno sigurnosnim timovima. On može analizirati ogromne količine logova, prepoznati anomalije, povezati događaje koji ljudskom oku možda ne bi odmah bili očiti, pomoći u trijaži incidenata, pisanju upita, sažimanju izvještaja i bržem razumijevanju što se zapravo dogodilo. I to je važno, jer količina podataka u cyber-sigurnosti više nije velika. Ona je nezamislivo velika.

Jako mi se sviđa ovaj dio pitanja oko nedostatka stručnjaka, jer moram iskreno reći da još uvijek nemam definitivan odgovor na to što je pravo rješenje. I sada ću objasniti zašto.

Kao cybersecurity instruktor na globalnoj razini, gdje stvarno imam priliku gotovo svaki tjedan raditi s ljudima iz cijelog svijeta i iz svih tipova organizacija, vidim koliko je taj problem stvaran. Zamislite tvrtku s više od 200 tisuća zaposlenika koja djeluje u više od 150 zemalja, a ima manje od deset analitičara koji bi trebali pratiti, analizirati, reagirati i nositi se s golemom količinom sigurnosnih podataka. Naravno da je AI tu ključan. Ali AI ne smije biti izgovor da nemamo ljude. AI može prikupiti podatke, pročistiti ih, povezati ih i dati kontekst.

Ali odluka i dalje ostaje na analitičaru.

I tu je razlika. AI može ubrzati sigurnosni tim. Može ga rasteretiti. Može mu pomoći da ne traži iglu u plastu sijena ručno, što je realno dosta loš opis posla. Ali AI ne razumije poslovni kontekst kao čovjek. Ne zna uvijek što je normalno za vašu organizaciju. Ne zna političku situaciju, interne odnose, kritične procese, povijest incidenata i onu malu rečenicu iz hodnika: “Aha, to nam se događa svaki petak kad financije šalju izvještaje.”

S druge strane, napadači se također koriste AI-em. Za uvjerljiviji phishing, automatizaciju izviđanja, generiranje koda, pretraživanje i uočavanje ranjivosti, bržu prilagodbu poruka i skaliranje napada. Dakle, AI nije samo alat obrane. AI je alat obiju strana. Zato da, AI platforme jesu novi zamašnjak tržišta. Ali ne zato što su magija.

Moj stav je jednostavan: AI će biti i već jest nužan pomoćnik u cyber-sigurnosti. Ali ako se njime koristimo bez razumijevanja, procesa i stručnih ljudi, onda ne dobivamo sigurnost. Dobivamo brži kaos. Samo s ljepšim sučeljem i ljepšim izvještajem za onoga koji treba donijeti odluku (najčešće da održi dionicu na pravoj razini).

Zaključno, kakva je budućnost kibernetičke sigurnosti, koji su i kakvi izazovi s kojim će se suočavati (i već se suočava)?

- Budućnost kibernetičke sigurnosti bit će, na žalost, ili na sreću, sve manje glamurozna nego što zvuči. Neće to biti samo AI protiv AI-a, haker protiv algoritma, i neki ekran s crvenim mapama svijeta. Bit će puno više pitanje: znamo li što imamo, razumijemo li što nam je kritično, možemo li brzo reagirati i jesmo li dovoljno disciplinirani da radimo dosadne stvari prije nego što postanu hitne stvari, što je zapravo humoristično, jer bez prethodno navedenih odgovora ni danas niste u mogućnosti voditi posao.

Izazovi će biti kompleksnost, manjak ljudi, brzina napada, ovisnost o dobavljačima, cloud, AI, regulativa i činjenica da većina organizacija još uvijek ne zna precizno odgovoriti na jednostavno pitanje: Što nam je stvarno najvažnije zaštititi?

Tu bih dodao jednu zanimljivu statistiku koju se rijetko čuje. Mandiantov M-Trends 2026 navodi da je globalni median dwell time, dakle vrijeme koliko je napadač u sustavu prije otkrivanja, narastao na 14 dana. A kod cyber-špijunaže i slučajeva povezanih sa sjevernokorejskim IT radnicima median je bio čak 122 dana. To znači da problem često nije samo “hoće li netko ući”, nego koliko dugo će biti unutra dok mi mislimo da je sve u redu.

RAZUMIJEVANJE RIZIKA

Može li sigurnost biti korak ispred napadača? Stalno se navodi da zaštita od kibernetičkih prijetnji zahtijeva proaktivan pristup... Što to zapravo znači?

- Može, ali ne stalno i ne u svemu. Tko kaže da može uvijek biti korak ispred, taj je ili jako optimističan ili prodaje jako skupu prezentaciju.

Proaktivan pristup ne znači da imamo kristalnu kuglu. Znači da ne čekamo incident da bismo prvi put popisali sustave, testirali backup, uključili višefaktorsku autentifikaciju, zakrpali poznate ranjivosti, educirali ljude i dogovorili tko što radi kad stvari krenu po zlu. Proaktivno znači loviti vlastite slabosti prije nego što ih lovi netko drugi i tu sam se izoštrio u industriji prošlih godina. To znači gledati izloženost organizacije kao što bi je gledao napadač. Znači iskoristiti threat intelligence ne kao ukras u izvještaju, nego kao informaciju koja mijenja prioritete.

Znači, ne krpati sve jednako, nego prvo ono što se stvarno iskorištava. CISA-in katalog Known Exploited Vulnerabilities upravo tomu služi: popisuje ranjivosti za koje postoji dokaz aktivnog iskorištavanja u stvarnom svijetu.

Dakle, da ponovim, budućnost kibernetičke sigurnosti neće pripadati onima koji imaju najviše alata. Pripadat će onima koji najbolje razumiju vlastiti rizik. Uvijek se sjetim one smiješne dosjetke kako je cyber-sigurnost poput WC papira. Sve je u redu dok ga imate, ali kad ga nemate u onom pravom trenutku, onda postaje velik problem.