Preskoči na sadržaj
Vi-Di.me
SIGURNOST14 min čitanja

Kibernetička sigurnost za tvrtke u Hrvatskoj 2026: lekcije iz aktualnih napada

Aktualni incidenti u Hrvatskoj pokazuju isti obrazac: phishing, curenje podataka, kompromitirane aplikacije i potrebu za jasnom procedurom prije nego šteta nastane.

17. lipnja 2026.|Vi-Di.me Security Division|Ažurirano: 17. lipnja 2026.

TL;DR / KRATKO

U zadnjih mjesec dana javno su prijavljeni incidenti vezani uz državne sustave, sport, turizam i phishing kampanje. Ne možemo znati točan uzrok svakog događaja iz javnih informacija, ali možemo izvući stručnu lekciju: tvrtke trebaju dokazive kontrole za email, identitet, backup, dobavljače, edukaciju i incident response prije nego incident postane javni problem.

SADRŽAJ

  1. 01Zašto je ova tema važna baš sada
  2. 02Što se javno dogodilo u Hrvatskoj u zadnjih mjesec dana
  3. 03Što ne smijemo zaključiti bez dokaza
  4. 04Zajednički obrazac: identitet, email, podaci i dobavljači
  5. 05Što hrvatska tvrtka treba provjeriti u prvih 30 dana
  6. 06Prvih 24 do 72 sata nakon sumnje na incident
  7. 07ZKS/NIS2 i GDPR: sigurnost nije samo tehnička lista
  8. 08Lekcije za upravu, računovodstvo i operativni tim
  9. 09Naši partneri i tehnologije: što Vi-Di.me stvarno implementira
  10. 10Kako Vi-Di.me pretvara vijesti o napadima u stvaran plan zaštite
01

Zašto je ova tema važna baš sada

Kibernetička sigurnost u Hrvatskoj više nije apstraktna tema za velike sustave. U razdoblju od sredine svibnja do sredine lipnja 2026. javno su objavljeni incidenti i upozorenja koji dodiruju državni sektor, zdravstvo, turizam, sport, osobne podatke i svakodnevne phishing poruke građanima.

Ovaj članak ne pokušava pogoditi tko je kriv ni koji je točno propust otvorio pojedini incident. To bi bilo neozbiljno bez forenzičkih podataka. Umjesto toga radimo ono što odgovoran sigurnosni partner treba raditi: odvajamo potvrđene činjenice od pretpostavki i prevodimo javne incidente u konkretne kontrole koje hrvatska tvrtka može provjeriti.

Ako trebate širi program zaštite, krenite od glavnog huba: kibernetička sigurnost za hrvatske tvrtke.

02

Što se javno dogodilo u Hrvatskoj u zadnjih mjesec dana

Prema javno dostupnim objavama i upozorenjima, u kratkom razdoblju pojavilo se nekoliko različitih tipova sigurnosnih događaja:

  • Web defacement u javnom sektoru - Ministarstvo rada objavilo je da je napad na web stranice saniran i da sustav ponovno funkcionira. Prema objavi, baze i osobni podaci nisu bili ugroženi.
  • Phishing i smishing koji se lažno predstavljaju kao policija - Ravnateljstvo policije i CERT.hr upozorili su na lažne SMS/e-mail poruke o prometnim kaznama i ovrhama.
  • Sigurnosni incident s članskim podacima - GNK Dinamo objavio je sigurnosni incident i kasnije ažurirao obavijest o kategorijama podataka i opsegu koji je tada bio poznat.
  • Incident povezan s hotelskim rezervacijama - Mediji su izvijestili o sigurnosnom događaju koji je obuhvatio dio podataka određenog broja klijenata u turističkom kontekstu, uz phishing pokušaje prema gostima.
  • Napad na informacijski sustav Ministarstva zdravstva - Ministarstvo je prema Hini priopćilo da je napad zahvatio pojedine aplikacije, dok sustav s medicinskim podacima pacijenata nije bio zahvaćen.

Ovo nisu isti incidenti i ne treba ih umjetno povezivati. Zajedničko im je drugo: poslovanje, osobni podaci, reputacija i povjerenje ovise o tome koliko brzo organizacija detektira, ograniči, objasni i popravi problem.

03

Što ne smijemo zaključiti bez dokaza

U sigurnosti je najbrži put do lošeg savjeta - prebrzo zaključivanje. Defacement web stranice ne dokazuje sam po sebi kompromitaciju cijele infrastrukture. Phishing kampanja ne znači da je sustav institucije kompromitiran. Curenje podataka ne govori samo po sebi je li uzrok bio aplikacijski propust, kompromitiran račun, API pristup, izvoz podataka, dobavljač ili interna procedura.

Zato u ozbiljnoj analizi ne tvrdimo:

  • tko je napadač, ako to nije potvrdilo nadležno tijelo ili sama organizacija,
  • točan broj zapisa, ako broj nije službeno potvrđen,
  • da su kartice, lozinke ili medicinski podaci kompromitirani ako organizacija kaže suprotno,
  • da je uzrok ransomware, malware, ranjivi dodatak ili lozinka bez forenzičkog traga.

Možemo, međutim, reći nešto važno: ako incident postane javno vidljiv, kontrole nisu u potpunosti spriječile ili dovoljno rano izolirale rizik. To ne mora značiti da zaštite nije bilo, ali znači da sustav zaštite, detekcije, dobavljača, edukacije ili incident procedure treba dokazivo ojačati.

04

Zajednički obrazac: identitet, email, podaci i dobavljači

Kad se makne senzacionalizam, većina praktičnih problema vrti se oko četiri osi.

  1. Identitet - tko se može prijaviti, ima li MFA/passkeys, tko ima administratorski pristup i postoje li stari računi.
  2. Email i domena - može li se domena lažirati, prolaze li SPF/DKIM/DMARC, postoje li forwarding pravila i kako se filtrira phishing.
  3. Podaci - gdje se nalaze osobni i poslovno osjetljivi podaci, tko ih izvozi, koliko dugo se čuvaju i tko ima uvid.
  4. Dobavljači - koji vanjski sustavi, agencije, booking alati, CRM-ovi, web developeri ili marketing alati imaju pristup poslovnim podacima.

Zbog toga kibernetička sigurnost tvrtke nije samo antivirus. To je sustav kontrola koji obuhvaća email sigurnost tvrtke, Microsoft 365 sigurnost, domene, backup, procese plaćanja, dobavljačke pristupe i edukaciju zaposlenika.

05

Što hrvatska tvrtka treba provjeriti u prvih 30 dana

Ne treba čekati da se dogodi incident. U prvih 30 dana moguće je napraviti vrlo konkretan sigurnosni presjek:

  • SPF, DKIM i DMARC - provjeriti tko smije slati email u ime domene i je li monitoring uključen prije strože politike.
  • MTA-STS i TLS-RPT - smanjiti rizik slabog transporta emaila i dobiti izvještaje o TLS problemima.
  • MFA/passkeys za ključne račune - uprava, financije, IT, administratori i svi računi s pristupom podacima.
  • Microsoft 365 ili Google Workspace audit - admin računi, forwarding, SharePoint/Drive dijeljenje, mailbox pravila, audit logovi i stari korisnici.
  • Backup i restore test - ne pitati samo "imamo li backup", nego kada je zadnji povrat podataka stvarno testiran.
  • Phishing edukacija - kratka procedura prijave sumnjive poruke, simulacije i izvještaj za upravu.
  • Dobavljački pristupi - popis tko ima pristup webu, CMS-u, DNS-u, analitici, rezervacijama, CRM-u, oglasnim računima i cloud sustavima.
  • Incident playbook - tko odlučuje, tko komunicira, tko čuva dokaze, tko kontaktira pravni/compliance dio i kada se procjenjuje prijava nadležnima.

Za tvrtke koje žele krenuti organizirano, početna točka je sigurnosni audit tvrtke. Ako je najveći rizik ljudski faktor, zasebno postoji phishing edukacija zaposlenika.

06

Prvih 24 do 72 sata nakon sumnje na incident

Najveća greška nakon sumnje na incident je panično brisanje tragova. Tvrtka treba smireno ograničiti štetu i sačuvati dokaze.

  1. Izolirati rizik - zaključati sumnjive račune, privremeno zaustaviti sumnjive integracije i ograničiti pristupe bez brisanja dokaza.
  2. Sačuvati logove - email trace, sign-in logove, audit logove, web server logove, DNS promjene, CMS pristupe i zapise dobavljača.
  3. Provjeriti osobne podatke - utvrditi jesu li zahvaćeni osobni podaci, koje kategorije, koji broj osoba i postoji li rizik za prava i slobode pojedinaca.
  4. Uključiti odgovorne osobe - IT, upravu, DPO/compliance, pravni savjet i dobavljače koji imaju tehnički pristup.
  5. Komunicirati bez nagađanja - reći što je potvrđeno, što se provjerava i što korisnici trebaju napraviti.

Za subjekte u ZKS/NIS2 kontekstu postoje propisani tokovi izvješćivanja. CERT.hr u kampanji o prijavi incidenata naglašava važnost pravovremene prijave, a NCSC-HR objavljuje informacije i obrasce za kibernetičke incidente. Za osobne podatke radi se zasebna GDPR/AZOP procjena.

07

ZKS/NIS2 i GDPR: sigurnost nije samo tehnička lista

ZKS/NIS2 priprema nije kupnja jednog alata. To je sposobnost da tvrtka pokaže kako upravlja rizicima, pristupima, incidentima, kontinuitetom i dobavljačima. GDPR dio posebno se procjenjuje kad su zahvaćeni osobni podaci.

U praksi se sve svodi na dokazivost. Tko ima pristup? Kada je MFA uključen? Gdje su DMARC izvještaji? Kada je zadnji restore test? Tko je prošao edukaciju? Postoji li zapis incident vježbe? Je li dobavljač imao pristup i kako je kontroliran?

Zato dobar sigurnosni program povezuje tehničke kontrole, dokumentaciju i operativni ritam. Bez toga se organizacija nakon incidenta oslanja na sjećanje, pretpostavke i improvizaciju.

08

Lekcije za upravu, računovodstvo i operativni tim

Kibernetički napadi u Hrvatskoj nisu samo tema za IT. Uprava odlučuje o prioritetima i budžetu. Računovodstvo je meta BEC prijevara i lažnih računa. Prodaja i podrška rade s klijentima i osobnim podacima. Marketing i web tim često imaju pristup domenama, CMS-u, oglasima i analitici.

Zato minimalni program za malu ili srednju tvrtku mora uključiti:

  • pravilo potvrde promjene IBAN-a drugim kanalom,
  • jasno označene interne i vanjske zahtjeve za plaćanje,
  • edukaciju za phishing, smishing i lažno predstavljanje,
  • popis kritičnih računa i tko ih odobrava,
  • mjesečni sigurnosni izvještaj koji uprava može razumjeti.

Detaljnije o financijskim prevarama obradili smo u vodiču BEC prijevara i lažni računi.

09

Naši partneri i tehnologije: što Vi-Di.me stvarno implementira

Kad tvrtka traži kibernetičku sigurnost, nije dovoljno dobiti popis alata. Treba znati što se postavlja, zašto se postavlja, kako se mjeri i tko održava sustav nakon inicijalne konfiguracije.

Hornetsecurity by Proofpoint koristimo za slojeve email zaštite, Advanced Threat Protection, Microsoft 365 backup, arhiviranje, email kontinuitet, permission management i sigurnosne edukacije kada to odgovara klijentovom sustavu.

PowerDMARC koristimo za DMARC izvještaje, SPF/DKIM monitoring, MTA-STS, TLS-RPT, BIMI pripremu i pregled svih legitimnih pošiljatelja domene.

Microsoft 365 i Google Workspace uređujemo kroz MFA/passkeys, admin hardening, Exchange/Gmail kontrole, SharePoint/Drive dozvole, forwarding pravila, audit logove i backup scenarije.

DNS i email standardi ostaju temelj: SPF, DKIM, DMARC, MTA-STS i TLS-RPT, uz postupni prelazak s monitoringa prema strožim politikama bez prekida legitimne pošte.

Ne tvrdimo da jedan alat automatski donosi ZKS/NIS2 ili DORA usklađenost. Tvrtki pomažemo izgraditi tehničke i organizacijske kontrole koje se mogu objasniti, provjeriti i održavati.

Detaljnije: Hornetsecurity by Proofpoint partner vodič, PowerDMARC i zaštita domene, DMARC Hrvatska i Microsoft 365 sigurnost.

10

Kako Vi-Di.me pretvara vijesti o napadima u stvaran plan zaštite

Naš pristup nije prodaja straha. Počinjemo auditom realnog stanja i tek onda predlažemo kontrole. Za hrvatske tvrtke najčešće provjeravamo:

  • domene, DNS, SPF, DKIM, DMARC, MTA-STS i TLS-RPT,
  • Microsoft 365 ili Google Workspace sigurnosne postavke,
  • Hornetsecurity by Proofpoint i PowerDMARC module gdje imaju smisla,
  • backup, arhivu, kontinuitet i test oporavka,
  • phishing edukacije, BEC scenarije i incident playbook,
  • osnovnu dokumentaciju za upravu, dobavljače i ZKS/NIS2 pripremu.

Cilj nije lažni osjećaj apsolutne zaštite. Cilj je da znate gdje ste ranjivi, što prvo popravljate i što možete dokazati ako se dogodi incident.

Zatražite sigurnosni audit tvrtke →

FAQ

Možemo li iz javnih vijesti znati točan uzrok kibernetičkog incidenta?

U pravilu ne. Javno vidljivi simptom ne dokazuje vektor napada, opseg kompromitacije ni odgovornost. Za to su potrebni logovi, forenzika, izjave organizacije i nadležnih tijela.

Je li phishing kampanja dokaz da je sustav organizacije kompromitiran?

Ne. Napadači često zloupotrebljavaju ime poznate institucije bez kompromitacije njezina sustava. Zato se posebno odvajaju spoofing, smishing, kompromitirani računi i stvarni proboj sustava.

Što tvrtka prvo treba napraviti nakon sumnje na incident?

Prvo treba izolirati rizik, sačuvati logove i dokaze, uključiti odgovorne osobe, provjeriti račune i pristupe, procijeniti osobne podatke te odlučiti treba li obavijestiti nadležna tijela i pogođene osobe.

Pokriva li DMARC sve aktualne napade?

Ne. DMARC smanjuje rizik lažiranja vlastite domene, ali ne rješava kompromitirane korisničke račune, smishing, curenje podataka, ransomware, slabe backup procedure ni dobavljački rizik.

Kako Vi-Di.me pomaže hrvatskim tvrtkama?

Radimo sigurnosni audit domene, emaila, Microsoft 365 ili Google Workspace postavki, backup-a, phishing rizika i incident procedure. Nakon toga implementiramo prioritetne kontrole i dokumentiramo rezultat.

Koje sigurnosne partnere i tehnologije Vi-Di.me koristi?

Najčešće povezujemo Hornetsecurity by Proofpoint, PowerDMARC, Microsoft 365, Google Workspace, SPF, DKIM, DMARC, MTA-STS, TLS-RPT, backup, phishing edukacije i mjesečno sigurnosno izvještavanje, ovisno o stvarnom stanju klijenta.

IZVORI I PROVJERE

Ministarstvo rada: napad na web stranice saniranHRT / HinaUpozorenje o zlonamjernoj SMS poruci i e-mailuRavnateljstvo policijeUpozorenje: SMS prijevara s plaćanjem kazniCERT.hrObavijest članovima o sigurnosnom incidentuGNK DinamoAžurirana obavijest o incidentuGNK DinamoHakirana aplikacija za rezervacije: gosti hrvatskih hotela na meti prevaranataDnevnik.hrMinistarstvo zdravstva zabilježilo kibernetički napadPoslovni dnevnik / HinaPokrenuta kampanja o važnosti prijave kibernetičkih incidenataCERT.hrZakon o kibernetičkoj sigurnostiNCSC-HRKibernetička sigurnostMinistarstvo pravosuđa, uprave i digitalne transformacijeHornetsecurity by ProofpointHornetsecurity by ProofpointPowerDMARCPowerDMARC
kibernetička sigurnost Hrvatskakibernetički napadicyber sigurnost tvrtkeincident responsephishingsmishingcurenje podatakaZKSNIS2
SIGURNOSNI AUDIT

Trebate provjeru rizika?

Napravimo početni audit domene, emaila, Microsoft 365 ili Google Workspace postavki, backupa i incident procedure. Dobivate jasan prioritet što prvo popraviti.

Zatražite sigurnosni auditWhatsApp

POVEZANI ČLANCI

SIGURNOST

Zakon o kibernetičkoj sigurnosti (NN 14/2024): što tvrtke u Hrvatskoj moraju znati

Zakon o kibernetičkoj sigurnosti nije samo tema za velike sustave. Objašnjavamo što NN 14/2024 i NIS2 znače za hrvatske tvrtke, kako se radi prvi audit i zašto je email sigurnost praktičan početak.

Čitaj više
SIGURNOST

DORA, NIS2 i Zakon o kibernetičkoj sigurnosti: što financijske tvrtke i ICT dobavljači moraju znati

DORA nije isto što i ZKS/NIS2 i ne vrijedi automatski za svaku tvrtku. Objašnjavamo što DORA znači za financijski sektor, ICT dobavljače i tehničku pripremu kontrola u Hrvatskoj.

Čitaj više
SIGURNOST

Vi-Di.me i Hornetsecurity by Proofpoint: što to znači za email sigurnost Vaše tvrtke

Vi-Di.me implementira Hornetsecurity by Proofpoint rješenja za Microsoft 365 sigurnost: email zaštitu, DMARC Manager, backup, enkripciju, arhiviranje, edukacije i upravljanje dozvolama. Sve lokalno, provjereno i dokumentirano.

Čitaj više
SIGURNOST

DMARC, SPF, DKIM i BIMI: Kompletni vodič za zaštitu domene — Vi-Di.me x PowerDMARC

Vaš email može biti falsificiran bez pristupa Vašem sustavu. DMARC, SPF i DKIM smanjuju taj rizik, a PowerDMARC daje monitoring, izvještaje, hosted SPF/DKIM/MTA-STS/BIMI i upravljanje pošiljateljima.

Čitaj više
SIGURNOST

BEC prijevara i lažni računi: kako napadači mijenjaju IBAN bez hakiranja Vaše tvrtke

Lažni račun, promjena IBAN-a i poruka direktora često ne traže malware. Dovoljan je uvjerljiv email, slab proces plaćanja i domena bez jasne autentikacije.

Čitaj više
SIGURNOST

Phishing edukacija zaposlenika: kako pretvoriti tim iz rizika u prvu liniju obrane

Phishing edukacija nije jednokratno predavanje. Ozbiljan program kombinira realne simulacije, kratke treninge, mjerenje ponašanja, procedure prijave i izvještaje za upravu.

Čitaj više
SIGURNOST

Microsoft 365 backup i ransomware oporavak: što tvrtke moraju znati prije incidenta

Microsoft 365 ima snažnu infrastrukturu, ali to ne znači da tvrtka ima svoj testiran plan oporavka. Backup, retencija, arhiva i continuity nisu ista stvar.

Čitaj više
Natrag na blog