CYBERSECURITY AS A CORE COMPETITIVE ADVANTAGE

BUILDING RESILIENCE IN THE DIGITAL AGE

Explore how effectively managing cybersecurity risks can become a key differentiator for
businesses in today's interconnected world

-seminarski rad-

Ime, prezime i br indexa: Predmetni profesor

Adnan Aljović 6217-75826 Prof.dr. Kemal Kačapor

Amina Ahmetspahić 6214-73311

Nejira Prcić 6219

Nejla Burek 6213-73616 Predmet II ciklusa studija

Rijad Hećo 6266-73002 Kompetitivnost i IT

Sarajevo, 2024

1
SADRŽAJ
1. UVOD......................................................................................................................................3
2. POJAM I ZNAČAJ CYBER SIGURNOSTI...........................................................................4
2.1. Prednosti i rizici povezani s e-trgovinom i e-poslovanjem..................................................6
3. HISTORIJSKI RAZVOJ..........................................................................................................7
4. VRSTE CYBER SIGURNOSTI / NAČINI ZAŠTITE............................................................9
4.1. Mrežna sigurnost (eng. Network security)......................................................................10
4.2. Sigurnost aplikacija.........................................................................................................10
4.3. Sigurnost informacija ili podataka..................................................................................10
4.4. Sigurnost u oblaku (eng. Cloud Security).......................................................................11
4.5. Mobilna sigurnost...........................................................................................................11
4.6. Sigurnost krajnje tačke (eng.End point security)............................................................12
4.7. Zaštita kritične infrastrukture..........................................................................................12
4.8. Zaštita Internet stvari (eng. Internet of Things – IoT)....................................................13
5. PROCES UPRAVLJANJA CYBER RIZIKOM....................................................................14
5.1. Načini na koji organizacije mogu poboljšati svoju cyber sigurnost...............................15
6. CYBER NAPADI...................................................................................................................17
6.2. Cyber sigurnost i cyber napadi u Bosni I Hercegovini.......................................................18
6.3. Twitter – cyber napad.........................................................................................................18
6.4. Microsoft Exchange – cyber napad....................................................................................19
7. ZAKLJUČAK........................................................................................................................20
LITERATURA..............................................................................................................................21
DODATAK SA PITANJIMA.......................................................................................................22

2
 1. UVOD

Cyber sigurnost (eng. Cyber Security) ključna je za funkcionisanje svakog preduzeća, bilo da je
riječ o malom start up-u ili velikoj korporaciji. S razvojem tehnološke industrije i tehnološkog
napretka u vidu digitalizacije i automatizacije, došlo je do rapidnog razvoja novih cyber napada i
alata. Budući da se softverska rješenja danas implementiraju u razne sektore poput vlade,
obrazovanja, sudstva, bolnica, njihovi sistemi postaju jedna od ključnih meta hakerskih napada
zbog povjerljivosti informacija koje pohranjuju.

Razvojem informacionih sistema i unapređenjem digitalizacije, otvara se mogućnost za veću

ranjivost u pogledu napada na informacijski sistem, te tada uočavamo važnost cyber sigurnosti

Cyber sigurnost nastoji uz pomoć različitih instrumenata, poput antivirusa osigurati zaštitu
osjetljivih, privatnih informacija, čija distribucija može naštetiti ugledu čovjeka ili kompanije. S
razvojem interneta došlo je do povećanja rizika od hakerskih napada, budući da se dokumenti i
datoteke prenose elektronskim putem u vidu e-pošte, aplikacija ili društvenih mreža.

I uz najbolju internu zaštitu sistema, ukoliko se radi o kompaniji koja pruža klijentima usluge i u
svojim bazama ima povjerljive podatke klijenata, veoma je važno osvijestiti, pored zaposlenika
svih sektora, i klijente o mogućim prevarama, obzirom da su u ovakvim slučajevima, klijenti,
najčešće meta za napad. Danas u svijetu, kompanije veliku pažnju pridaju cyber sigurnosti,
zapošljavaju specijalizirane osobe, stručnjake za infomacijsku sigurnost. Interesantan podatak do
kojeg smo došli istražujući za ovaj seminarski rad jeste da je da je trenutno u svijetu na tržištu
rada iz oblasti IT, najveća potražnja za stučnjacima u oblasti informacijske sigurnosti.

Kroz rad smo se u nastavku osvrnuli na važnost izgradnje cyber sistema za zaštitu, ulaganja u
edukaciju zaposlenika o cyber sigurnosti, koji će u konačnici dovesti do ostvarenja konkurentske
prednosti na tržištu.

3
 2. POJAM I ZNAČAJ CYBER SIGURNOSTI

Cyber sigurnost predstavlja praksu zaštite sistema, mreža i programa od digitalnih napada. Takvi
cyber napadi obično imaju za cilj pristup, promjenu ili uništavanje osjetljivih informacija te
iznuđivanje novca od korisnika ili poremećaj normalnih poslovnih procesa.

Obzirom da je cyber sigurnost od velikog značaja, često se koristi akronim „CIA“ koji
predstavlja tri stuba:

● C – povjerljivost (engl. Confidentiality), podrazumijeva čuvanje tajni i obezbjeđivanje da

samo ovlaštene osobe mogu pristupiti datotekama i nalozima,

● I – integritet (engl. Integrity), podrazumijeva da se podaci koje mi unesemo ne mogu

mijenjati bez našeg znanja

● A – pristup (engl. Access), podrazumijeva pristup informacijama kada je to potrebno.1

U današnjem povezanom svijetu, svi imamo koristi od naprednih programa cyber sigurnosti. Na
individualnom nivou, cyber napad kao posljedicu može imati krađu identiteta, gubitak važnih
podataka, pokušaj ucjene i sl. Napadači se većinom oslanjaju na kritičnu infrastrukturu kao što su
elektrane, bolnice i finansijske institucije. Zaštita ovih i drugih organizacija ključna je za
održavanje i funkcionisanje našeg društva.

Cyber sigurnost, u ovom brzo razvijajućem digitalnom dobu, postala je vitalna zaštita koja se ne
može zanemariti. Kao snažna linija odbrane, štiti naše podatke, mreže i sisteme od neprestanih
prijetnji i napada. Sve, od naših ličnih do finansijskih informacija, od podataka o zdravlju do
nacionalne sigurnosti, ovisi o snažnim cyber sigurnosnim mjerama. Zaštita privatnosti je jedan
od ključnih aspekata cyber sigurnosti. U eri kada se sve više naših interakcija odvija online,
osiguravanje da naše lične informacije ostanu privatne i sigurne je od velike važnosti. Cyber
sigurnost također igra ključnu ulogu u održavanju sigurne online komunikacije. Bilo da se radi o

1 https://support.microsoft.com/sr-latn-rs/topic/%C5%A1ta-je-sajber-bezbednost-8b6efd59-41ff-4743-87c8-
0850a352a390

4
e-mailovima, instant porukama ili video konferencijama, cyber sigurnosne mjere osiguravaju da
naša komunikacija ostane sigurna i zaštićena.

Važnost cyber sigurnosti se također odražava u očuvanju reputacije organizacije. Sigurnosni

propusti mogu nanijeti ogromnu štetu ugledu kompanije, što može dovesti do gubitka povjerenja
klijenata i smanjenja poslovnih prihoda. U ekonomskom smislu, cyber sigurnost je pokretačka
sila koja podržava ekonomski rast. Omogućava sigurnu trgovinu, zaštitu intelektualnog
vlasništva i održavanje konkurentske prednosti.

Internet pruža nerazvijenim regijama brojne mogućnosti za razvoj. Ako se pravilno koristi, može
smanjiti postojeće ekonomske nedostatke puno lakše nego što je to moguće tradicionalnim
sredstvima. Međutim, razumijevanje prednosti mora se staviti u kontekst globalne
konkurentnosti. Internet je stvorio mogućnosti i izazove za postojeće kompanije i start-up
poduzeća koji imaju izravan odnos s kupcima. Pojavili su se novi poslovni modeli koji su
organizacijama pokazali kako koristiti tehnologiju kako bi postigli konkurentsku prednost i veći
prihod (Gay R, et all (2009) „Marketing online - o abordare orientata spre client”, Editura: ALL)

U knjizi E-shock 2000, izdatoj 2000. godine, Michael de Kare Silver - vizionarski savjetnik
Interneta - predložio je deset opcija za politiku maloprodaje kako bi preživjeli u takozvanoj
novoj ekonomiji. Usvajanje interneta smatralo se ključnim za opstanak. De Kare Silver
naglašava da opcije ne osuđuju fizičke prodavaonice na nestanak, već pokazuju kako se mogu
prilagoditi povećanom stupnju interesa za elektroničkim kupovinom.

E-poslovanje postaje područje u kojem se snaga tradicionalne informacijske tehnologije integrira

s internetom, kao i s novom vizijom vođenja poslovanja. Ovo nije samo način prodaje na
Internetu, već pomaže poboljšati usluge kupcima, modernizirati opskrbni lanac i sve vrste
prodaje, razvijajući odnose između posla i poslovanja. Automatizira postupak narudžbi,
povećava broj tržišta, smanjuje troškove i ističe konkurentnost; omogućuje tvrtkama da
analiziraju svoje potencijalne kupce i pravilno raspoređuju resurse i omogućuje da tvrtke budu
aktivne 24 sata dnevno.

5
 2.1. Prednosti i rizici povezani s e-trgovinom i e-poslovanjem

Širenje upotrebe Interneta u svijetu dovelo je do impresivnog razvoja e-trgovine i eposlovanja.

Trenutno se čini da je jedna od prilika organizacije da se razvije, smanji troškove, poveća brzinu
aktivnosti, poveća kvalitetu proizvoda i usluga kako bi stekla nova tržišta, postala globalna.
Navedene su neke bitne prednosti za opseg poslovanja pomoću interneta: (Avison, D.,
Fitzgerald, G. (2002) Information System Development. Methodologies, Techniques and Tools,
4th Edition, The McGraw-Hill Companies, New York., str. 9.)

- vrijeme potrebno za dovršavanje transakcija je kraće;

- smanjeni su transakcijski i marketinški troškovi;
- pristup globalnom tržištu je lakši;
- komunikacija s klijentima i dobavljačima je fluidnija i učinkovitija;
- dostupnost posla 24 sata dnevno;
- klijenti se suočavaju s proizvodima i uslugama na jednostavan način.

Ako trebamo razmotriti rizike, u ovom slučaju možemo reći da je za e-trgovinu brzina pogreške i
prijetnji emisija mnogo veća od one koja je suočena s tradicionalnom trgovinom i poslovanjem,
zbog nepostojećih granica u cyberspaceu. Postoji više klasifikacija rizika etrgovine i e-
poslovanja. Za neke narode oni mogu biti unutarnji i vanjski, ljudski ili strojno stvoreni,
namjeravani ili ne.

U situacijama u kojima se validacija tiče tehničkih elemenata računarski vid može uticati i na
poslovanje. Svaka organizacija koja želi koristiti tehnologiju računarskog vida ili svoju trenutnu
implementaciju podići na viši nivo treba se fokusirati na uvide koji su joj potrebni kako bi bolje
vodila svoje poslovanje i unaprijedila procese.

Upravo iz razloga što je Internet zastupljen u svim sferama života, veoma je važno upoznati se sa
svim rizicima koje cyber okruženje donosi, te se upoznati sa svim mjerama zaštite koji mogu
spriječiti cyber napade, o čemu ćemo pisati u nastavku rada.

6
 3. HISTORIJSKI RAZVOJ

Dok na jednoj strani imamo stručnjake za cyber sigurnost, na drugoj strani imamo hakere, koji
pokušavaju razne napade, ispitujući ranjivost samih sistema. Razvoj sigurnosnih cyber sistema je
usko povezan sa cyber napadima koji su uz industrijsku revoluciju i tehnološki napredak postali
sve napredniji. Prvi cyber napad desio se 1965.godine, a od tada, do danas, hakeri su postali sve
napredniji, a napadi učestaliji. Hakeri su tada bili programeri i studenti, međutim, sada su se
formirali u grupe, koje imaju već taktički pripremljene napade.

Prvu slabu tačku pronašao je univerzitetski profesor William D. Mathews 1965. godine u Multics
Compatible Time-Sharing System (CTSS), vremenski dijeljenom operativnosm sistemu, što je
predstavljalo revolucionarni korak kada je razvoj cyber sigurnosti u pitanju. Naime, tada je
čovjek upoznao svog neprijatelja i na osnovu informacija o njemu, mogao je početi razvijati
adekvatna odbrambena sredstva, odnosno alate.

1970. godine, prošlog vijeka, Bob Thomas je zajedno sa svojim prijateljem Ray Tomlinsonom
stvorio prvi računarski virus. Virus se kretao između računara, množeći se i tako je zarazio sve
računare koji su došli u kontakt s njim. Iako je ovo inicijalno bila samo šala dva prijatelja, u
konačnici je bila polazna tačka za početak razvoja cyber napada i cyber kriminala.

1989. godine Robert Morris stvorio je tzv. crva (eng.Worm) s namjerom da odredi veličinu
interneta, što se na kraju pretvorilo u prvi DoS napad - Napad uskraćivanjem resursa (eng.
Denial of Service - DoS). Iako je primarno samo usporio računare, ukoliko bi se sistem više puta
zarazio istim crvom došlo bi do pada sistema.

Iste godine izvršen je prvi napad uz pomoć Trojanca i to na konferenciji Svjetske zdravstvene
organizacije, kada je Joseph Popp pronevjerio 20.000 inficiranih disketa koje su nakon
pokretanja šifrirali sve dokumente i datoteke korisnika, a zatim im iznudili novac kako bi ih
dešifrovali.

1990. godine pojavili su se maliciozni virtuelni virusi, koji su se distribuirali putem e-maila,
odnosno e- pošte. Najpopularniji su bili I LOVE YOU i Melissa koji su se rapidno širili svijetom
i tako zarazili milione uređaja uzrokujući pad sistema.

7
Rane 2000. donijele su pojavu nove hakerske tehnologije, odnosno naprednih prijetnji
(eng.Advanced Persistant Threat -APT) koje je razvila kompanija Titan Rain. Vjeruje se da iza
postojanja ove kompanije stoji Kina, budući da je virus napadao kompjuterske sisteme u SAD-u.
Najpoznatiji crv je zasigurno Stuxnet korišten 2010. godine u napadu na iranske sisteme koji su
bili sastavni dio njihovog nuklearnog programa.

U istom vremenskom periodu pojavio se prvi Reverton, dostupan na dark web-u koji je
omogućio čak i laicima da vrše hakerske napade i kradu podatke sa uređaja. 2013. godine
pojavio se napredniji malware - CryptoLocker koji ne samo da je koristio enkripciju za
zaključavanje datoteka, već se i rapidno širio pomoću bonet mreža.

2016. godine donijela je masovnu popularnost IoT uređajima koji su upravo zbog toga postali
nova meta, pa su se tako Boneti počeli koristiti za napade na IoT uređaje. Najpopularniji Bonet
bio je Mirai koji je 2016. godine u veoma kratkom vremenskom roku zarazio više od 600.000
IoT uređaja širom svijeta.

2020. godinu obilježili su napadi na lance snabdijevanja (eng. Supply chain attack) kada je grupa
ljudi povezanih sa Rusijom iskoristila slabu tačku u sistemu upravljanja jedne korporacije i
implementirala virus. To je rezultiralo širenjem zaraze na gotovo 18.000 korisničkih uređaja koji
su virus unijeli u sistem kada su pokušali ažurirati aplikaciju u vlasništvu ove kompanije. 2

Savanti u izvještaju o istraživanju iz januara 2023.godine navodi da su cyber napadi u

2022.godini bili veći za 38% u odnosu na 2021.godinu. Kao posljedice takvih napada pominju se
povećana premija osiguranja, poremećaj psolovanja, smanjenje proizvodnje, odgađanja,
reputacijski rizik, krađa intelektualnog vlasništva, pravne i regulatorne radnje i sl. Savanti ističe
da organizacije koje su spremne odgovoriti na cyber napade ostvaruju značajan rast prihoda,
veće vrednovanje i neto marže. Investitori sve više vide cyber sigurnost kao pokazatelj kvaliteta
organizacije.

2 https://www.sailpoint.com/identity-library/five-types-of-cybersecurity/
8
 4. VRSTE CYBER SIGURNOSTI / NAČINI ZAŠTITE

Implementacija efikasnih mjera cyber sigurnosti danas je posebno izazovna jer u svijetu trenutno
postoji više uređaja nego ljudi, a napadači postaju sve inovativniji.

Uspješan pristup cyber sigurnosti ima nekoliko slojeva zaštite raspoređenih na računare, mreže,
programe ili podatke koje namjeravamo zaštititi. U organizaciji, ljudi, procesi i tehnologija
moraju se međusobno nadopunjavati kako bi stvorili efikasnu odbranu od cyber napada.

Tehnologija je neophodna za osiguravanje kompjuterskih sigurnosnih alata potrebnih za zaštitu

od cyber napada od strane organizacija i pojedinaca. Tri glavna entiteta moraju biti zaštićena:
krajnji uređaji kao što su računala, pametni uređaji i ruteri, mreže i cloud. Uobičajene tehnologije
koje se koriste za zaštitu ovih entiteta uključuju zaštitne zidove nove generacije, DNS filtriranje,
zaštitu od zlonamjernog softvera, antivirusni softver i sigurnosna rješenja e-pošte.

Cyber sigurnost je disciplina koja se uz pomoć velike palete alata bavi zaštitom povjerljivih
informacija i prevencijom potencijalnih cyber napada koji mogu rezultirati krađom podataka.
Postoji nekoliko vrsta cyber sigurnosti, a najpopularnije su3:

- Mrežna sigurnost
- Sigurnost aplikacija
- Sigurnost informacija ili podataka
- Sigurnost u oblaku
- Mobilna sigurnost
- Sigurnost krajnje tačke
- Zaštita kritične infrastrukture
- Zaštita internet stvari

U nastavku rada ćemo detaljnije obrazložiti svaku od gore navedenih vrsta.

3 https://www.geeksforgeeks.org/cyber-security-types-and-importance/
9
 4.1. Mrežna sigurnost (eng. Network security)

Fokusira se na zaštitu računarskih mreža od neovlaštenog pristupa, krađe podataka i drugih

malicioznih pokušaja. Često smo se pronašli u situaciji da smo izvan kuće, a neophodan nam je
Wifi – najlogičnije rješenje jeste da se konektujemo na besplatni, javni Wifi na mjestima, poput
kafića, restorana, tržnih centara. Iako možda u tom trenutku izgleda kao praktično rješenje,
velika je vjerovatnoća da će nas naša nepromišljenost u budućnosti koštati privatnih podataka i
novčanih resursa. Naime, javni Wifi je plodno tlo za krađu podataka, tako što sada neka druga
osoba uz malo informatičkih sposobnosti vrlo jednostavno može pristupiti našim podacima i u
većini slučajeva bankovnom računu. Najbolje bi bilo u potpunosti izbjegavati njihovu upotrebu,
ali ako to nije moguće, potrebno se zaštititi uz pomoć odbrambenih instrumenata među kojima su
danas najpopularniji Vatrozid (eng.Firewall), Sistemi za detekciju i prevenciju nelegalnih upada
(eng. Intrusion detection system – IDS) i Virtualne privatne mreže (eng.Virtual Private Network
– VPN).

4.2. Sigurnost aplikacija

Bavi se pronalaženjem rješenja pomoću kojih bi se mogle osigurati „slabe tačke“ unutar
softverskih aplikacija, te bi se na taj način potencijalni napadač preduhitrio i spriječio u pokušaju
krađe. Kako bi se to preveniralo, dizajneri aplikacije prvenstveno treba da konstantno
unaprijeđuju i ažuriraju softver uz implementaciju Firewall-a na nivou aplikacije. Također,
korisnik aplikacije treba biti odgovoran i preuzimati aplikacije samo sa provjerenih platformi
poput Google Play-a, Apple App Store-a ili Amazonovog App Store-a. Surfajući internetom
često naiđemo na sumnjive web stranice u obliku APK- a koje nam nude da u par klikova
preuzmemo njihovu aplikaciju. To su gotovo uvijek zamke hakera koji nakon što korisnik
instalira aplikaciju na svoj uređaj, preuzmu njegove lične podatke koje kasnije zloupotrebljavaju,
najčešće prodavjući ih nekom trećem licu za novac.

4.3. Sigurnost informacija ili podataka

Fokusira se na zaštitu osjetljivih podataka i informacija od ilegalnog pristupa, otkrivanja,

izmjene, distribucije ili uništavanja, koristeći metode šifriranja, kontrole nad tim ko ima pristup
tim podacima, kao i posebne mjere sprječavanja gubitka podataka (eng. Data loss prevention -

10
DLP). Šifrovanje(eng. Chipering) je proces pretvaranja suvislih i smislenih informacija u
nečitljiv i nerazumljiv format. Kako bi se spriječili nelegalni upadi, uvijek treba biti u
pripravnosti, pa tako su procesi analiziranja neuobičajnih aktivnosti jedan od ključnih faktora za
brzo otkrivanje i adekvatnu reakciju na kibernetički napad. Prva linija odbrane od kiberetičkog
napada su svakako korisnici, stoga je od suštinske važnosti detaljnoih informisati o opasnostima
i prijetnjama koje nepromišljeno dijeljenje informacija nosi. Neophodno je edukovati građane o
posljedicama zloupotrebe povjerljivih informacija i pružiti im adekvatan način da prepoznaju
sumnjive aktivnosti i zaštite se od njih. Danas su društvene mreže jedna od glavnih platformi za
iznudu privatnih podataka, pa ljudi često privučeni fantastičnom ponudom nepromišljeno daju
svoje podatke i tako upadaju u zamku hakera koji sa druge strane strpljivo čekaju naivnu osobu
koja će im svojim podacima obezbijediti materijalnu korist.

4.4. Sigurnost u oblaku (eng. Cloud Security)

Uključuje skup protokola i tehnologija za zaštitu podataka, informacija, aplikacija i drugih

datoteka koje se nalaze u infrastrukturi kroz uvođenje kontrole pristupa i zaštite podataka.
Funkcioniše na principu gdje korisnik upload-uje svoje podatke, aplikacije i datoteke na Cloud
platformu, koju nude provajderi poput AWS, Azure,Google Cloud-a. Budući da se njihovo
poslovanje oslanja na povjerenje kupaca, provajderi pod svaku cijenu nastoje zadržati visok nivo
sigurnosti, pa stoga koriste različite metode kako bi korisnički podaci ostali privatni i sigurno
pohranjeni. Sigurnost podataka u oblaku podrazumijeva konstantnu procjenu mogućih rizika,
usklađenost s industrijskim propisima i redovno praćenje sumnjivih aktivnosti kako bi se na
vrijeme spriječile potencijalne malverzacije. Ovo cyber rješenje je od izuzetnog značaja za
poslovanje preduzeća, bilo da se radi o eminentnoj korporaciji ili malom, privatnom biznisu.

4.5. Mobilna sigurnost

Podrazumijeva zaštitu ličnih podataka koji se nalaze na mobilnim uređajima, odnosno mobilnim
telefonima i tabletima od kibernetičkih zloupotreba, poput neovlaštenog pristupa podacima,
krađe ili Malware-a. Danas su mobiteli gotovo svakodnevno uz nas, uz pomoć njih vršimo razne

11
transakcije, kao što je online kupovina, plaćanje računa ili korištenje usluga mobilnog
bankarstva što zahtijeva unošenje ličnih podataka sa bankovne kartice, pa su upravo zbog toga
često meta hakera koji nastoje preuzeti te podatke, a zatim i povući novac. To najčešće čine
putem javnog Wifija na koji se korisnik besplatno konektuje i tako upadne u zamku cyber
kriminala. Kako bi se to spriječilo, građanima se savjetuje da koriste isključivo provjerene
mreže, poput Wifija zaštićenog lozinkom ili mobilnih podataka. Također jedan od rizika
zloupotrebe podataka jeste kada osoba izgubi svoj mobilni uređaj, koji prethodno nije zaštićen
lozinkom.

4.6. Sigurnost krajnje tačke (eng.End point security)

Kada se spomene pojam end point security misli se na zaštitu personalnih uređaja poput
mobilnih telefona, računara, laptopa, IoT-a uz pomoć alata poput različitih antivirusa, sistema za
spriječavanje neovlaštenih upada (eng. Intrusion prevention system -IPS), enkripcije podataka i
redovno ažuriranje softvera. Implementacija antivirusa je možda i najvažniji faktor kada je u
pitanju zaštita od hakerskih napada pomoću virusa,trojanaca i crva. Funkcionišu na principu da
prepoznaju, eliminišu ili „zarobe“ maliciozne datoteke, kako bi zaštitili mrežu ili uređaj od
napada i štete koju bi izazvali Također, začajan doprinos u odbrani ima Vatrozid, tzv. Firewall
koji ima zadatak da prati, kontroliše i filtrira korumpirane datoteke. Svakako, da bi sigurnost
uvijek bila na visokom nivou, neophodno je redovno ažurirati operativni sistem i softvere koji se
bore protiv upada.

4.7. Zaštita kritične infrastrukture

Pod pojmom Kritična infrastruktura smatraju se svi fizički i virtualni resursi, sistemi i mreže
neophodni da bi jedna industrija, poput ekonomske, prehrambrene ili poljoprivredne nesmetano
funkcionisala. Industrijski kontrolni sistemi (eng. Industrial Control Systems – ICS), poput
sistema nadzora i prikupljanje podataka (eng. Supervisory control and data acquisition –
SCADA) koji se koriste za automatizaciju i digitalizaciju industrijskih procesa, nerijetko bivaju
meta napada. Budući da mogu infrastrukturi nanijeti veliku štetu i znatno ugroziti rad industrije
smatraju se velikom prijetnjom. Rade na principu upada u međuzavisne sisteme i sektore gdje
zatim oštećuju ili potpuno uništavaju dostupne podatke, što zasigurno za posljedicu ima uništenje
poslovanja industrije. Budući da su sistemi i sektori povezani i međuzavisni, dovoljan je

12
neovlašten upad u samo jedan sektor da poremeti funkcionisanje i svih drugih sektora, koji nisu
bili direktna meta cyber napada.

4.8. Zaštita Internet stvari (eng. Internet of Things – IoT)

Ovo se najčešće dešava kada su u pitanju uređaji poput kućnih rutera koje provajder isporučuje
sa generičkim lozinkama koje je jednostavno razbiti, a potom i pristupiti uređaju. Cyber napad
sprovode tako što na na daljinu koriste velike baze podataka, koje nasumično biraju kombinaciju
brojeva, dok ne otkriju ispravnu.

13
 5. PROCES UPRAVLJANJA CYBER RIZIKOM

Prema PurpleSec-u (2021.), cyber napadi su skočili za 600% tokom pandemije COVID-19, a
troškovi rastu velikom brzinom. Pojavljuje se potreba za implementaciju efikasnog programa
upravljanja cyber rizicima, čije je održavanje veoma kompleksno za kompaniju, ali i neophodno.
Analiza rizika i njegovog potencijalnog uticaja omogućava organizacijama stvaranje strateških
ciljeva i smanjenje rizika od cyber napada.

Upravljanje cyber rizicima predstavlja proces identifikacije, analize i suzbijanja IT sigurnosnih

rizika kako bi se spriječile budući cyber napadi. Ovaj proces se temelji na izradi snažnog okvira
koji strogo slijedi relevantne smjernice, standarde i najbolje prakse. Kada se okvir za upravljanje
rizicima pravilno implementira, omogućava organizacijama bolje razumijevanje spektra rizika s
kojima se suočavaju.

Razvoj planova i okvira za upravljanje cyber rizicima povećava svijest o cyber napadima unutar
cijele kompanije/organizacije. Ovo ne samo da pomaže u sprječavanju cyber napada, već
smanjuje operativne troškove, štiti poslovne resurse, poboljšava reputaciju i stvara optimalan
sigurnosni položaj.

Kako smo i naveli ranije, u savremenom poslovnom okruženju, gdje su cyber rizici sve prisutniji,
ključno je uspostaviti i implementirati program upravljanja cyber rizicima kako bi se
organizacije zaštitile od potencijalnih prijetnji. Izradu ovog programa možemo posmatrati kroz
nekoliko faza.

Prva, ključna faza jeste „Upoznavanje IT okruženja i sredstava“, gdje je neophodno imati
sveobuhvatno znanje o IT strukturi i sredstvima organizacije. Neprestano praćenje okruženja i
prioritizacija sredstava omogućuje organizacijama da usmjeravaju resurse prema najvažnijim
sredstvima.

14
Druga faza se odnosi na „Razvoj robusne strategije upravljanja cyber rizicima“ naglašavajući
važnost razvijanja dobro promišljene strategije i plana. Identifikacija rizika, razvoj profika te
uključivanje planova za odgovor na napade.

Treća faza predstavlja „Ugrađivanje upravljanja cyber rizicima u kulturu i vrijednosti

organizacije“. Kako smo naveli i u radu, ukoliko zaposlenici nisu dovoljno edukovani o cyber
sigurnosti i mogućim cyber napadima, nema smisla da da razvijamo programe. Ključno je
dokumentirati strategije, planove i postupke i komunicirati svima, kroz obuku, kao sastavni dio
strategije.

Četvrta faza jeste „Ocjene rizika koje su prilagodljive, kontinuirane i korisne“, naglašava važnost
neprekidnih i prilagodljivih procjena rizika. Obzirom da su cyber rizici veoma dinamični, procesi
ocjene moraju se redovno ažurirati kako bi bili efikasni.

Peta faza predstavlja „Primanje strogih sigurnosnih protokola“. Sveobuhvatna i intuitivna

sigurnost koja je ključna za efikasno suzbijanje rizika, uključuje stroge politike autentifikacije i
pristupa, sigurnosne protokole za radnike koji rade uz remote pristup, te redovnu izradu
sigurnosnih kopija.

Šesta faza naglašava „Potrebu za stvarnom i pouzdanom vidljivošću“, obzirom da su cyber rizici
prisutni unutar organizacije, realna i pouzdana vidljivost dinamičkog rizikoprofila ključna je za
efikasno suzbijanje prijetnji od cyber napada. Obzirom na kontinutiran rast prijetnji od cyber
napada, organizacije se sve više oslanjaju na dinamičke programe upravljanja cyber rizicima,
koji temeljeni na najboljim praksama, postaju neizostavna zaštita od cyber napada.

5.1. Načini na koji organizacije mogu poboljšati svoju cyber sigurnost

U teoriji, postoje tri načina/preporuke na koje kompanije mogu poboljšati svoju cyber sigunost, i
to:

- Promjena fokusa u cyber sistemima/programima:

o Fokus se treba promijeniti sa izbjegavanja neuspjeha na otkrivanje i reagovanje na
neuspjehe

15
 o Efikasno upravljanje rizicima uključuje ulaganje u incidentne planove, testiranje
softvera i AI, te osnaživanje interne spremnosti na napad
- Proširena definicija „neuspjeha“
o Neuspjesi u digitalnom smislu ne bi trebali biti povezani samo sa sigurnošću,
trebali bi uključivati raspon potencijalnih šteta, probleme sa privatnošću,
reputacijski rizik, intelektualno vlasništvo, privatnost podataka i sl.
- Širok pristup u cyber programima i praćenju neuspjeha:
o Praćenje neuspjeha treba biti jedan od prioriteta za cyber timove
o Organizacije bi trebale preuzeti odgovornost za praćenje i upravljanje
neuspjehom, a ne da se oslanjaju na vanjske izvore
o Vrijeme koje organizacijama treba za identifikaciju prevara ukazuje na nedostatak
efikasnog praćenja.

Dugoročno, navedene preporuke nisu dovoljne, potrebni su i neki drugi potezi, kao što su
uključivanje dodatnih resursa, praćenje integriteta podataka, postavljanje organizacijske kulture
na način da u svakom trenutku treba obezbijediti sigurnost, a ne razmišljati o njoj samo nakon
što bude ugrožena.

16
 6. CYBER NAPADI

Postoji nekoliko vrsta cyber napada, između ostalih to su:

● Malware – štetni program, koji je najčešće skriven u linku ili dokumentu, a ima za cilj

pristup tuđim računarima, zbog krađe ličnih podataka, brisanja podataka i slično. Pod
malware se podrazumijevaju i razni virusi, kao što su spyware i adware.
o Spyware – program koji „špijunira“ aktivnosti na internetu, može skenirati hard
disk, kako bi pronašao lične podatke.
o Adware – program koji instalira oglase na računare, najčešće je bezopasan. Pamti
navike pretraživanja i prikazuje oglase koji se vežu za historiju pretraživanja.

● Phising – putem e-maila, najčešće se dešava krađa identiteta određene kompanije/osobe

uz slanje određene veze/linka ili dokumenta, gdje nakon klika na link/dokument hakeri
dobijaju povjerljive podatke o korisniku, kao što su podaci o bakovnom računu i slično.
Ovakvi mailovi se često mogu prepoznati, uz provjeru nekoliko bitnih stavki prije samog
klika (npr. Email bez naslova/predmeta, čudne riječi u tekstu e-maila i interpukcijski
znakovi i slično). Međutim, kako smo ranije naveli, kako napreduje razvoj informacijskih
sistema, tako i hakeri unapređuju svoje napade, pa je tako vrsta phisinga pod nazivom
spear phising detaljniji, ciljani phising napad.
o Spear phising šalje personalizovane e-mailove određenoj osobi. Za ovaj napad,
potrebna je detaljnija i duža priprema od strane hakera.

● Vishing – putem telefonskog poziva, napad veoma sličan phisingu, ali se u ovom slučaju

napadači predstavljaju kao uposlenici kompanije te traže podatke od klijenta npr o

bankovnoj kartici i slično.

Iako su gore pomenuti primjeri vezani za trenutak nepažnje klijenta i klik na

vezu/link/dokument, veoma često se dešava da ovakovi napadi putem e-maila budu poslani na e-

17
mail adrese uposlenika određene kompanije, na sve ili na pojedince. Te je zbog toga veoma
važno da stručnjaci cyber sigurnosti obuče i svoje kolege u ovom dijelu.

Obzirom da je u 21.vijeku većina stanovništva korisnik društvenih mreža, možemo reći da i

cyber sigurnost društvenih mreža ima značajnu ulogu. Korisnici društvenih mreža žele da se
osjećaju sigurno i da dijele sa svojim prijateljima njima bitne trenutke/informacije. Naravno,
korisnici bi trebali biti oprezni u dijeljenju ličnih informacija, obzirom da cijeli internet
funkcioniše kao jedna velika baza podataka, gdje su pohranjeni svi podaci/informacije koji su se
ikada unijeli na neku platformu. Na ovaj način mogu vrlo lako postati metom cyber napada, te je
veoma bitno da svaka društvena mreža ima izgrađenu jaku i stabilnu cyber sigurnost
infrastrukturu.

6.2. Cyber sigurnost i cyber napadi u Bosni I Hercegovini

Iako se u svijetu pridaje veliki značaj cyber sigurnosti, Bosna i Hercegovina, jedina od zemalja
na Zapadnom Balkanu, još uvijek nema definisanu strategiju za cyber sigurnost, a kompanije i
državni organi u BiH su veoma često mete napada.

U BiH se u periodu oktobar/novembar 2023godine, desio cyber napad koji se može

okarakterisati kao spear phising napad. Naime, haker je istražio vezu između kupca i dobavljača,
te uz krađu identiteta kompanije, kupcu dostavio novu instrukciju za plaćanje fakture, te je novac
umjesto na račun kompanije, uplaćen na račun hakera, ovdje se radi o milionskim iznosima.

Pored napada na kompanije u BiH, u prethodnoj godini se dogodio i napad na državne institucije,
javnosti nije još uvijek poznato na koji je način tačno napad izvršen, ali pretpostavlja se da se i u
ovom slučaju radi o napadu putem e-maila. Nedavno je također i BH Pošta, te njeni klijenti bili
metom napada, gdje su putem SMS poruke klijentima poslane info o navodnoj pristigloj pošiljci,
sa umetnutim linkom u poruku.

Stručnjaci za informacijsku sigurnost ističu da je u BiH u sektoru bankarstva cyber sigurnosti na

zavidnom nivou, odnosno da bankarski sektor konstantno ulaže u cyber sigurnosti, zaposlenike,
sisteme zaštite, obučava zaposlenike svih odjela i redovno upozorava klijente o mogućnosti
cyber napada.

18
 6.3. Twitter – cyber napad

U julu 2020. godine, tri osobe su izvršile upad u Twitter platformu koristeći društveni
inženjering kako bi preuzeli kontrolu nad popularnim Twitter nalozima. Ovi napadači su
iskoristili metode socijalnog inženjeringa kako bi neovlašteno pristupili podacima zaposlenika,
omogućivši im ulazak u interne sisteme upravljanja kompanije. Twitter je kasnije identifikovao
ove metode kao oblik prevare poznate kao "phishing".

Niz poznatih naloga, uključujući one koje su pripadale Baraku Obami, Jeffu Bezosu i Elonu
Musku, bili su mete hakiranja. Napadači su zloupotrijebili ukradene naloge kako bi objavljivali
prevare povezane s bitcoinom, što im je omogućilo da zarade više od 100.000 dolara.

Nakon dvije sedmice od ovog incidenta, američko Ministarstvo pravde je podiglo optužnicu
protiv trojice osumnjičenih, od kojih je jedan bio maloljetnik od 17 godina u vrijeme izvršenja
ovog napada. Ovaj događaj je potaknuo mnoge diskusije o sigurnosti podataka i potrebi za jačim
zaštitnim mjerama na društvenim mrežama.

6.4. Microsoft Exchange – cyber napad

U martu 2021. godine, izvršen je veliki cyber napad na Microsoft Exchange, popularni serverski
sistem za poslovnu elektronsku poštu. Napad je iskoristio četiri odvojene ranjivosti otkrivene u
Microsoft Exchange serverima.

Ove ranjivosti omogućavaju napadačima da kreiraju nepouzdane URL-ove, koriste ih za pristup

sistemu Exchange Servera i pruže direktnu putanju za skladištenje zlonamjernog softvera na
serverskoj strani. To je napad koji omogućava izvršenje udaljenog koda (Remote Code
Execution - RCE), što napadačima omogućava potpuno kompromitiranje servera i pristup svim
njegovim podacima. Na pogođenim serverima, napadači su ukrali osjetljive informacije, ubacili
ransomware i implementirali "backdoors" na način koji je gotovo nemoguće pratiti.

Samo u Sjedinjenim Američkim Državama, napadi su utjecali na devet agencija vlade i više od
60.000 privatnih preduzeća.

19
 7. ZAKLJUČAK
Cyber sigurnost je živa materija, pred koju se iz dana u dan stavljaju određeni izazovi, između
ostalih to su:

● Konstantna evolucija tehnika i tehnologije – razvojem informacijskih sistema povećava

se mogućnost cybernapada. Hakeri razvijaju nove metode, samim tim konstatno se treba
ažurirati softver koji radi na implementaciji cyber sigurnost. Konstantno ažuriranje cyber
sigurnosnih sistema je veoma zahtjevno, a nekada i finansijski neisplativo, ali dugoročno
gledano ove investicije ne mogu biti neuspješne.

● Količina podataka – kompanija je interesantnija za cyber napade ukoliko pohranjuje veći

broj podataka o klijentima,

● Trening i edukacija – kako smo ranije i naveli, veoma je važno edukovati zaposlenike,

obzirom da su oni vrlo često meta napada kako bi se hakeri integrisali u kompaniju.
Potrebno je provođenje kvalitetne edukacije, što za kompaniju može predstavljati izazov
obzirom da je potrebno osigurati i dodatni budžet

● Nedovoljan broj stručnjaka za informacijsku sigurnost – ovaj izazov bi se mogao zaobići

angažovanjem specijalizirane IT kompanije, ukoliko kompanija nema mogućnost za

zapošljavanje internog kadra

Cyber sigurnost evoluirala je od odbrambenog mehanizma do temeljne konkurentske prednosti u

digitalnom dobu. Kompanije koje efikasno upravljaju rizicima cyber sigurnosti razlikuju se kroz
izgradnju povjerenja, otpornosti, usvajanja tehnoloških inovacija na siguran način i usvajanja
holističkog pristupa zaštiti povezanih mreža. Kako se digitalno okruženje nastavlja mijenjati,
sposobnost uspješnog snalaženja i izvrsnosti u području cyber sigurnosti ostat će ključnim

20
odrednicama uspjeha, izdvajajući organizacije koje je smatraju temeljnim elementom svoje
konkurentske strategije.

Sve navedeno u radu, navodi na zaključak da je veoma bitno, da svaka kompanija ima interne
strategije o cyber sigurnosti i da novac uložen u cyber sigurnost nikako ne može biti neuspješna
investicija, bilo da se radi o ulaganju u sisteme ili zaposlenike. Ono što će u velikoj mjeri
građane privući da budu klijenti/korisnici usluge određene kompanije jeste povjerljivost i zaštita
njihovih podataka, čime kompanija automatski obezbjeđuje konkurentsku prednost, u odnosu na
ostale.

LITERATURA

1. https://duplico.io/cybersigurnost-definicija-prednosti-i-vaznost/ [Pristupljeno:
05.01.2024.]
2. https://duplico.io/informacijska-sigurnost-i-cyber-sigurnost/ [Pristupljeno: 05.01.2024.]
3. https://e-transformacija.ba/oblasti/cyber-sigurnost/ [Pristupljeno: 04.01.2024.]
4. https://hbr.org/2023/05/the-digital-world-is-changing-rapidly-your-cybersecurity-needs-
to-keep-up [Pristupljeno: 05.01.2024.]
5. https://mibo.ba/servisi-cyber-sigurnost/ [Pristupljeno: 04.01.2024.]
6. https://mup.ks.gov.ba/kampanja/zastitimo-se-od-cyber-kriminala [Pristupljeno:
25.12.2023.]
7. https://support.microsoft.com/sr-latn-rs/topic/%C5%A1ta-je-sajber-bezbednost-
8b6efd59-41ff-4743-87c8-0850a352a390 [Pristupljeno: 24.12.2023.]
8. https://unija.com/hr/kako-se-zastititi-od-cyber-napada/ [Pristupljeno: 25.12.2023.]
9. https://usa.kaspersky.com/resource-center/definitions/what-is-cloud-security
[Pristupljeno: 27.12.2023.]
10. https://www.asadria.com/racunarski-vid-kao-buducnost/ [Pristupljeno: 08.01.2024.]
11. https://www.ebcgroup.co.uk/news-insights/what-are-the-7-types-of-cyber-security
[Pristupljeno: 27.12.2023.]
12. https://www.eccouncil.org/cybersecurity-exchange/executive-management/effective-
cybersecurity-risk-management-checklist/ [Pristupljeno: : 04.01.2024.]
13. https://www.eccouncil.org/what-is-cybersecurity/ [Pristupljeno: : 04.01.2024.]

21
 14. https://www.geeksforgeeks.org/cyber-security-types-and-importance/ [Pristupljeno:
27.12.2023.]
15. https://www.indusface.com/blog/6-best-practices-in-cyber-security-risk-management/
[Pristupljeno: 27.12.2023.]
16. https://www.sailpoint.com/identity-library/five-types-of-cybersecurity/ [Pristupljeno:
08.01.2024.]
17. https://zir.nsk.hr/islandora/object/efzg%3A5252/datastream/PDF/view [Pristupljeno:
07.01.2024.]

DODATAK SA PITANJIMA

1.Šta predstavlja mrežna sigurnost kao vrsta cyber sigurnosti?

a) pronalaženje rješenja pomoću kojih bi se mogle osigurati „slabe tačke“ unutar softverskih
aplikacija
b) zaštita računarskih mreža od neovlaštenog pristupa, krađe podataka i drugih
malicioznih pokušaja
c) skup protokola i tehnologija za zaštitu podataka, informacija, aplikacija i drugih datoteka
koje se nalaze u infrastrukturi kroz uvođenje kontrole pristupa i zaštite podataka

2.Koja je prva, istovremeno i ključna faza upravljanja cyber rizicima?

a) Ugrađivanje upravljanja cyber rizicima u kulturu i vrijednosti organizacije
b) Razvoj robusne strategije upravljanja cyber rizicima
c) Upoznavanje IT okruženja i sredstava

3.U čemu se odražava važnost cyber sigurnosti?

a) Očuvanje reputacije kompanije
b) Mogućnosti razvoja
c) Uništavanju osjetljjivih informacija

4.Cyber sigurnost je ključna za funkcionisanje:

a) Velikih preduzeća
b) Malih start-up kompanija
c) Državnih institucija

22
 d) Sve od navedenog
5. Phising je..
a) štetni program, koji je najčešće skriven u linku ili dokumentu, a ima za cilj pristup tuđim
računarima, zbog krađe ličnih podataka, brisanja podataka i sl.,
b) napadači se predstavljaju kao uposlenici kompanije te traže podatke od klijenta npr o
bankovnoj kartici i sl.,
c) krađa identiteta određene kompanije/osobe uz slanje određene veze/linka ili
dokumenta, gdje nakon klika na link/dokument hakeri dobijaju povjerljive podatke
o korisniku, kao što su podaci o bakovnom računu i sl.

23