Vi-Di.me je ovlašteni Hornetsecurity partner: Što to znači za Vašu tvrtku u Hrvatskoj

Hornetsecurity by Proofpoint je cloud sigurnosna platforma fokusirana na Microsoft 365 sigurnost, email zaštitu, backup, usklađivanje, sigurnosne edukacije i upravljanje. Službena objava od 8. prosinca 2025. navodi da je Proofpoint dovršio akviziciju Hornetsecurityja, a Hornetsecurity nastavlja raditi kao posebna poslovna jedinica za MSP i SMB tržište.

Prema službenim Hornetsecurity podacima, partner mreža pokriva 12.000+ kanalnih partnera i MSP-ova, a usluge koristi 125.000+ klijenata globalno. To je bitno jer hrvatske tvrtke ne trebaju izolirano "još jedan spam filter", nego provjerenu platformu za cijeli Microsoft 365 sigurnosni sloj.

Vi-Di.me implementira Hornetsecurity rješenja za hrvatske tvrtke. Radimo audit, plan, konfiguraciju, DNS promjene, onboarding korisnika, izvještavanje i kontinuirano održavanje - na hrvatskom jeziku i s jasnom dokumentacijom za upravu, IT i usklađivanje.

Kao Hornetsecurity partner, ne prodajemo samo licencu. Prvo mapiramo Vaše email tokove, domene, Microsoft 365 tenant, backup potrebe, korisničke rizike i zakonski kontekst. Tek nakon toga biramo module i politiku implementacije.

• Email sigurnost / Spam and Malware Protection - zaštita od spama, malwarea, phishinga i lažnog predstavljanja prije nego poruka dođe do korisnika.
• Advanced Threat Protection - dodatni sloj za opasne linkove, privitke, impersonation i napredne kampanje koje prolaze kroz osnovne filtere.
• DMARC Manager - centralno upravljanje SPF, DKIM i DMARC politikama, analiza izvora slanja, izvještaji, alerti, TLS postavke i BIMI priprema gdje ima smisla.
• Microsoft 365 Total Backup - backup i restore za email, OneDrive, SharePoint i Teams podatke, kako se poslovanje ne bi oslanjalo samo na retenciju unutar M365.
• Email Encryption - S/MIME i PGP potpisivanje/enkripcija, upravljanje korisničkim certifikatima, politike enkripcije i Websafe scenariji za osjetljivu komunikaciju.
• Email Archiving i Continuity - arhiviranje, dostupnost i nastavak rada emaila u incidentnim situacijama, s naglaskom na audit trail i pretraživost.
• Security Awareness Service - kontinuirana edukacija, phishing simulacije i metrike ponašanja korisnika, jer tehnički filter nije dovoljan ako korisnik sam preda lozinku.
• 365 Permission Manager i AI Recipient Validation - kontrola dijeljenja u Teams, OneDrive i SharePoint okruženju te smanjenje rizika pogrešnog slanja prema krivim primateljima.

Najskuplji sigurnosni incident često počne običnim klikom: lažni račun, Microsoft 365 login stranica, "hitna" poruka direktora, QR phishing ili privitak koji izgleda legitimno. Zato Hornetsecurity ponudu ne gledamo samo kao tehnički filter, nego kao program za promjenu ponašanja korisnika.

Security Awareness Service pokriva tri sloja koje uvodimo i objašnjavamo klijentu:

• Početno i kontinuirano mjerenje - mjerenje sigurnosnog ponašanja zaposlenika kroz Employee Security Index (ESI), povijest rezultata i trendove po organizaciji.
• Spear Phishing Simulation - automatizirane phishing simulacije različite težine, uključujući realistične scenarije koji koriste psihološke okidače, javno dostupne informacije i tipične obrasce napada.
• Kratke edukacije - ciljane mikro-edukacije koje se dodjeljuju prema razini znanja korisnika, grupi i rezultatima simulacija.

Vi-Di.me na to dodaje lokalni sloj: uvodni briefing za upravu i zaposlenike, hrvatske primjere napada, objašnjenje rezultata bez posramljivanja korisnika, mjesečni izvještaj i konkretne akcije: kome treba dodatna edukacija, koje procedure treba promijeniti i koji odjeli su najizloženiji.

Poanta nije "uhvatiti" zaposlenika. Poanta je smanjiti rizik prije stvarnog napada i imati dokaz da tvrtka sustavno radi na sigurnosnoj kulturi.

Email sigurnost rijetko živi u jednom sustavu. Tvrtka može imati Microsoft 365 za korisnike, SendGrid za aplikaciju, Mailchimp ili Brevo za newslettere, CRM koji šalje ponude, web shop koji šalje potvrde narudžbi i stari SMTP server koji je netko zaboravio. Ako se sve to ne mapira, DMARC se ne smije samo "upaliti" na p=reject.

U auditu i implementaciji pokrivamo:

• Microsoft 365 / Exchange Online - SPF, DKIM, DMARC, Defender/tenant postavke, Safe Links/Safe Attachments gdje postoje licence, mailbox pravila, forwarding, admin sigurnost, backup i permission governance.
• Google Workspace - SPF, DKIM, DMARC, Gmail sender zahtjevi, routing, compliance pravila, sigurnost administratorskih računa i provjera trećih pošiljatelja.
• Exchange on-prem, hibridna okruženja i SMTP relay - legitimni izvori slanja, TLS, relay kontrole, logovi, migracijski rizici i postupno prebacivanje.
• CRM, ERP, web shop i aplikacije - transakcijski emailovi, fakture, ponude, password reset, potvrde narudžbi i sistemske obavijesti moraju proći autentikaciju bez rušenja deliverabilityja.
• Marketing alati - Mailchimp, Brevo, HubSpot, Klaviyo, SendGrid, Mailgun, Amazon SES i slični sustavi moraju biti autorizirani, usklađeni s DKIM/DMARC alignmentom i dokumentirani.
• Domene koje ne šalju email - zaštitni SPF/DMARC zapisi za parked domene i stare domene koje napadači često koriste za spoofing.

Rezultat nije samo "DNS je postavljen". Rezultat je mapa svih pošiljatelja, sigurnosna politika, promjene u DNS-u, plan pojačavanja do quarantine ili reject, izvještaj za upravu i održavanje kad se uvede novi alat koji šalje email.

Tvrtke često kažu "imamo backup" kada zapravo imaju samo retenciju, arhivu ili kopiju dijela podataka. U Microsoft 365 sigurnosti važno je razlikovati tri poslovna scenarija:

• Backup & restore - vraćanje mailboxa, OneDrivea, SharePointa, Teams podataka i drugih M365 elemenata nakon brisanja, kompromitacije, ransomwarea ili pogrešne konfiguracije.
• Email archiving - čuvanje poslovne komunikacije zbog zakonskih, ugovornih, revizijskih ili internih potreba, s pretragom, audit logom, retencijom i kontroliranim pristupom.
• Email continuity - nastavak slanja, primanja i pretraživanja emaila u trenutku kada Microsoft 365, mail server ili veza imaju prekid.

Vi-Di.me kod implementacije definira što se štiti, koliko se čuva, tko ima pristup, kako se radi restore test i što se događa u incidentu. Bez tog plana, backup je samo pretpostavka.

Ozbiljna email sigurnost ne završava blokiranjem poruka. Treba imati postupak za trenutak kada korisnik klikne link, unese lozinku, odobri OAuth aplikaciju ili pošalje novac na krivi IBAN.

U paketu za incident postupke definiramo:

• kanal za prijavu sumnjivih emailova i odgovorne osobe,
• triage postupak za phishing, BEC, mailbox compromise i malware,
• checklistu za reset lozinki, opoziv sesija, MFA provjeru i uklanjanje forwarding pravila,
• očuvanje dokaza: headeri, logovi, poruke, promjene i timeline,
• komunikaciju prema upravi, IT-u, korisnicima i vanjskim partnerima,
• procjenu treba li uključiti CERT, pravni/DPO tim, AZOP ili nadležna tijela prema ZKS/NIS2 kontekstu.

Brzina reakcije je kontrola. Ako se incident otkrije rano i postoji procedura, šteta se često može ograničiti prije nego postane poslovna kriza.

Sigurnost bez izvještaja postaje osjećaj. Zato uz održavanje isporučujemo mjesečni izvještaj koji spaja tehničke događaje s poslovnim rizikom.

Tipičan mjesečni izvještaj uključuje:

• blokirane phishing, spam, malware i impersonation pokušaje,
• DMARC izvore slanja, nove pošiljatelje i poruke koje padaju provjere,
• backup status, upozorenja i rezultate restore testova,
• rezultate edukacija: trend, rizične skupine i preporučene edukacije,
• SharePoint, OneDrive i Teams permission rizike,
• incident zapise, promjene politika i sljedeće prioritete.

To je sadržaj koji uprava može razumjeti, IT može provesti, a compliance može spremiti kao dokaz sustavnog rada.

NIS2 Direktiva (EU 2022/2555) i hrvatski Zakon o kibernetičkoj sigurnosti (NN 14/2024) ne propisuju da morate kupiti jedan određeni alat. Propisuju da obveznici moraju upravljati kibernetičkim rizicima, imati odgovarajuće tehničke i organizacijske mjere, incident response, kontinuitet poslovanja i odgovornost uprave.

NIS2 razlikuje dvije glavne skupine subjekata:

• Ključni subjekti - sektori poput energetike, prometa, zdravstva, financija, vode, digitalne infrastrukture i javne uprave.
• Važni subjekti - sektori poput poštanskih i kurirskih usluga, gospodarenja otpadom, proizvodnje, digitalnih pružatelja usluga, hrane i istraživanja.

Što to praktično znači za email i Microsoft 365 sigurnost?

1. Email treba biti uključen u procjenu rizika jer je glavni kanal za phishing, BEC, malware, krađu identiteta i curenje podataka.
2. Potrebne su mjere za prevenciju, detekciju, odgovor i oporavak: filtriranje, autentikacija domene, backup, awareness, logging i procedure.
3. Incidenti se moraju brzo prepoznati, dokumentirati i prijaviti prema pravilima koja vrijede za obveznika.
4. Uprava treba imati dokaz da se rizici mjere, kontrole održavaju i da postoji kontinuitet poslovanja.

Važno: DMARC, Hornetsecurity ili backup sami po sebi nisu "NIS2 certifikat". Oni su konkretne tehničke kontrole koje pomažu dokazati da se email i M365 rizici stvarno upravljaju.

GDPR članak 32 traži odgovarajuće tehničke i organizacijske mjere za sigurnost obrade. U praksi, email često prenosi osobne podatke klijenata, zaposlenika, pacijenata, kandidata, kupaca ili dobavljača.

Za email sigurnost to znači da treba razumno pokriti:

• Povjerljivost - enkripcija osjetljive komunikacije, kontrola pristupa i zaštita računa.
• Integritet - DKIM, DMARC, zaštita od izmjene poruka i lažnog predstavljanja domene.
• Dostupnost - backup, continuity i mogućnost oporavka nakon brisanja, ransomwarea ili kompromitacije.
• Testiranje i provjera - periodični audit zapisa, logova, politika i stvarnih rezultata zaštite.

Vi-Di.me kod implementacije odvaja tehničku konfiguraciju od pravnog savjeta: mi dokumentiramo kontrole, izvještaje i operativne postupke, a klijent ili njegov DPO/pravni savjetnik odlučuje kako se to uklapa u širu GDPR dokumentaciju.

Hrvatska je NIS2 prenijela kroz Zakon o kibernetičkoj sigurnosti (NN 14/2024). Za klijente je najvažnije razumjeti da se obveze ne rješavaju jednim Word dokumentom, nego dokazivim sustavom: evidencija, procjena rizika, tehničke mjere, incident procedure, kontinuitet i odgovornost.

Nacionalni centar za kibernetičku sigurnost (NCSC-HR) javno navodi ulogu nacionalne kontaktne točke za razmjenu informacija o kibernetičkim prijetnjama, incidentima i krizama. Nacionalni CERT je nacionalni tim za odgovor na računalno-sigurnosne incidente.

Za tvrtke koje nisu sigurne jesu li obveznik, prvi korak nije kupnja alata nego klasifikacija: sektor, veličina, tip usluge, dobavni lanac, digitalna ovisnost i ugovorne obveze prema partnerima. Nakon toga se email sigurnost može staviti u pravi prioritet.

Kada birate rješenje za email sigurnost, tražite dokaz - ne obećanja. Zato kod svake ponude odvajamo tehničke certifikate koje implementiramo od vendor dokaza koje provjeravamo u aktualnoj dokumentaciji i ugovornim materijalima.

Tehnički pokrivamo:

• S/MIME certifikate - osobni certifikati za digitalno potpisivanje i enkripciju odlaznih poruka.
• PGP ključeve - scenariji gdje partneri ili industrija traže PGP komunikaciju.
• TLS, MTA-STS i TLS-RPT - zaštita transporta emaila i izvještavanje o TLS problemima.
• DKIM ključeve i rotaciju selektora - kriptografsko potpisivanje legitimnih pošiljatelja.
• BIMI pripremu - SVG logo, DMARC enforcement i priprema za VMC/CMC certifikat ako brand želi logo u podržanim inboxima.

Vendor i compliance dokaze provjeravamo prije konačne ponude:

• aktualne uvjete obrade podataka, DPA i popis podizvršitelja,
• lokaciju obrade i opcije regije za backup/arhivu,
• dostupne sigurnosne certifikate ili neovisne audit izvještaje koje vendor pruža kupcima/partnerima,
• retenciju, enkripciju, audit logove, administratorske ovlasti i export podataka,
• usklađenost odabranih modula s Vašim GDPR, ZKS/NIS2 i ugovornim zahtjevima.

Implementacija Hornetsecurity zaštite kod Vi-Di.me izgleda ovako:

1. Početni audit — analiziramo Vašu trenutnu email postavu (Microsoft 365, Google Workspace, Exchange ili vlastiti server), provjeravamo MX zapise, SPF/DKIM/DMARC status, pristupne politike i rizike
2. Konfiguracija — aktivacija Email Security 365 modula, definicija politika za spam, phishing, malware i impersonation napade te allow/block liste prema Vašim potrebama
3. Go-live i monitoring — aktivacija prema dogovorenom planu, praćenje početnog rada i podešavanje kako bi se smanjili lažni pozitivni rezultati
4. Onboarding zaposlenika — edukacijska sesija za Vaš tim: kako prepoznati phishing i što raditi u slučaju sumnjivog emaila
5. Mjesečni izvještaj — svaki mjesec dobijete izvještaj: koliko prijetnji je blokirano, koji procesi nose rizik i što je sljedeći prioritet

Cijena ovisi o broju korisnika, domenama, odabranim modulima, postojećim Microsoft 365/Google Workspace licencama, backup retenciji, arhiviranju i razini podrške. Zato ne zaključavamo klijenta u paket prije audita.

U praksi slažemo tri razine:

• Foundation - SPF, DKIM, DMARC, MTA-STS/TLS-RPT, sender inventory, Google/Microsoft deliverability i osnovni izvještaj.
• Zaštita emaila - Foundation + spam/malware/phishing filter, ATP, DMARC Manager, incident postupak i mjesečni sigurnosni izvještaj.
• M365 sigurnost i kontinuitet - Zaštita emaila + backup, arhiviranje, kontinuitet, upravljanje dozvolama, phishing simulacije i upravljački izvještaji.

Nakon audita klijent dobiva jasan scope: što se uključuje odmah, što je preporuka za kasnije, koje DNS promjene radimo, koje licence trebaju, tko je odgovoran za odobrenje i kako se mjeri uspjeh.

Za tvrtke koje koriste Microsoft 365, Google Workspace ili više alata za slanje emaila prvi korak je audit domene i email sustava. Bez njega se ne može odgovorno obećati rok, cijena ni završna DMARC politika.

Vaš poslovni email sustav — bilo Microsoft 365, Google Workspace ili vlastiti server — možda sada ima otvorene rizike koje nitko aktivno ne prati. U početnoj provjeri možemo procijeniti:

• Je li Vaš SPF ispravno konfiguriran i pokriva li legitimne pošiljatelje
• Imate li DKIM i DMARC zaštitu aktivnu
• Koji korisnici su primarni rizik za phishing
• Koje email kontrole pomažu Vašoj ZKS/NIS2 pripremi

Zatražite besplatni audit domene i email sustava →