Osnove Web Bezbednosti - Obuka za Zaposlene

🎯 Ljudski faktor - Najslabija karika

⚠️ VAŽNO: Čak i u najvećim kompanijama sa naprednim sigurnosnim sistemima, ljudi često predstavljaju najslabiju kariku u lancu bezbednosti.

Zašto je ljudski faktor kritičan?

95% cyber napada uspeva zbog ljudske greške
Hakeri koriste psihološke manipulacije (socijalni inženjering)
Jedan pogrešan klik može kompromitovati celu mrežu
Zaposleni često nemaju dovoljno znanja o cyber pretnjama

95% napada koristi ljudsku grešku

43% cyber napada cilja mala preduzeća

156 dana prosečno traje otkrivanje napada

Cilj ove obuke: Osposobiti vas da prepoznate pretnje i reagujete adekvatno. Bolja edukacija zaposlenih = jača bezbednost cele kompanije.

📧 Kako prepoznati phishing email-ove

Od: banka@sigurnost-banke.com
Predmet: HITNO: Vaš račun će biti blokiran!

Poštovani korisniče,

Detektovali smo sumnjive aktivnosti na vašem računu. Vaš račun će biti blokiran za 24 sata ukoliko ne verifikujete vaše podatke.

Kliknite OVDE da verifikujete vaš identitet odmah.

Srdačno,
Tim za bezbednost

🔍 Znakovi upozorenja za phishing:

Stvara osećaj hitnosti ("odmah", "hitno", "za 24 sata")
Traži lične podatke putem email-a
Sumnjiv pošaljilac (proveri email adresu pažljivo)
Pravopisne i gramatičke greške
Generičko obraćanje ("Poštovani korisniče")
Sumnjivi linkovi (hover preko linka da vidiš pravu adresu)
Neočekivani prilozi
Preteći ton

📝 PITANJE 1: Koji od sledećih email-ova je vjerovatno phishing?

Email od kolege sa temom "Izveštaj za sastanak sutra"
Email od "PayPal-a" sa temom "HITNO: Verifikuj račun u roku od 2 sata!"
Potvrda o kupovini od poznatog online prodavca

🌐 Prepoznavanje spam domena

Pažnja: Hakeri često koriste domene koji liče na legitimne sajtove da bi vas prevarili!

❌ Sumnjivi domeni (PRIMERI):

microsofft-support.com (obrati pažnju na duplo "f")
payp4l.com (broj umesto slova)
g00gle.com (brojevi umesto slova "o")
arnаzon.com (koristi ćirilično "а")
secure-bank1ng.com (broj umesto slova "i")

✅ Kako proveriti legitimnost domena:

Pažljivo čitaj: Proveri svako slovo u domenskom imenu
Proveri HTTPS: Legitiman sajt obično ima zelenu katanac ikonu
Whois provera: Koristi whois.net da proveriš vlasnika domena
Datum registracije: Novi domeni (registrovani juče) su sumnjivi
Reputacija: Proveri na VirusTotal ili slične servise

📝 PITANJE 2: Koji od sledećih domena je sumnjiv?

microsoft.com
micr0soft-security.com
google.com

⚠️ Rizici za zaposlene u kancelariji

💻 Digitalni rizici:

Malware preko email priloga
Ransomware napadi
Krađa podataka
Neovlašćeni pristup sistemima
USB baiting napadi

👥 Socijalni inženjering:

Lažni pozivi "iz IT podrške"
Pretvaranje da su iz drugih odeljenja
Manipulacija preko socijalnih mreža
"Tailgating" - praćenje u zgradu
Dumpster diving - pretraga smeća

🛡️ Najbolje prakse zaštite:

Nikad ne deli lozinke
Koristi 2FA kad god je moguće
Redovno ažuriraj softver
Zaključaj računar kad odlaziš
Pazi šta kačiš na društvene mreže
Ne koristi javni WiFi za posao
Prijavi sumnjive aktivnosti
Pravi backup važnih podataka

📝 PITANJE 3: Što treba raditi ako dobiješ poziv od nekoga ko tvrdi da je iz IT podrške i traži tvoju lozinku?

Dati lozinku jer je iz IT-ja
Prekinuti poziv i obavestiti IT odeljenje na poznati broj
Pitati za dodatne informacije

🏢 Specifični rizici u kancelarijskom okruženju

⚠️ Fizički pristupi:

Scenario: Nepoznata osoba u odelu sa privremenom propusnicom kaže da je "novi IT konsultant" i traži pristup serverskoj sobi.

Reakcija: Uvek verifikuj identitet preko nadležnog odeljenja, bez obzira koliko osoba deluje "profesionalno".

📋 Kontrolna lista bezbednosti u kancelariji:

Ne ostavljaj dokumente na štampaču
Koristi "clean desk" politiku
Ne diskutuj poverljive informacije na javnim mestima
Pazi ko može da vidi tvoj ekran
Ne puštaj nepoznate osobe u kancelariju
Verifikuj identitet svih posetilaca
Ne ostavljaj laptop bez nadzora
Čuvaj poverljive dokumente u sefu ili zaključanoj fioci

💾 Posebna pažnja za USB uređaje:

Nikad ne povezuj nepoznate USB uređaje! "USB baiting" je česta taktika gde hakeri ostavljaju zaražene USB-jeve po parking-u ili u lobby-ju, nadajući se da će ih neko pokupiti i ubaciti u službeni računar.

💾 Instaliranje softvera i sigurna praksa

⚠️ KRITIČNO: Jedan maliciozni softver može ugroziti celu mrežu kompanije!

🛡️ Pravila za instaliranje softvera:

Instaliranje SAMO iz zvaničnih izvora: Microsoft Store, Google Play, zvanični sajtovi proizvođača
Pre instalacije: Uvek kontaktiraj Helpdesk/IT sluzbu za pomoć
Proveri digitalne potpise: Legitiman softver ima valjan digitalni potpis
Čitaj komentare i ocene: Proveri šta drugi korisnici kažu
Pazi na "bundled" softver kada instaliras besplatne programe: Tokom instalacije pažljivo čitaj svaki korak i izbegni instalaciju dodatnih programa kako ne bi završio sa nepotrebnim i nepozeljnim programima, adware-om ili promenjenim pretraživačem!

🚫 NIKAD nemoj:

Koristiti torrente za softver - 90% sadrži malware
Skidati "cracked" ili piratski softver - veoma visok rizik
Instalirati sa sumnjivih sajtova (npr. soft-ware.download.free.com)
Kliknuti na pop-up reklame "Tvoj računar je spor - instaliraj čistač"
Installirati "codec-e" za gledanje filmova sa nepoznatih sajtova

✅ Bezbedne alternative:

Umesto piratskih programa koristi:

LibreOffice umesto MS Office
GIMP umesto Photoshop
VLC umesto plaćenih media player-a
7-Zip umesto WinRAR
Audacity za audio editovanje
OBS za screen recording

💡 Zlatno pravilo: Ako nisi 100% siguran da je softver bezbedan - NE INSTALIRAJ! Kontaktiraj Helpdesk/IT sluzbu prvo.

🤝 Kolektivna odgovornost za bezbednost

⚠️ VAŽNO: Bezbednost nije odgovornost samo IT odeljenja - svi zaposleni su deo sigurnosnog lanca!

🏢 Zašto je bezbednost kolektivna odgovornost?

Jedan incident utiče na sve: Kada se jedan računar zarazi, može se proširiti na celu mrežu
Reputacija kompanije: Svačija greška može naštetiti imenu kompanije
Finansijski gubitak: Cyber napadi mogu koštati kompaniju hiljade ili milione
Pravne posledice: Kršenje GDPR-a može doneti ogromne kazne
Poverenje klijenata: Jednom izgubljeno, teško se vraća

€4.35M prosečna cena data breach-a u 2023

287 dana prosečno vreme oporavka

83% kompanija ima više od jednog breach-a

🔗 Kako gradimo "lanac bezbednosti":

Svako je odgovoran za svoju "kariku" u lancu
Međusobno upozoravamo na sumnjive aktivnosti
Delimo znanje o novim pretnjama
Redovno ažuriramo svoje znanje
Prijavljivamo incidente bez straha od kažnjavanja
Pomažemo kolegama da budu bezbedniji

💼 Tvoja odgovornost kao zaposlenog:

Poštuj sigurnosne politike kompanije
Redovno ažuriraj svoje znanje
Prijavi sumnjive aktivnosti odmah
Ne zanemaruj bezbednost zbog brzine
Edukuj se kontinuirano

🌟 Zapamti: Mi smo tim! Tvoja pažnja štiti ne samo tebe, već i sve kolege i kompaniju u celini.

🆘 Kada nisi siguran/na - KONTAKTIRAJ IT PODRŠKU

Bolje pitati nego žaliti zbog bezbednosnog incidenta!

Pravilo #1: Kada posumnjam, kontaktiram IT!

🎓 Još nekoliko pitanja za kraj

📝 PITANJE 4: Koje je PRVO što treba da uradiš ako posumnjaš da si primio phishing email?

Kliknuti link da vidim da li je legitiman
Kontaktirati Helpdesk/IT sluzbu za potvrdu
Proslediti email koleganama da pitam njihovo mišljenje
Ignorisati email

📝 PITANJE 5: Šta treba da uradiš pre instaliranja novog softvera na službeni računar?

Instalirati direktno i testirati da li će antivirus izbaciti neko obavestenje
Konsultovati IT sluzbu i zatraziti savet
Preuzeti softver sa nezvaničnog sajta da bi se uštedelo vreme
Isti software koristim na kućnom računaru, mogu ga koristiti i na službenom

🛡️ Osnove Web Bezbednosti