Mesec dana potpunog zastoja u proizvodnji, milionski gubici, paralisana kompanija – to nije scenario iz distopijskog filma, već realnost koja je zadesila Jaguar Land Rover nakon sajber napada. A mogu li domaće kompanije da budu sigurne da će im biti bolje?
Dok su Er Srbija letos a svetski automobilski gigant Jaguar Land Rover danas, pod napadom hakerskih grupa, male i srednje kompanije u Srbiji masovno prelaze na korišćenje veštačke inteligencije u poslovanju – nesvesne da svaki poverljivi dokument koji aplouduju u AI alat postaje deo njegove baze podataka. Efikasnost koju AI donosi ima svoju cenu: sajber ranjivost koju mnogi tek treba da shvate.
Analize pokazuju da većini donosilaca odluka za sajber bezbednost u malim i srednjim preduzećima (MSP) u Evropi nedostaje pripremljenost kada je reč o zaštiti njihovih kompanija.
Dve trećine (65%) izveštava da njihova strategija postoji više u teoriji nego u praksi, ili da se svodi samo na niz ciljeva. Štaviše, neki priznaju da postoje praznine u njihovom znanju čak i osnovnih aspekata sajber bezbednosti, pri čemu 34% navodi da bi trebalo da bolje razumeju kako da odgovore na i reše sajber incidente.
Ovaj nedostatak primenjive strategije i stručnog znanja ostavlja mnoge bez stvarne zaštite – i ranjive na sajber napade. Ovo su zaključci najnovijeg Kasperski izveštaja „Otvoreni razgovor o sajber bezbednosti – šta nervira, šta nedostaje, šta zaista pomaže?“.
MSP-ima u Evropi nedostaju odgovarajuće znanje i konzistentna strategija da se zaštite. Samo 29% može da tvrdi da ima potpuno implementiranu strategiju sajber bezbednosti. Ukupno dve trećine (65%) priznaje da je njihov trenutni pristup delimično sprovedena, uglavnom teorijska strategija, ili da uopšte nije pravi plan, već samo skup ciljeva.
Konkretno, 46% navodi da je njihova strategija osmišljena, ali još uvek nije u potpunosti sprovedena, dok 19% kaže da rade ka ostvarenju ciljeva, a ne na sprovođenju stvarne strategije. Ovi nalazi ukazuju na široko rasprostranjeni jaz između razvoja strategije i operativne implementacije – jaz koji verovatno dovodi do strukturnih slabosti u svakodnevnim operacijama sajber bezbednosti MSP-a.
Ovaj nedostatak primenjive strategije potvrđuje i najnovija Kasperski analiza napada u Evropi. Od januara do aprila 2025. godine, Austrija je zabeležila najveći udeo (40%) napada u Evropi u kojima su potencijalno neželjeni softver (PUA) i malver koji imitira legitimne brendove ciljali MSP-e; zatim Italija (25%), Nemačka (11%), Španija (10%) i Portugal (6%).
Kompanije sami sebi najveći neprijatelj
Srbija ima razvijenu infrastrukturu sajber bezbednosti sa nacionalnim CERT-ovima, ali najveći problem nije tehnološke prirode – većina kompanija ne prijavljuje napade. Sramota i strah od gubitka poslovnog ugleda čine da više firmi mogu biti napadnute istom metodom, a da nijedna ne upozori one (sve) druge. Zakon koji će prijavljivanje učiniti obaveznim je u pripremi (sada su to u obavezi samo određene kategorije preduzeća i institucija), ali do tada – ćutanje košta.
„’Skrati mi ovaj dokument, usredsredi ga na par pasusa’ – zvuči kao bezazlena naredba AI alatu. Ali šta ako je taj dokument strogo poverljiv? Čestitamo, upravo ste podelili tajne vaše kompanije sa bazom podataka kojoj pristupaju milioni korisnika“, kaže za BizSrbija Rade Furtula, stručnjak za sajber-bezbednost i pre-sale menadžer u jenom od pionira sigurnosti na internetu, kompaniji Kasperski.
Kompanije u Srbiji, posebno male i srednje sa ograničenim resursima, masovno usvajaju veštačku inteligenciju kako bi povećale produktivnost. Ono što ne shvataju je da AI nije magični pomoćnik već ogromna baza podataka – i svaki dokument koji mu date postaje deo te baze. Stručnjaci upozoravaju: da biste AI-ju postavili pitanje, prepričajte svojim rečima, nikada ne kopirajte poverljive podatke.
„Sajber bezbednost više nije samo IT problem – postala je strateško pitanje opstanka. Dok velike korporacije imaju protokole i timove stručnjaka, manje firme često nemaju ni svest o tome šta sme, a šta ne sme da se podeli sa AI alatima. Velika je to ironija, tehnologija koja treba da ih učini konkurentnijim može da postane njihova najveća ranjivost“, ističe Furtula, s kojim smo razgovarali na obodima prošlonedeljne regionalne konferencije eSecurity održane u Beogradu.
Ovaj sajber specijalista kaže da to da je kompanija napadnuta čak ne mora ni da se objavljuje javno, može i bez nekih konkretnih detalja ali lokalno CERT-u trebalo bi da se prijavi.
„Na taj način se dobija neka pomoć od CERT-a, recimo, može da se uključimo mi kao zajednica, kao sajber stručnjaci i tako dalje. A s druge strane, vi delite nešto što će možda nekome sutra pomoći. I mislim da je to ključ – da moramo svi da sarađujemo i da nije sramota imati sajber napad“, objašnjava Furtula.
ALARM: AI je sad već „na svakom ćošku“
Proboj veštačke inteligencije u sve sfere, donelo je stručnjacima za sajber-bezbednost veliku pomoć ali i još veće glavobolje.
„To je donelo da često firme koriste AI, dešava se da aplouduju neke dokumente koji su strogo poverljivi. Ljudi treba da shvate da AI nije ništa drugo nego velika baza podataka koja ima mogućnost da jako brzo to pretražuje. Od momenta kada ste vi, recimo, bacili neki poverljiv dokument, rekli mu "skrati mi ovo, usredsredi mi na par pasusa", vi ste dali sve te podatke AI-ju. To je jako bitno da ljudi znaju – AI treba da se koristi, to je neminovno, ali, recimo, kod nas u Kasperskom mi imamo određene protokole na koji način sme da se koristi AI. Ne sme da se koriste poverljivi podaci, ne sme da se kopira sadržaj iz AI-ja u fajlove, nego, ako vas nešto zanima, morate svojim rečima da opišete bez iznošenja ikakvih poverljivih stvari o dokumentima ili klijentima“, naglašava Furtula.
Sa AI-jem kao „neizbežnim asistentom“ u svakoj firmi, kompanije koje ih štite od internet napada imaju praktično novo dodatno zaduženje – čuvati firme od njih samih.
„Mi imamo, svakako, u sklopu naših rešenja, jako popularno rešenje za obuke i ono se koristi unutar firmi. Firme obično to kupuju da bi trenirale svoje zaposlene za fishing i tako dalje. Neki od modula su upravo o tome kako se AI koristi u svrhu firme. I to je definitivno nešto što bi svaka firma morala da nauči svoje zaposlene – ne sme da se dele stvari na načine koji mogu da budu zloupotrebljeni“, zaključuje za BizSrbija Rade Furtula iz Kasperskog.
