Bugovi, breach i milijunske tužbe – tko zapravo plaća kada IT incident krene po zlu?
09.03.2026.

Na jednom od nedavnih Unit Meetup događaja u Zagrebu otvorena je tema o kojoj se u IT industriji često raspravlja u neformalnim razgovorima – ali rijetko javno: što se zapravo događa kada bug u kodu, sigurnosni propust ili ransomware napad preraste u pravni i financijski problem?

Na Unit Meetup događaju u Zagrebu otvorena je tema o tome što se događa kada bug u kodu, sigurnosni propust ili ransomware napad preraste u pravni i financijski problem? O toj temi govorio je Marijo Stojanović iz Marsh McLennan, globalnog brokera za upravljanje rizicima i osiguranje, u predavanju simboličnog naslova: Bugovi, breach i milijunske tužbe – tko to zapravo plaća?

U fokusu njegova izlaganja bila je realnost cyber incidenata: od načina na koji napadači ulaze u sustave, do toga kako se štete na kraju raspoređuju između kompanija, klijenata i osiguravatelja.

Kako je istaknuo Stojanović, cyber rizik u osnovi proizlazi iz dvije ključne komponente modernog poslovanja – tehnologije i podataka. „Što je organizacija digitaliziranija i što upravlja većim količinama podataka, to je izloženija potencijalnim incidentima“, ističe Stojanović.

Cyber incidenti danas nisu iznimka nego svakodnevica. Prema iskustvu Marsh McLennana u Europi, države poput Njemačke i Austrije među najčešće su pogođenima, a prosječna šteta po ozbiljnom incidentu može doseže oko 4 milijuna eura.

Najčešće mete napada su, ističe Stojanović, su financijske institucije, IT i tehnološke kompanije, proizvodne tvrtke te javni sektor.

Jedan od konkretnih primjera koji je predstavio odnosi se na energetsku kompaniju u Sloveniji. Napadači su u sustav ušli preko podizvođača koji je imao pristup sustavu integracije. Iako je napad brzo tehnički zaustavljen, problem je postao ozbiljan kada se mjesec dana kasnije pokazalo da su podaci već završili na dark webu.

Napadači su ukrali HR dokumentaciju, računovodstvene podatke, osobne podatke zaposlenika. „Od kompanije su tražili 8 milijuna dolara u Bitcoinu. Tvrtka je odlučila ne platiti otkupninu nego uključiti forenzičke stručnjake, pravnike i policiju. Istraga je na kraju pokazala da je ranjivost nastala zbog nepravilno implementirane integracije s vanjskim partnerom“, ističe Stojanović dodajući da je pouka ovog slučaja je jasna i da sigurnosni rizik često dolazi iz opskrbnog lanca, a ne iz same organizacije.

Drugi primjer dolazi iz Srbije i odnosi se na tvrtku koja pruža cloud hosting usluge. Napadači su kompromitirali sustav preko korisničkog računa jednog od klijenata i preuzeli kontrolu nad infrastrukturom. „Posljedice su bile ozbiljne, hosting usluge prestale su raditi, klijenti nisu mogli koristiti svoje sustave, a ubrzo su, zbog prekida usluga, počeli pristizati zahtjevi klijenata za naknadu štete“, kaže Stojanović.

Napadači su tražili 100.000 eura otkupnine, što na prvi pogled ne izgleda dramatično. No stvarni trošak bio je znatno veći. Ukupna šteta na kraju je dosegla oko 800.000 eura, dok je sama otkupnina bila relativno mali dio troška.

„U tom slučaju kompanija je odlučila platiti otkupninu jer bi obnova infrastrukture iz backupa trajala predugo i generirala još veće gubitke“, kaže Stojanović i naglašava da organizacije često pogrešno gledaju na cyber sigurnost kao na tehničko pitanje koje pripada isključivo IT odjelu.

U praksi se, navodi, incidenti najčešće dijele na dvije vrste zlonamjerne incidente – poput hakiranja ili ransomware napada te slučajne incidente – primjerice kada zaposlenik greškom pošalje osjetljive podatke na pogrešnu adresu.

„Bez obzira na uzrok, posljedice su često slične: kompromitirani podaci, prekid poslovanja, pravna odgovornost i financijski gubici. Zbog toga bi upravljanje cyber rizikom trebalo biti tema na razini uprave i poslovodstva, a ne samo IT stručnjaka“, upozorava Stojanović.

Najčešće pogreške tvrtki

Na temelju iskustva rada s klijentima, Stojanović je izdvojio nekoliko pogrešaka koje kompanije često rade kada razmišljaju o cyber osiguranju i upravljanju cyber rizikom.

1. Podcjenjivanje cyber rizika

Mnoge organizacije ne razumiju stvarni opseg rizika niti procjenjuju potencijalnu financijsku štetu.

2. Neadekvatno osiguranje

Tvrtke često uzimaju police bez realne procjene limita pokrića i potencijalnih scenarija.

3. Nedostatak komunikacije na razini uprave

Cyber sigurnost često ostaje odgovornost IT direktora, umjesto da bude strateška tema uprave i menadžmenta.

5 pitanja koja bi svaka tvrtka trebala postaviti

Stojanović je izdvojio i nekoliko pitanja koja bi organizacije trebale postaviti potencijalnim partnerima prije nego što ugovore cyber osiguranje:

  1. Ima li partner ili broker iskustva u našoj industriji?

  2. Postoje li specijalizirani stručnjaci za cyber rizike?

  3. Postoje li reference iz sličnih projekata?

  4. Tko se konkretno bavi cyber incidentima i štetama?

  5. Koliki je stvarni limit pokrića i što je sve uključeno u policu?

logo
Prati nas
Kontakt
Vrbani 4, 10000 Zagreb

Unit Croatia je jedna od najvećih i najutjecajnijih udruga u Hrvatskoj čija je misija ujediniti, povezati, osnažiti i unaprijediti cijelu IT industriju, čineći je prepoznatljivom i konkurentnom na globalnoj sceni. Kao nasljednik udruge CISEx, osnovane 2011. godine, Unit nastavlja graditi na čvrsto postavljenim temeljima.

OIB: 56261414492, matični broj: 02745127

© 2025 Unit Croatia (osim gdje je drugačije navedeno). Sva prava pridržana. |