
Nakon godina rada s kompanijama širom Bosne i Hercegovine, došli smo do jednostavnog zaključka: postoje dvije vrste biznisa – oni koji misle da imaju backup, i oni koji su ga već pokušali vratiti. Razlika između njih obično se vidi tek onog dana kada je prekasno.
Ransomware je vrsta zlonamjernog softvera (malware) koji zaključava vaše podatke i traži otkup da biste im ponovo pristupili. Za male i srednje biznise u Bosni i Hercegovini to više nije daleka prijetnja iz vijesti, nego stvaran rizik za firme svih veličina. A najviše iznenadi upravo one koje su bile uvjerene da su zaštićene, jer „backup radi svake noći”.
Problem je u tome što se pravila igre mijenjaju. Moderni napadi ne zaključavaju samo vaše radne fajlove. Oni ciljaju i vaše sigurnosne kopije, a često tiho čekaju sedmicama prije nego što se aktiviraju. Kada dođe dan oporavka, ispostavi se da je i backup već zaražen.
Cilj ovog teksta nije da vas uplašimo. Želimo da vidite gdje vam je stvarna slabost prije nego što je neko drugi pronađe umjesto vas.
Šta je ransomware i zašto su mali biznisi glavna meta
Ransomware radi vrlo jednostavno. Uđe u vaš sistem, šifrira datoteke tako da ih više ne možete otvoriti, i ostavi poruku s uputama kako da platite, najčešće u kriptovaluti, da bi mu se teže ušlo u trag. Dok ne platite ili ne vratite podatke iz čiste kopije, vaš biznis praktično stoji.
Mnogi vlasnici misle da su premali da bi bili meta. Istina je obrnuta. Napadači znaju da manje kompanije rijetko imaju zaposlenog IT stručnjaka, da im je oprema starija i da im je zaštita slabija nego kod velikih firmi. To ih čini lakšom metom, a ne manje zanimljivom.
Dodatni problem je što se napadi danas prodaju kao usluga. Postoje grupe koje iznajmljuju gotov ransomware bilo kome ko želi napasti, bez ikakvog tehničkog znanja. Posljedica je jednostavna: meta više nije samo banka ili bolnica, nego i računovodstveni biro s pet zaposlenih u Tuzli.
Kako napad zaista izgleda: od jednog klika do zaključanih podataka

Većina napada ne počinje nekim filmskim hakovanjem. Počinje običnim mejlom. Zaposlenik dobije poruku koja izgleda kao faktura, obavijest banke ili zahtjev dobavljača, klikne na prilog. To je sve što je napadaču trebalo.
Od tog trenutka, zlonamjerni softver se tiho širi mrežom. Traži dijeljene foldere, server, pa i uređaj na koji se sprema backup. Ono što mnoge iznenadi jeste da napad u tom trenutku još nije vidljiv. Sve radi normalno.
Moderni ransomware često miruje sedmicama prije nego što se aktivira. Za to vrijeme napadač u tišini krade podatke i mapira gdje vam se nalaze sigurnosne kopije. Kada konačno pokrene šifriranje, radi to noću ili vikendom, kada nikoga nema da reaguje. Ujutro zatičete zaključan sistem i poruku s rokom za plaćanje.
Zašto spas nije u običnom backupu
Tu nastaje problem za većinu kompanija koje su vjerovale da su sigurne. Backup postoji, radi svake noći, niko ga nikada nije dovodio u pitanje. A onda, na dan kada zatreba, ispostavi se da je beskoristan.
Napadači danas ciljaju backup prije nego što uopće pokrenu napad. Ako vam je sigurnosna kopija stalno spojena na mrežu ili server, ona je za ransomware samo još jedan folder. Šifrira vaše radne podatke i kopiju u istom potezu.
Onda je tu i period mirovanja. Ako je softver bio u sistemu mjesec dana prije aktivacije, zaražene su i sve noćne kopije iz tog perioda. Vraćate backup od prije sedam dana i ponovo pokrećete isti napad.
A najtiši problem je backup koji niko nikada nije pokušao vratiti. Izgleda uredno u izvještaju, ali se u stvarnosti ispostavi nepotpunim ili oštećenim. To otkrijete tek kada vam zatreba, u najgorem mogućem trenutku.

Kako izgleda backup koji preživi napad
Dobra vijest je da se sve ovo može riješiti. Backup koji preživi ransomware nije skuplji softver, nego pravilno postavljena arhitektura. Evo četiri stvari koje je čine.
Zašto pravilo 3-2-1 danas više nije dovoljno samo po sebi
Osnova svakog dobrog backupa je pravilo 3-2-1: original i dvije sigurnosne kopije pohranjene na dva različita medija, od kojih je jedna na udaljenoj (off-site) lokaciji. To je provjeren temelj i svaki biznis bi ga trebao imati.
Ali sam po sebi danas više nije dovoljan. Ako su sve tri kopije dostupne s iste mreže, ransomware ih može dohvatiti sve. Zato pravilu 3-2-1 treba dodati još jedan sloj: kopiju koju napad jednostavno ne može izmijeniti.
Nepromjenjiv (immutable) backup i air-gap izolacija
Nepromjenjiv backup (immutable backup) je kopija koja se nakon snimanja ne može izmijeniti niti obrisati određeno vrijeme, ni od strane napadača ni greškom zaposlenika. Čak i ako ransomware dođe do nje, ne može je dirati.
Air-gap izolacija radi na drugačiji način: backup se drži fizički ili logički odvojen od glavne mreže, tako da mu se ne može pristupiti običnim putem. Jedna sprječava izmjenu kopije, druga je drži van dometa mreže. Kombinacija ove dvije mjere znači da, šta god se desi s vašim radnim sistemom, postoji čista kopija koja ostaje netaknuta.
Backup koji se ne testira kao da ne postoji
Backup ima samo jednu svrhu: da se iz njega vrate podaci. Ako to nikada niste probali, zapravo ne znate imate li backup ili samo izvještaj koji tako tvrdi.
Zato je testiranje oporavka obavezno, a ne opcionalno. Preporuka je da se restore testira barem jednom mjesečno, uz provjeru da su vraćeni podaci potpuni i ispravni. Tek kada vidite da firma može stvarno proraditi iz kopije, znate da backup vrijedi.
Također, važno je razumjeti šta ove dvije mjere rješavaju, a šta ne. One sprječavaju da napad izmijeni ili obriše vašu kopiju. Ali ako je zlonamjerni softver već dospio u sistem i tiho se zatekao unutar same kopije prije njenog snimanja, izolacija ga neće prepoznati. Restore iz takve kopije vratio bi i njega. Upravo zato slijedi sljedeći sloj zaštite, testiranje oporavka i provjera kopija na prisustvo zaraze.
RTO i RPO: koliko brzo se vraćate i koliko podataka smijete izgubiti
Dva pojma odlučuju koliko će vas zastoj koštati. RTO (Recovery Time Objective) je vrijeme koliko vam treba da se vratite u rad nakon napada. RPO (Recovery Point Objective) je količina podataka koju smijete izgubiti, izražena u vremenu, na primjer posljednjih sat vremena rada.
Ova dva broja postavite prije napada, ne poslije. Biznis koji odluči da oporavak ne smije trajati duže od dva sata, a gubitak podataka ne duži od petnaest minuta, pravi sasvim drugačiji backup od onoga koji se oslanja na jednu noćnu kopiju. Razlika se mjeri u danima zastoja i hiljadama maraka.
Da li platiti otkup?
Kada se napad desi, prvi nagon je platiti i vratiti se poslu što prije. Razumljivo je, ali je rizično. Plaćanje ne garantuje da ćete dobiti podatke nazad. Dio žrtava plati i ne dobije ispravan ključ za dešifrovanje.
Plaćanjem ujedno pokazujete da ste meta koja plaća, pa nije rijetkost da ista firma bude napadnuta ponovo. Zbog toga otkup nikada nije pouzdan plan. Mnogo sigurniji oslonac je čista kopija iz koje se možete vratiti bez pregovaranja s napadačem, jer backup koji preživi napad je jedini pregovarački položaj koji vam zaista ide u korist.
Plan u 5 koraka za vaš biznis
Ako želite znati gdje stojite, krenite od ovih pet koraka:
- Provjerite gdje vam je backup. Ako je stalno spojen na istu mrežu kao i radni podaci, ranjiv je.
- Uvedite barem jednu nepromjenjivu ili izolovanu kopiju. To je sloj koji napad ne može dotaći.
- Testirajte oporavak ovog mjeseca. Ne čekajte napad da saznate radi li backup.
- Postavite RTO i RPO. Dogovorite koliko zastoja i gubitka podataka biznis može podnijeti.
- Edukujte zaposlene o cyber prijetnjama. Većina napada ne probija tehniku, nego čovjeka, kroz lažni mejl, slabu lozinku ili sumnjiv prilog. Redovna edukacija na temu cyber prijetnji tu često vrijedi više od bilo kojeg dodatnog softvera.
Svaki od ovih koraka smanjuje rizik, a zajedno čine razliku između kratkog zastoja i potpunog gubitka.
Zaključak
Ransomware se ne može u potpunosti spriječiti, ali se njegove posljedice mogu. Ishod ne odlučuje to imate li backup, nego koliko je izolovan, nepromjenjiv i koliko ste ga puta zaista isprobali. Uz takvu kopiju, ozbiljan napad znači nekoliko sati zastoja umjesto trajnog gubitka podataka.
Ako niste sigurni u kojem se od ta dva slučaja nalazite, počnite iskrenim snimanjem stanja: gdje vam je backup, koliko je izolovan i kada je zadnji put testiran. Naš tim vam stoji na raspolaganju da to zajedno pregledamo i postavimo zaštitu koja štiti Vaše poslovanje.
Često postavljana pitanja
Koliko često treba raditi backup?
Ovisi o tome koliko podataka vaš biznis može podnijeti da izgubi. Za većinu malih i srednjih biznisa preporuka je barem jednom dnevno, dok sistemi koji se stalno mijenjaju, poput baza ili knjigovodstva, mogu zahtijevati backup svakih nekoliko sati. Što su podaci važniji i češće se mijenjaju, to kopija treba biti učestalija.
Koliko često treba testirati oporavak iz backupa?
Barem jednom mjesečno. Backup koji nikada niste vratili samo je pretpostavka da podaci postoje. Mjesečni test pokazuje da su kopije potpune i da biznis može stvarno proraditi iz njih kada zatreba.
Da li je cloud backup dovoljan za zaštitu od ransomware-a?
Sam po sebi nije garancija. Ako je cloud kopija stalno spojena i dostupna kao običan disk, ransomware je može šifrirati zajedno s ostalim podacima. Cloud backup štiti tek kada je nepromjenjiv ili izolovan, tako da ga napad ne može izmijeniti.
Šta je DR Backup as a Service i treba li ga mali biznis?
DR Backup as a Service (DRaaS) je usluga u kojoj vanjski tim postavlja, prati i redovno testira vaš backup i plan oporavka, umjesto da to radite sami. Za biznise bez vlastitog IT tima to znači da neko stalno brine da kopije rade i da se podaci mogu vratiti. Korisna je svakom biznisu kojem bi duži zastoj ili gubitak podataka ozbiljno naštetio.





