Vodič Sigurnost 2FAbackup

Cyber sigurnost: prvi koraci za sigurniji web, mail i podatke

Kako urediti osnovnu cyber sigurnost u firmi: pristupi, 2FA, backup, mail, web i pravila za AI/LLM alate.

Goran Livada 24. lip 2026. · 10 min
Kombinacijski lokot na tipkovnici kao ilustracija osnovne digitalne sigurnosti.
Foto: Sasun Bughdaryan / Unsplash
Sadržaj teksta

Firma ima web stranicu, poslovni mail, hosting i domenu. Tu je negdje i WordPress ili Shopify, Google ili Microsoft račun, nekoliko korisnika, mapa s dijeljenim dokumentima, a u zadnje vrijeme možda i AI alati koje zaposlenici već koriste kad trebaju nešto brže napisati, sažeti ili provjeriti.

Sve to nekako radi. I baš zato se o sigurnosti često ne razmišlja - dok nešto ne zapne.

Dobra vijest je da cyber sigurnost ne mora početi velikim auditom, certifikatom ni skupim projektom. Najčešće počinje s nekoliko jednostavnih pitanja koja si firma nikad nije postavila na miru:

  • tko zapravo ima pristup čemu
  • gdje su važni podaci
  • postoji li backup i može li se uopće vratiti
  • je li mail osnovno zaštićen
  • tko održava web stranicu ili webshop
  • što radimo kad stigne sumnjiva poruka
  • što se smije unositi u AI i LLM alate

Ako na neka od ovih pitanja nemate jasan odgovor, to nije razlog za paniku. To je samo znak da vrijedi napraviti prvi red.

Osnovni pregled nije dramatičan potez. Više je nalik inventuri digitalnog poslovanja: pogledate što imate, tko tome pristupa i što bi bilo dobro urediti prije nego što nastane problem.

Cyber sigurnost ne mora početi strahom. Može početi mirnim pregledom pristupa, podataka, backupa i pravila koja firma već sada treba imati pod kontrolom.

Zašto se o cyber sigurnosti sve više govori

Tema cyber sigurnosti polako izlazi iz svijeta velikih sustava i IT odjela. Sve više dolazi do firmi, obrta i timova koji nemaju svojeg sigurnosnog stručnjaka, ali imaju web, mail, dokumente, korisničke podatke, vanjske suradnike i alate bez kojih posao teško funkcionira.

Dobar signal te promjene je i vijest iz lipnja 2026. CARNET je dodijelio ugovore ukupne vrijednosti oko 2,9 milijuna eura za 133 projekta unaprjeđenja kibernetičke sigurnosti mikro, malih i srednjih poduzeća. U objavi se navodi da je najveći interes bio za certificiranje i usklađivanje sa sigurnosnim standardima, zatim za edukacije zaposlenika, dok je manji broj korisnika planirao sigurnosna testiranja sustava.

Drugim riječima, tema nije samo tehničko testiranje sustava. Za velik broj firmi cyber sigurnost počinje puno prizemljenije: kod ljudi, pristupa, pravila, osnovnih provjera i jasnijeg načina rada.

To ne znači da svaka firma odmah treba složen sigurnosni projekt. Znači da je dobro znati gdje ste sada. Ako ne znate tko ima pristup domeni, tko je administrator WordPressa ili Shopifyja, gdje se čuva backup i što zaposlenik treba napraviti kad dobije sumnjiv mail, prvi korak je razjasniti upravo to.

Što znači biti spreman za osnovne cyber rizike

Spremnost ne znači stopostotnu sigurnost. Takvo što ne postoji, i svaka tvrdnja da postoji trebala bi vas učiniti opreznijima, a ne mirnijima.

Spremnost znači da firma ima osnovni red:

  • zna tko ima koje pristupe
  • koristi dvofaktorsku autentifikaciju (2FA) na važnim računima
  • ima backup koji je netko stvarno provjerio
  • redovito održava web stranicu ili webshop
  • zna što napraviti ako stigne sumnjiv mail
  • ima osnovna pravila za lozinke, dijeljenje dokumenata i korištenje AI/LLM alata

To je razlika između firme koja se nada da je sve u redu i firme koja zna što je provjerila.

Mobitel prikazuje zahtjev za potvrdu prijave kao primjer dvofaktorske autentifikacije.
Dvofaktorska autentifikacija je jedan od najjednostavnijih načina da važni računi ne ovise samo o lozinki. Foto: Ed Hardie / Unsplash

Vrijedi ovdje kratko spomenuti i GDPR, bez ulaska u pravne detalje. GDPR i cyber sigurnost nisu isto: jedno je okvir za zaštitu osobnih podataka, drugo je zaštita sustava, pristupa i digitalne infrastrukture. Ali dodiruju se čim firma obrađuje osobne podatke kroz poslovni mail, web forme, dokumente, korisničke račune, newslettere, CRM, webshop ili interne tablice.

Poruka nije pravna, nego praktična. Ako ne znamo tko ima pristup tim podacima, ako nemamo 2FA, ako backup nikad nije provjeren ili se podaci dijele bez kontrole, to nije samo tehničko pitanje. To je i pitanje odgovornog upravljanja podacima ljudi koji su nam ih povjerili.

Najčešća slaba mjesta

U praksi se problemi često ponavljaju. Najčešće nisu spektakularni, nego svakodnevni:

  • ista lozinka koristi se na više mjesta, pa jedan procurio podatak otvara nekoliko vrata odjednom
  • 2FA nije uključen na mailu, hostingu, domeni, WordPress administratoru ili Shopify računu
  • bivši zaposlenik ili vanjski suradnik i dalje ima aktivan pristup
  • WordPress, tema ili pluginovi nisu ažurirani mjesecima
  • Shopify aplikacije ili korisnička prava nisu pregledani nakon što više nisu potrebni
  • backup formalno postoji, ali nitko nikad nije pokušao vratiti stranicu iz njega
  • mail domena nema osnovne sigurnosne postavke
  • dokumenti se dijele preko linkova koje može otvoriti bilo tko
  • nitko u firmi ne zna što točno napraviti kad stigne sumnjiva poruka
  • AI i LLM alati se koriste, ali nitko nije dogovorio što se u njih smije, a što ne smije unositi

Dva kratka primjera govore više od popisa.

Svi misle da backup postoji jer hosting “nešto automatski sprema”. Onda stranica padne, otvori se panel za vraćanje - i ispostavi se da nitko nikad nije pokušao stvarno vratiti stranicu iz tog backupa, niti zna je li potpun.

Serveri u serverskoj sobi kao ilustracija hostinga, backupa i digitalne infrastrukture.
Backup je koristan tek kada netko zna što se sprema i može li se stvarno vratiti. Foto: Kevin Ache / Unsplash

Vanjski suradnik radio je na webu prije dvije godine i odavno više nije u priči. Njegov administratorski račun, međutim, i dalje postoji, s punim pristupom i lozinkom koju nitko ne kontrolira.

Slično vrijedi i za webshop. U Shopifyju ili WordPress/WooCommerce sustavu može ostati instalirana aplikacija ili plugin koji se više ne koristi, ali i dalje ima pristup podacima, narudžbama ili postavkama. To nije nužno veliki incident. Često je samo znak da nitko dugo nije napravio osnovno pospremanje.

Nijedan od ovih primjera ne traži veliki projekt da se uoči. Traži samo da netko jednom sjedne i pogleda.

AI može pomoći, ali traži pravila

AI i LLM alati mogu biti koristan saveznik u osnovnoj sigurnosti. Mogu pomoći:

  • sastaviti checklistu pristupa i računa
  • objasniti zašto neki mail izgleda sumnjivo
  • napisati internu uputu za zaposlenike razumljivim jezikom
  • strukturirati jednostavna pravila o tome što se smije, a što ne smije dijeliti
  • prevesti tehničku temu u jezik koji razumiju ljudi izvan IT-a

To je sve legitimna i korisna upotreba. Problem nastaje kad se isti alati koriste bez ikakvih pravila:

  • zaposlenici u njih kopiraju osjetljive podatke jer im je tako brže
  • u alat odu ugovori, korisnički podaci ili interni dokumenti, bez da je itko razmislio smije li to
  • ista tehnologija koristi se i s druge strane, za uvjerljivije phishing poruke
  • ljudi previše vjeruju odgovoru alata i ne provjeravaju ga
Ruka drži mobitel ispred laptopa kao ilustracija poslovnog rada s digitalnim i AI alatima.
AI alati mogu pomoći u pisanju uputa i checklista, ali firma mora znati što se u njih smije unositi. Foto: Jakub Żerdzicki / Unsplash

Zaključak nije da je AI opasan i da ga treba izbjegavati. Zaključak je jednostavniji: AI nije razlog za strah, ali jest razlog da firma jasnije dogovori što se smije, a što ne smije raditi s podacima.

Ako ovu temu tek otvarate u firmi, korisno je pročitati i vodič Smijem li poslovne podatke staviti u ChatGPT?. Za širi kontekst, posebno ako ljudi u timu različito shvaćaju pojam AI-ja, pomaže i tekst Svi govore o AI-ju, ali u poslu vam najčešće treba LLM.

Prvi praktični koraci

Ako želite napraviti prvi red već ovaj tjedan, možete krenuti ovim redom:

  1. Popišite ključne račune: mail, domena, hosting, WordPress, Shopify, Google/Microsoft, društvene mreže i važne poslovne alate.
  2. Provjerite tko ima pristup svakom od njih.
  3. Uključite 2FA gdje god je to moguće.
  4. Promijenite lozinke koje se dijele ili ponavljaju na više mjesta.
  5. Provjerite postoji li backup i, što je važnije, može li se stvarno vratiti.
  6. Ažurirajte WordPress, teme i pluginove; kod Shopifyja pregledajte aplikacije, korisnike i dozvole.
  7. Uklonite korisnike, aplikacije i pluginove koji više nisu potrebni.
  8. Provjerite osnovne sigurnosne postavke mail domene.
  9. Dogovorite jednostavan postupak za sumnjive mailove - kome se javlja i što se ne klika.
  10. Dogovorite što se smije, a što ne smije slati u AI/LLM alate.

Ništa od ovoga nije veliki projekt. Većina su odluke i provjere koje firma može napraviti sama, korak po korak.

Slična logika vrijedi i kod odluke kada automatizirati proces: prvo treba razumjeti gdje nastaje rizik ili napor, pa tek onda birati alat.

Kada je dovoljan osnovni pregled, a kada treba ozbiljniji audit

Osnovni pregled ima smisla kada:

  • ne znate točno tko sve ima pristupe
  • niste sigurni postoji li ispravan backup
  • web ili webshop se dugo nisu održavali
  • mailovi vam često završavaju u spamu
  • zaposlenici nisu sigurni kako prepoznati phishing
  • AI alati se već koriste, ali bez ikakvih pravila

Ozbiljniji audit ili sigurnosni specijalist ima smisla kada:

  • obrađujete osjetljive osobne, zdravstvene ili financijske podatke
  • imate webshop ili korisničke račune
  • sumnjate da je do kompromitacije već došlo
  • trebate formalnu certifikaciju ili usklađivanje s propisima
  • trebate penetration test ili dublju tehničku provjeru

Za penetration test, certifikaciju ili istragu kompromitacije pravo je mjesto specijalizirani sigurnosni stručnjak - i dobro je to znati unaprijed.

Zaključak

Cyber sigurnost ne mora početi strahom ni velikim projektom. Može početi pregledom pristupa, uključivanjem 2FA na važnim računima, provjerom je li se backup uopće moguće vratiti, urednijim WordPressom ili Shopifyjem, jasnijim pravilima za mail i kratkim dogovorom oko korištenja AI/LLM alata.

To je prvi red. Kad je on napravljen, sve ostalo je lakše procijeniti - i lakše je mirno odlučiti treba li vam uopće više od toga.

Ako mislite da vam Zenbit može pomoći napraviti prvi pregled weba, webshopa, maila, pristupa, backupa ili pravila za korištenje AI/LLM alata, javite se i pitajte.

Često postavljana pitanja (FAQ)

Od čega krenuti s cyber sigurnošću u firmi?

Od popisa. Zapišite ključne račune: mail, domena, hosting, WordPress, Shopify, Google/Microsoft, društvene mreže i važne poslovne alate. Zatim provjerite tko ima pristup svakom od njih. Već taj pregled obično otkrije prve slabe točke, prije nego što uopće dođete do tehničkih detalja.

Je li 2FA stvarno potreban?

Za važne račune - da. Dvofaktorska autentifikacija znači da ni netko tko sazna vašu lozinku ne može tek tako ući, jer mu treba i drugi korak potvrde. To je jedna od mjera s puno zaštite za relativno malo truda, pa je vrijedi uključiti barem na mailu, hostingu, domeni, WordPress administratoru, Shopifyju i Google/Microsoft računu.

Kako znati postoji li dobar backup?

Tako da ga jednom pokušate vratiti. Backup koji nikad nije testiran zapravo je samo pretpostavka. Provjerite koliko često se radi, što točno obuhvaća i može li se stranica, webshop ili važan podatak stvarno obnoviti iz njega.

Što napraviti ako zaposlenik dobije sumnjiv mail?

Najvažnije je ne klikati na linkove, ne otvarati priloge i ne unositi lozinke na stranice na koje takav mail vodi. Dobro je unaprijed dogovoriti kome se sumnjiva poruka prijavljuje, kako bi svatko znao kome se javiti umjesto da odlučuje sam.

Kako AI alati utječu na sigurnost podataka?

Mogu pomoći: objasniti sumnjiv mail, složiti checklistu, napisati internu uputu. Ali otvaraju rizik ako se u njih bez razmišljanja kopiraju osjetljivi podaci, ugovori, korisnički podaci ili interni dokumenti. Zato je ključno dogovoriti jednostavna pravila o tome što se smije, a što ne smije unositi.

Osnovni rizici

Niste sigurni gdje su vam osnovni digitalni rizici?

Ako imate web stranicu, mailove, korisničke račune, forme ili poslovne podatke, a niste sigurni što je dovoljno dobro posloženo, možemo krenuti od praktičnog pregleda najvažnijih mjesta.

Pošaljite što želite provjeriti
Tema Sigurnost
Tagovi 2FAbackupcyber sigurnostWordPress sigurnostphishingAI alati
Goran Livada, osnivač Zenbita

Voli trening, bilo na biciklu, u tenisicama ili u teretani. Izazovima pokušava pristupiti zenovski: smiriti buku, pronaći bitno i krenuti od prvog koraka, neovisno o tome radi li se o sportskom ili poslovnom izazovu.

Ako želite, javimo vam kad izađe novi tekst

E-mail koristimo samo za obavijesti o novim tekstovima.

Što biste voljeli da obradimo u nekom od sljedećih tekstova?

Ako imate pitanje, nedoumicu ili situaciju iz prakse koju bi vrijedilo objasniti, pošaljite kratak prijedlog. Ne mora biti razrađen - dovoljno je nekoliko rečenica.

Ne morate ostaviti ime. Dovoljno je nekoliko rečenica o temi ili situaciji koju bi vrijedilo obraditi.

Prijedloge koristimo kao inspiraciju za buduće tekstove.

Svidio vam se tekst? Podijelite...
Povezani tekstovi

AI slike u oglasima i katalogu proizvoda: gdje pomažu, a gdje treba oprez

AI24. lip 2026.

Zašto sam Zenbit stranicu napravio drugačije nego klasičnu WordPress stranicu

Web24. lip 2026.

Kako analizirati Excel tablicu uz pomoć LLM-a

AI23. lip 2026.