Ransomware zaštita za tvrtke: prevencija, backup, detekcija, incident response, GDPR prijava povrede, NIS2 obveze i oporavak poslovanja.
RL
Robert LozoPartner · CIPP/E · CIPM · CISM
18. STU 2025.
AŽURIRANO 22. VELJ 2026.
Ransomware je danas jedna od najrazornijih kibernetičkih prijetnji. Napadači šifriraju podatke tvrtke i traže otkupninu za njihovo vraćanje — a sve češće i prijete objavom ukradenih podataka. U 2024. godini prosječna otkupnina iznosila je preko 500.000 USD, dok su ukupni troškovi napada (zastoj, oporavak, gubitak klijenata) višestruko veći. Ovaj vodič pokriva sve — od razumijevanja prijetnje do konkretnih koraka zaštite i oporavka.
Sažetak i ključne točke
Ransomware napadi porasli su za 67 % u 2024. godini.
Prosječni ukupni trošak napada iznosi 4,88 mil. USD (IBM, 2024.).
73 % napada koristi dvostruku ucjenu — šifriranje + prijetnja objavom.
Sigurnosne kopije (3-2-1 pravilo) najvažnija su mjera zaštite.
NIS2 obvezuje prijavu ransomware incidenta u 24 sata (rano upozorenje).
Plaćanje otkupnine ne garantira povrat podataka — CERT.hr i Europol savjetuju da se ne plaća.
Sadržaj
TREBATE POMOĆ S USKLAĐENOŠĆU?
Od klasifikacije do sukladnosti.
Pomažemo organizacijama u EU klasificirati AI sustave, izraditi tehnički dosje i postaviti upravljanje koje propisi traže. Krenite s 30-minutnim razgovorom.
Ransomware je vrsta zlonamjernog softvera (malware) koji ograničava pristup sustavu ili podacima žrtve — najčešće šifriranjem datoteka — i zahtijeva plaćanje otkupnine za vraćanje pristupa.
Pojam
Značenje
Ransomware
Zlonamjerni softver za ucjenu
Otkupnina
Iznos koji napadač traži (obično u kriptovalutama)
Šifriranje
Pretvaranje podataka u nečitljiv oblik bez ključa
Ključ za dešifriranje
Kod koji vraća pristup podacima (napadač ga drži)
RaaS
Ransomware-as-a-Service — poslovni model u kojem napadači „iznajmljuju" ransomware
Dvostruka ucjena
Šifriranje podataka + prijetnja objavom ukradenih podataka
Trostruka ucjena
Šifriranje + objava + DDoS napad ili ucjena klijenata žrtve
Kako funkcionira ransomware napad
1. Početni pristup → Phishing e-mail, ranjivost, ukradeni pristupni podaci
2. Uspostava uporišta → Instalacija alata, eskalacija privilegija
3. Lateralno kretanje → Širenje mrežom, kompromitacija Domain Controllera
4. Eksfiltracija → Kopiranje osjetljivih podataka na poslužitelje napadača
5. Šifriranje → Aktivacija ransomwarea, šifriranje svih dostupnih datoteka
6. Ucjena → Poruka s iznosom otkupnine i upustvima za plaćanje
Vrste ransomware napada
Vrsta
Opis
Primjer
Crypto ransomware
Šifrira datoteke; sustav radi, ali podaci su nedostupni
LockBit, Cl0p
Locker ransomware
Zaključava pristup cijelom sustavu
WinLocker
Dvostruka ucjena
Šifrira + krade podatke i prijeti objavom
REvil, BlackCat
Trostruka ucjena
Šifrira + krade + napada DDoS-om ili ucjenjuje klijente
DarkSide
RaaS (Ransomware-as-a-Service)
Napadači kupuju ili „iznajmljuju" ransomware od developera
LockBit, BlackBasta
Wiper (destruktivni)
Šifrira podatke bez namjere davanja ključa — čista destrukcija
NotPetya, WhisperGate
RaaS — kriminalni poslovni model
Ransomware-as-a-Service je model u kojem razvijatelji ransomwarea prodaju ili iznajmljuju svoj softver afilijatima (napadačima) koji provode napade. Zarada se dijeli — obično 70–80 % afilijatu, 20–30 % razvijatelju. Ovaj model je drastično snizio ulaznu barijeru za kibernetičke napadače.
Statistike i trendovi
Globalni podaci
Statistika
Podatak
Rast napada
+67 % u 2024. (NCC Group)
Prosječna otkupnina
568.000 USD (Sophos, 2024.)
Prosječni ukupni trošak
4,88 mil. USD (IBM, 2024.)
Prosječno vrijeme oporavka
24 dana zastoja
Udio dvostruke ucjene
73 % svih napada
Udio žrtava koje plate
29 % (pad s 37 % u 2023.)
Žrtve koje dobiju sve podatke natrag nakon plaćanja
Samo 65 %
Napadnuti sektori (2024./2025.)
Sektor
Udio napada
Zdravstvo
18 %
Javna uprava
14 %
Obrazovanje
12 %
Financije
11 %
Proizvodnja
10 %
IT i telekomunikacije
9 %
Maloprodaja
7 %
Ostalo
19 %
Trend 2025./2026.: Napadači sve više ciljaju male i srednje tvrtke koje imaju manje resurse za zaštitu, ali su spremne platiti da izbjegnu propast. AI alati omogućuju automatizaciju napada i personalizaciju ucjene.
Kako ransomware ulazi u sustav
Glavni vektori napada
Vektor
Udio
Opis
Phishing e-mail
45 %
Zaraženi privitak ili poveznica u e-mailu
Iskorištavanje ranjivosti
25 %
Neažurirani sustavi, poznate ranjivosti
Ukradeni pristupni podaci
15 %
Kupljeni na dark webu ili dobiveni phishingom
RDP (Remote Desktop)
10 %
Nezaštićeni udaljeni pristup
Opskrbni lanac
5 %
Kompromitiran softver dobavljača
Najčešće iskorištavane ranjivosti
VPN uređaji bez ažuriranja (Fortinet, Citrix, Pulse Secure)
Datoteka ili slika s upustvima za plaćanje na zaslonu
Promijenjene ekstenzije
Datoteke dobivaju neobične ekstenzije (.locked, .encrypted, .crypt)
Nedostupne datoteke
Ne možete otvoriti dokumente, baze podataka ili slike
Neuobičajeno opterećenje
CPU i disk aktivni na 100 % (šifriranje u tijeku)
Onemogućeni sigurnosni alati
Antivirusni softver ili backup prestaju raditi
Nepoznati procesi
Sumnjivi procesi u upravitelju zadataka
Ako primijetite bilo koji od ovih znakova — odmah isključite pogođeno računalo s mreže (ne gasiti potpuno!) i obavijestite IT odjel.
Kako zaštititi tvrtku
1. Sigurnosne kopije — pravilo 3-2-1
Najvažnija mjera zaštite. Čak i ako ransomware šifrira sve, ispravne sigurnosne kopije omogućuju oporavak bez plaćanja.
Pravilo
Objašnjenje
3 kopije podataka
Originalni podaci + 2 sigurnosne kopije
2 različita medija
Npr. lokalni disk + oblak ili traka
1 kopija izvan lokacije
Offline ili u drugom podatkovnom centru
Dodatna pravila:
Redovito testirajte oporavak iz sigurnosnih kopija
Držite barem jednu kopiju offline (nedostupnu s mreže)
Šifrirajte sigurnosne kopije
Definirajte RPO (koliko podataka smijete izgubiti) i RTO (koliko brzo morate oporaviti)
2. Ažuriranje i upravljanje ranjivostima
Mjera
Detalj
Redovito ažuriranje OS-a i aplikacija
Automatska ažuriranja gdje je moguće
Praćenje objava o ranjivostima
CERT.hr upozorenja, CVE baze
Prioritetno krpanje kritičnih ranjivosti
Unutar 72 sata za kritične, 30 dana za visoke
Skeniranje ranjivosti
Kvartalno ili nakon svake veće promjene
3. Zaštita e-pošte
Napredni filtri za privitke i poveznice
SPF, DKIM, DMARC za sprečavanje lažiranja e-mailova
Blokiranje opasnih vrsta privitaka (.exe, .js, .vbs, .scr)
Simulacije phishinga za zaposlenike
4. Kontrola pristupa
Mjera
Objašnjenje
MFA za sve sustave
Posebno za VPN, RDP, e-mail i admin račune
Načelo najmanjih privilegija
Korisnici imaju samo potrebne ovlasti
Privilegirani pristup
Posebna zaštita admin računa (PAM)
Segmentacija mreže
Ograničavanje lateralnog kretanja
5. Zaštita krajnjih točaka
EDR (Endpoint Detection and Response) — naprednija zaštita od klasičnog antivirusa
Kontrola aplikacija — dopuštanje samo odobrenih programa
Blokiranje makroa u Office dokumentima
Zaštita od ransomwarea — specifične značajke u modernim EDR rješenjima
6. Edukacija zaposlenika
Redovita obuka o prepoznavanju phishinga
Simulirani phishing napadi
Jasna procedura za prijavu sumnjivih poruka
Obuka za specifične uloge (IT, financije, uprava)
🤝 Trebate plan za odgovor na ransomware?
Vision Compliance pruža izradu plana odgovora na incidente, tabletop vježbe, 24/7 podršku tijekom napada i koordinaciju s AZOP-om i CKS-om za prijavu povreda u 72 sata. Odgovor na GDPR i NIS2 incidente →
Plan odgovora
Što učiniti u prvih 24 sata
Sat
Radnja
0–1
Identifikacija i potvrda incidenta
0–1
Izolacija pogođenih sustava (odvojiti od mreže, ne gasiti)
1–4
Aktivacija tima za odgovor na incidente
1–4
Procjena opsega — koji sustavi i podaci su pogođeni
NIS2 rano upozorenje → CERT.hr (ako ste obuhvaćeni)
Što NE raditi
Pogreška
Zašto je opasno
Gasiti računala
Gubi se sadržaj memorije potreban za forenziku
Brisati datoteke
Uništava dokaze i otežava oporavak
Pokušavati sami dešifrirati
Može trajno oštetiti podatke
Komunicirati s napadačem bez stručnjaka
Može pogoršati pregovaračku poziciju
Platiti odmah
Ne garantira oporavak, financira kriminal
Platiti ili ne platiti?
Argumenti protiv plaćanja
Razlog
Objašnjenje
Nema garancije
Samo 65 % žrtava koje plate dobije sve podatke natrag
Financiranje kriminala
Plaćanje potiče daljnje napade
Ponovni napadi
80 % tvrtki koje plate napadnute su ponovo
Pravni rizici
Plaćanje sankcioniranim grupama može biti protuzakonito
Moralna odgovornost
Financirate infrastrukturu koja napada druge
Kada tvrtke ipak plaćaju
Nema sigurnosnih kopija i podaci su kritični za poslovanje
Ljudski životi su ugroženi (zdravstvo)
Trošak zastoja premašuje otkupninu
Osiguravatelji preporučuju (cyber osiguranje)
Službeni stavovi
Organizacija
Preporuka
CERT.hr
Ne plaćati
Europol (No More Ransom)
Ne plaćati — pokušajte s besplatnim alatima za dešifriranje
ENISA
Ne plaćati — prijavite nadležnim tijelima
FBI
Ne plaćati — prijavite policiji
No More Ransom projekt (nomoreransom.org) nudi besplatne alate za dešifriranje za mnoge vrste ransomwarea. Uvijek provjerite postoji li besplatan alat prije razmatranja plaćanja.
Zakonski okvir
NIS2 i Zakon o kibernetičkoj sigurnosti
Organizacije obuhvaćene NIS2 direktivom (Zakon o kibernetičkoj sigurnosti, NN 14/24) obvezne su:
Obveza
Rok
Rano upozorenje o incidentu
24 sata → CERT.hr
Detaljna obavijest
72 sata → CERT.hr
Završno izvješće
1 mjesec → CERT.hr
Mjere za upravljanje rizicima
Kontinuirano
Sigurnosne kopije i oporavak
Kontinuirano
GDPR obveze
Ako ransomware napad uključuje osobne podatke:
Prijava AZOP-u u 72 sata ako postoji rizik za prava ispitanika
Obavještavanje ispitanika ako je rizik visok (podaci objavljeni ili ukradeni)
Dokumentiranje incidenta u internoj evidenciji povreda
Uklanjanje ransomwarea i svih tragova kompromitacije
3. Oporavak sustava
Ponovna izgradnja sustava iz čistih sigurnosnih kopija
4. Provjera podataka
Verifikacija integriteta obnovljenih podataka
5. Postupno vraćanje
Fazno vraćanje sustava u produkciju
6. Pojačana zaštita
Primjena dodatnih mjera da se spriječi ponavljanje
7. Naučene lekcije
Dokumentacija, revizija planova i procedura
Prosječno vrijeme oporavka
Scenarij
Vrijeme
S ispravnim backup-om i planom
3–7 dana
S backup-om, ali bez plana
2–4 tjedna
Bez backup-a — plaćanje otkupnine
2–6 tjedana (ako ključ radi)
Bez backup-a — bez plaćanja
Trajni gubitak podataka
FAQ
Može li ransomware zaraziti i oblak (cloud)?+
Da. Ako ransomware kompromitira račun s pristupom oblaku (npr. OneDrive, SharePoint, AWS S3), može šifrirati ili izbrisati podatke u oblaku. Oblačni servisi imaju vlastite verzioniranje i backup mehanizme, ali ih treba konfigurirati.
Štiti li antivirusni program od ransomwarea?+
Klasični antivirusni programi ne štite dovoljno. Potreban je EDR (Endpoint Detection and Response) koji koristi naprednu analizu ponašanja za otkrivanje ransomwarea.
Je li cyber osiguranje isplativo?+
Za tvrtke s visokim rizikom — da. Cyber osiguranje pokriva troškove oporavka, forenzike, pravnih savjeta i potencijalne kazne. Premija ovisi o veličini tvrtke, sektoru i razini zaštite.
Koliko često treba testirati sigurnosne kopije?+
Kvartalno je minimum, mjesečno je preporučljivo. Testiranje mora uključivati potpuni oporavak sustava, ne samo provjeru da datoteke postoje.
Mogu li se zaštititi male tvrtke s ograničenim budžetom?+
Da. Ključne mjere za mali budžet: sigurnosne kopije (3-2-1), MFA na svim sustavima, ažuriranje softvera, edukacija zaposlenika i EDR rješenje. Većina ovih mjera zahtijeva više vremena nego novca.
Zaključak
Ransomware nije pitanje hoće li se dogoditi, nego kada. Organizacije koje unaprijed pripreme obranu i plan oporavka daleko bolje prolaze od onih koje reagiraju tek nakon napada.
Ključne poruke: (1) Sigurnosne kopije (3-2-1) su najvažnija mjera — testirajte ih redovito. (2) Phishing je glavni ulaz — educirajte zaposlenike. (3) MFA i ažuriranje zatvaraju većinu ostalih vektora. (4) Ne plaćajte otkupninu ako imate alternativu. (5) Pripremite plan odgovora prije nego što ga trebate.
Trebate pomoć? Vision Compliance nudi kibernetičku sigurnost — od procjene rizika i pripreme planova oporavka do tehničkih mjera zaštite od ransomwarea. Zakažite besplatnu konzultaciju.
Izvori: ENISA, CERT.hr, Europol (No More Ransom), IBM Cost of a Data Breach 2025., NIS2 direktiva, Sophos State of Ransomware 2025.
O AUTORU
RL
Robert Lozo
Partner · CIPP/E · CIPM · CISM
Robert savjetuje organizacije o GDPR-u, NIS2, EU AI Actu i financijskoj regulativi, isporučuje dokumentaciju spremnu za reviziju i programe usklađenosti u reguliranim industrijama.