CERT RSS

Obavještavamo korisnike da s krajem godine gasimo našu CERT Spamblok uslugu.

Molimo sve sistemce koji su na svojim poslužiteljima elektroničke pošte kroz plugin spamassassin-cn implementirali ovu uslugu da u konfiguraciji plugina zakomentiraju ili uklone zapise koji se referenciraju na spamblok.cert.hr.

Više detalja možete pronaći na sljedećem poveznici https://www.cert.hr/dnsbl2/

Podsjećamo, CERT Spamblok je DNSBL sustav (eng. domain name server blacklist) ili RBL sustav (eng. real time blacklist) koji je prvenstveno namijenjen korisnicima u Hrvatskoj i omogućava im smanjivanje količine neželjene pošte (eng. spam). Svrha DNSBL liste je smanjivanje količine neželjene pošte koju šalju pošiljatelji iz Hrvatske i regije (tzv. spameri), a koji često nisu obuhvaćeni poznatim globalnim listama. DNSBL lista nije zamjena za poznate liste kao što su Spamhaus, SpamCop, Sorbs i sl.

Zahvaljujemo svima na višegodišnjem korištenju CERT Spamblok usluge i pozivamo vas da i dalje pratite naše stranice u svrhu informiranja o novim, budućim CERT uslugama.

The post Gašenje usluge CERT Spamblok first appeared on CERT.hr.

Na Hrvatskom vojnom učilištu “Dr. Franjo Tuđman” od 28. studenoga do 5. prosinca 2025. provedena je međunarodna NATO vježba “Cyber Coalition 25”.

Vježba “Cyber Coalition 25” jedna je od najvećih i najznačajnijih kibernetičkih vježbi. Riječ je o vodećoj godišnjoj NATO vježbi kolektivne kibernetičke obrane koja okuplja više od tisuću sudionika iz više od trideset zemalja članica NATO-a, partnerskih država i pozvanih promatrača.

Vježbu već osamnaestu godinu organizira Savezničko zapovjedništvo za transformaciju. Republika Hrvatska uključena je u vježbu “Cyber Coalition” od 2009. kao promatrač, a od 2013. godine kao aktivni sudionik, kontinuirano jačajući svoje kapacitete u području kibernetičke obrane.

U provedbi vježbe “Cyber Coalition 25” u Hrvatskoj sudjeluje Zapovjedništvo za kibernetički prostor, kao nacionalni nositelj, zajedno s predstavnicima Ministarstva obrane RH, Oružanih snaga RH, brojnim državnim institucijama, akademskom zajednicom te privatnim sektorom. Time se osigurava širok nacionalni doprinos i međusektorska suradnja.

Djelatnici Nacionalnog CERT-a sudjelovali su u radu operativne, tehniče te obučne skupine za krizno komuniciranje.

Izaslanik načelnika Glavnog stožera Oružanih snaga Republike Hrvatske brigadir Tihomir Tomić o vježbi je rekao: “U vježbi ‘Cyber Coalition’ sudjelujemo od 2013., a vježba se od početka temelji na civilno-vojnoj suradnji. Uz Hrvatsku vojsku u vježbi sudjeluju državne institucije. Počeli smo s jednim scenarijem na mreži, zatim smo svake godine postupno uključivali sve više i više scenarija. Danas sudjelujemo u svim scenarijima, što nas čini čvršćima, jačima i stabilnijima.”

Zapovjednik Zapovjedništva za kibernetički prostor pukovnik Davor Stanković rekao je: “Danas je više nego ikad jasno da se globalna sigurnosna slika mijenja brže nego što smo godinama smatrali mogućim. Rat u Ukrajini pokazuje svijetu da kibernetički prostor više nije samo podrška konvencionalnom ratovanju – on je prvo bojište, područje u kojem napadi mogu paralizirati kritične sustave, narušiti povjerenje javnosti i destabilizirati čitave regije.”

“Istodobno, suočavamo se s porastom hibridnih aktivnosti, naprednim ransomware kampanjama te državnim i nedržavnim akterima koji se digitalnim alatima koriste za ucjenu, sabotažu i širenje dezinformacija. Sve to potvrđuje da je kibernetička sigurnost postala temelj nacionalne i kolektivne sigurnosti. Upravo zato ovakva vrsta vježbe ima iznimnu vrijednost – ona omogućuje da u kontroliranom, ali realističnom okruženju testiramo svoje sposobnosti, otkrivamo slabosti i učimo jedni od drugih”, istaknuo je pukovnik Davor Stanković.

Nacionalni voditelj vježbe pukovnik Kristijan Jakopanec objasnio je: “Vježba ima četiri razine sudionika. Prva razina je nacionalni direktor vježbe koji je odgovoran za nadzor i ukupno vođenje vježbe. Drugu razinu čine kontrolori vježbe smješteni u estonskom glavnom gradu Talinu. Oni nadziru tijek vježbe, usmjeravaju aktivnosti te aktiviraju pojedine dijelove scenarija. Na operativnoj razini djeluju voditelji i lokalni treneri. Oni prate rad obučnih skupina, daju smjernice i pomažu timovima u postizanju zadanih ciljeva, uz stalnu koordinaciju s kontrolorima vježbe. Središnji dio vježbe čine obučne skupine: tehnička, operativna, pravna i skupina za krizno komuniciranje. Svaka od njih uvježbava specifične procedure potrebne za uspješno upravljanje kibernetičkim incidentima.”

Sudionike vježbe posjetili su izaslanik načelnika Glavnog stožera Oružanih snaga RH brigadir Tihomir Tomić, izaslanik ravnatelja Zavoda za sigurnost i informacijske sustave Krešimir Šipek, inspektor iz Inspektorata obrane brigadir Davor Dabo, izaslanik zapovjednika Zapovjedništva specijalnih snaga pukovnik Marinko Šajn i pomoćnik ravnatelja Carneta Miro Đuzel.

The post Održana međunarodna NATO vježba “Cyber Coalition 25” first appeared on CERT.hr.

Kritična ranjivost, nazvana “React2Shell”, u React Server Components (RSC) Flight protokolu omogućuje udaljeno izvršavanje kôda bez autentikacije u React i Next.js aplikacijama. Ranjivi su i svi okviri (engl. frameworks) i biblioteke koje koriste React.

Sigurnosni problem proizlazi iz nesigurne deserializacije. Dobio je ocjenu ozbiljnosti 10/10 i dodijeljen mu je identifikator CVE-2025-55182.

Sigurnosni istraživač Lachlan Davidson otkrio je propust i prijavio ga React timu 29. studenog. Utvrdio je da napadač može postići udaljeno izvršavanje kôda (RCE) slanjem posebno oblikovanog HTTP zahtjeva prema React Server Function krajnjim točkama (engl. endpoints).

“Čak i ako vaša aplikacija ne implementira nijednu krajnju točku za React Server Function, i dalje može biti ranjiva ako podržava React Server Components (RSC),” upozorava React u sigurnosnom savjetu.

Sljedeći paketi u svojoj zadanoj (engl. default) konfiguraciji su pogođeni:

• react-server-dom-parcel
• react-server-dom-turbopack
• react-server-dom-webpack

React je open-source JavaScript biblioteka za izgradnju korisničkih sučelja. Održava ga Meta i široko je usvojen među organizacijama svih veličina za razvoj front-enda.

Next.js, koji održava Vercel, je framework izgrađen na Reactu koji dodaje server-side rendering, rutiranje i API krajnje točke.

Oba rješenja široko su prisutna u cloud okruženjima kroz front-end aplikacije koje pomažu u bržem i lakšem skaliranju i implementaciji arhitektura.

Utjecaj i zakrpe

Prema Reactu, ranjivost je prisutna u verzijama 19.0, 19.1.0, 19.1.1 i 19.2.0. Next.js je pogođen u eksperimentalnim canary izdanjima počevši od 14.3.0-canary.77, te u svim izdanjima 15.x i 16.x prije zakrpanih verzija.

Propust postoji u paketu ‘react-server’ koji koristi i React Server Components (RSC), a Next.js ga nasljeđuje kroz implementaciju RSC Flight protokola.

Ista ranjivost vjerojatno postoji i u drugim bibliotekama koje implementiraju React Server, uključujući Vite RSC plugin, Parcel RSC plugin, React Router RSC preview, RedwoodSDK i Waku.

Tehničke detelje ranjivostori možete pronaći na React2Shell web stranici.

Preporučene radnje

Programerima se strogo preporučuje primjena zakrpa dostupnih u:

React:

• 19.0.1
• 19.1.2
• 19.2.1

Next.js:

• 15.0.5
• 15.1.9
• 15.2.6
• 15.3.6
• 15.4.8
• 15.5.7
• 16.0.7

Organizacije bi trebale provjeriti svoja okruženja kako bi utvrdile koriste li ranjivu verziju te poduzeti odgovarajuće mjere za ublažavanje rizika.

Izvor: https://www.bleepingcomputer.com/news/security/critical-react2shell-flaw-in-react-nextjs-lets-hackers-run-javascript-code/

The post React2Shell ranjivost (cvss 10). Hitno ažurirajte ranjive verzije first appeared on CERT.hr.

U Zagrebu je jučer održana međunarodna konferencija o podizanju razine svijesti javnosti o važnosti kibernetičke sigurnosti pod nazivom „Empowering the Human Element“, koju su organizirali European Union Agency for Cybersecurity (ENISA) i CARNET, u suradnji s Hrvatskim institutom za kibernetičku sigurnost (HIKS) te Sveučilišnim centrom za kibernetičku sigurnost na Sveučilištu Sjever.

Ovo međunarodno događanje, okupilo je više od 300 sudionika iz cijele Europe, uključujući stručnjake za kibernetičku sigurnost i edukaciju, predstavnike institucija i industrije, akademske zajednice, nevladinih organizacija te medija, kao i menadžere i donositelje odluka koji unutar svojih organizacija oblikuju strategije podizanja svijesti o kibernetičkoj sigurnosti.

U uvodnom obraćanju, Evangelos Ouzounis, voditelj izgradnje kapaciteta u ENISA-i, istaknuo je važnost podizanja svijesti o kibernetičkoj sigurnosti kao temelja otpornosti na sve složeniji krajobraz prijetnji, dok je dr. sc. Ivan Šabić, PhD, zamjenik ravnatelja CARNET-a, naglasio kako CARNET u središte svojih aktivnosti stavlja ljudski faktor te da su sustavi sigurni onoliko koliko su sigurni ljudi koji ih koriste, dodajući kako je jačanje vještina, svijesti i kvalitetnog donošenja odluka u digitalnom okruženju ključno za dugoročnu otpornost u Hrvatskoj i na razini Europske unije.

Na konferenciji su CARNET-ovi stručnjaci aktivno dijelili svoje znanje i iskustva. Renata Šimunko iz Nacionalnog koordinacijskog središta, sudjelovala je na panelu o učinkovitosti programa podizanja svijesti o kibernetičkoj sigurnosti, dok je kolega Jakov Kiš iz Nacionalnog CERT-a predstavio Cybersecurity Treasure Hunt, pokazujući kako igrifikacija može učiniti učenje interaktivnim i motivirajućim.

The post U Zagrebu održana ENISA-ina konferencija o podizanju svijesti o kibernetičkoj sigurnosti first appeared on CERT.hr.

Uoči „Crnog petka“, kada raste broj internetskih kupovina, ali i online prijevara, Hrvatska udruga banaka (HUB) u suradnji s MUP-om i CARNET-ovim Nacionalnim CERT-om pokrenula je nacionalnu kampanju „Budimo realni“.

Kroz TV spotove i edukativnu internetsku stranicu www.budimorealni.hr kampanja prikazuje primjere najčešćih oblika prijevara – od lažnih stranica banaka i phishing poziva do romantičnih i investicijskih prijevara.

Glavno lice kampanje je glumac Hrvoje Kečkeš, koji u ulozi „susjeda heroja“, uz prepoznatljivu frazu „Budimo realni“, upozorava na situacije u kojima prevaranti koriste povjerenje i brzopletost građana.

Građanima se savjetuje i da prije kupnje dobro provjere internetsku trgovinu, uključujući i iskustva drugih korisnika, te da podatke o kartici unose samo na sigurnim i pouzdanim stranicama.

Za što informiranije donošenje odluke prije online kupovine posjetite https://iffy.cert.hr/

The post CARNET-ov Nacionalni CERT partner kampanje „Budimo realni“ za sprječavanje internetskih prijevara first appeared on CERT.hr.

Na šestom izdanju Hacknitea, CTF natjecanja iz područja kibernetičke sigurnosti za učenike srednjih škola, ove je godine odnijela ekipa G04T iz Gimnazije i strukovne škole Jurja Dobrile Pazin. Iako je svim članovima ovo bilo prvo natjecanje iz područja kibernetičke sigurnosti, svojim su znanjem, upornošću i timskim radom zasluženo osvojili prvo mjesto.

Tim je mentorirao Lovro Šverko, nastavnik informatike i stručnih predmeta iz područja računalstva, a pobjedničku ekipu čine:
Filip Peršurić Bernobić
Jan Runko
Toni Sergo
Zvonimir Fadiga
Antonio Hrelja

Članovi tima G04T-a u slobodno vrijeme bave raznim interesima kao što je sviranje, programiranje, rad s mikrokontrolerima i senzorima, no svima je zajednička ljubav prema informatici i praćenju novih tehnologija.

Kako je nastao pobjednički tim

Primarna namjera mentora Lovre bila je potaknuti učenike da se prijave, okupiti ekipu iz različitih razreda prirodoslovno-matematičke gimnazije i motivirati ih da iskoriste svoje znanje u realnom i izazovnom okruženju kibernetičke sigurnosti.

„Za Hacknite smo saznali preko profesora informatike koji nam je preporučio natjecanje i rekao nam više o njemu. Privukao nas je sam stil natjecanja i mogućnost pronalaženja problema u aplikacijama.”

Prije Hacknitea članovi tima nisu ozbiljnije razmišljali o tome da bi ih kibernetička sigurnost mogla ovako zanimati, no ovo ih je iskustvo potaknulo da detaljnije istraže ovo područje.

Taktika natjecanja

Mentor Lovro navodi da su pripreme za natjecanje u potpunosti su bile u rukama učenika. Ističe da je jedan član tima, Filip, preuzeo inicijativu: prezentirao je ostalima što je Hacknite i kako se pripremiti. Kada se ekipa formirala, učenici su samostalno organizirali svoje pripreme.

Učenici su imali jasnu taktičku pretpostavku. Plan je bio da u petak pogledaju zadatke i odu relativno rano spavati, kako bi u subotu ujutro bili odmorni i mogli napraviti što veću razliku. Pretpostavili su da će ostale iskusnije ekipe rješavati zadatke cijelu noć i biti umorne drugi dan, što bi im moglo dati prednost. Ta se taktika pokazala uspješnom jer je upravo razlika stvorena u subotu bila ključna za konačnu pobjedu.

„Drugog dana natjecanja smo se probudili vrlo rano kako bismo stekli prednost pred ostalim timovima koji su još spavali.“

Neki su radili više danju, neki noću, a jedino je pravilo bilo – ne ići spavati prekasno kako bi drugi dan bili odmorni. Zadatke su rješavali najkasnije do 2 ujutro.

Najzahtjevniji i najzanimljiviji zadaci

Učenici kažu kako su im najzahtjevniji zadaci bili: Tajna poruka, Haxxor i Keygen, dok kao najzanimljivije zadatke ističu: Kanta, Tajna poruka, Keygen i galf.gnp.

Mentor Lovro smatra da je najveći napredak ovog natjecanja mentalni pomak, spoznaja učenika da kao ekipa mogu riješiti najteže zadatke i postati najbolji u državi, što im daje veliko samopouzdanje za buduće izazove i projekte.

Hacknite 2025. – iskustvo koje će pamtiti

Sudjelovanje na Hackniteu članovi tima opisali su kao uzbudljivo i iznimno pozitivno iskustvo.

„Drago nam je da atmosfera nije bila PREprofesionalna svi su na discord serveru bili jako opušteni, dragi i pozitivni.“

Posebno im je u sjećanju ostala odlična interna atmosfera tijekom privatnih Discord razgovora dok su rješavali zadatke, kroz koje su se bolje upoznali i jako dobro zabavili.

Mentora je najviše iznenadio sam rezultat i način na koji su učenici dominirali natjecanjem. Nije očekivao posebno dobar rezultat, a kamoli uvjerljivu pobjedu nad iskusnijim ekipama s obzirom na to da im je ovo bilo prvo sudjelovanje na Hacknite natjecanju.

„Moja uloga se primarno svela na emocionalno i psihološko vodstvo. Iako su učenici bili u konstantnom vodstvu, poticao sam ih da ne odustaju i da u natjecanje unose punu snagu. Čak i kada su postigli značajnu prednost, usmjeravao sam ih na rješavanje zadataka koje su smatrali nerješivima. Cilj nije bila pobjeda pod svaku cijenu, već da sami sebi dokažu da mogu pomaknuti vlastite granice i riješiti najteže izazove.“

Najposebniji trenutak za mentora bio je u nedjelju navečer, kada mu je voditelj druge ekipe javio: “Odustali su, prihvatili su 2. mjesto.” Taj trenutak za njega je bio emotivan vrhunac, potvrda da je taktika tima uspjela i da su učenici, već u prvom pokušaju, nadigrali konkurenciju.

Znanje za budućnost i planovi za dalje

Članovi tima ističu kako su kroz ovogodišnje natjecanje, a posebno kroz samo sudjelovanje na Hackniteu, naučili mnogo novih i korisnih stvari iz područja kibernetičke sigurnosti, upoznali su brojne alate i metode koji se koriste u praksi, a koje ranije nisu poznavali. Sve zajedno, iskustvo im je donijelo širok spektar znanja koje smatraju iznimno vrijednim.

Najviše se interesiraju za razvoj tehnologija i različita područja unutar kibernetičke sigurnosti, među kojima su OSINT, reverzno inženjerstvo i web kategorija, a nakon sudjelovanja na Hackniteu još im je zanimljivije otkrivati ranjivosti na internetu. Posebno im je zanimljiv rad u obrambenom, blue timu, gdje bi voljeli štititi sustave, otkrivati prijetnje i jačati sigurnosne mehanizme.

Dok se neki članovi tima jednog dana vide u ulozi sigurnosnog stručnjaka, drugi planiraju karijere poput game developera ili rada u području glazbe. Ipak, svima je kibernetička sigurnost izrazito zanimljivo i privlačno područje informatike.

Mentor Lovro kaže da se interes mora nastaviti razvijati kroz praktičan rad i natjecanja. Također, smatra da je ključno u školama prepoznati ovakve grupe učenika i pružiti im maksimalnu podršku, jer oni su ti koji će postati naši budući stručnjaci u ovom neizmjerno važnom području.

Ponovno sudjelovanje na CTF natjecanju

Kada je riječ o budućim sudjelovanjima, tim još nije potpuno siguran, zato što su neki članovi maturanti i više neće moći sudjelovati na Hackniteu. Svakako planiraju iskušati i druga CTF natjecanja, poput picoCTF-a i drugih, a dio tima volio bi u budućnosti sudjelovati i na Hackultetu. Dok mentor Lovro odlučno navodi kako će ponovo sudjelovati na Hacknite natjecanju i braniti titulu pobjednika, a svim budućim natjecateljima poručuje:

„Samo se prijavite! Nije bitno koliko znate na početku, bitno je koliko ste voljni naučiti i surađivati. Kao što je i naš tim pokazao, zajedništvo i entuzijazam su jači od dugogodišnjeg iskustva.“

Pobjeda tima G04T dokaz je da među mladima u Hrvatskoj raste snažna generacija talentiranih, znatiželjnih i motiviranih učenika spremnih suočiti se s izazovima kibernetičke sigurnosti. Još jednom od srca čestitamo pobjedničkom timu GO4T i mentoru na ostvarenom rezultatu!

The post Upoznajte pobjednički tim Hacknite natjecanja 2025 – G04T first appeared on CERT.hr.

Živimo u vremenu u kojem se čini da je kritičko razmišljanje opcionalno. Umjetna inteligencija dovršava naše rečenice, planira nam rute i piše naše ideje. Aplikacije predviđaju što želimo prije nego što to i sami znamo. Život nikada nije bio praktičniji ni više automatiziran.

Ispod površine sve te praktičnosti polako i nesvjesno gubimo naviku samostalnog razmišljanja. Praktičnost nas lako privuče, ali uz brzi tempo inovacija nameće se ključno pitanje: žrtvujemo li osobni razvoj zbog pogodnosti koje nam donosi AI?

Privlačnost beznapornog napretka

AI alati temelje se na jednostavnom obećanju: olakšati život. Smanjuju napor i preuzimaju dosadne dijelove dana.
Zašto se boriti s osmišljavanjem teksta kada nam umjetna inteligencija može osmisliti odlomak za nekoliko sekundi? Zašto pamtiti ulice kad nas GPS može voditi skretanje po skretanje?

Praktičnost se čini kao napredak, uglavnom i jest. Ali svaki put kad prepustimo mentalni izazov umjetnoj inteligenciji, odričemo se malenog dijela vlastite sposobnosti rasuđivanja, maštanja ili odlučivanja. Problem nije u tome što strojevi postaju pametniji, već je problem što se mi polako mirimo s time da budemo manje uključeni. Ako prestanemo trenirati svoj um i potpuno se oslonimo na AI alate, naše kritičke sposobnosti će oslabiti, a to nosi stvarne rizike.

Mozak na autopilotu

Psiholozi ovaj fenomen nazivaju kognitivnim rasterećenjem — oslanjanje na kalkulatore, kalendare, pametne telefone i sada AI kako bi preuzeli naš mentalni teret. To je najčešće praktično i učinkovito. No što više toga prebacimo na tehnologiju, manje vježbamo vještine koje smo nekoć koristili prirodno.

Razmislite kako je GPS promijenio putovanja: nekad smo se oslanjali na prostorno pamćenje, a danas mnogi od nas ne mogu pratiti jednostavnu rutu bez mobitela. Isto se događa i s pisanjem: autocorrect popravlja pravopis, prediktivni tekst nudi sljedeću riječ, pa pišemo brže, ali uz manje mentalnog prisjećanja vokabulara, sintakse i ideja. S vremenom, vještine koje prepustimo AI alatima postupno slabe i izlaze iz naše mentalne prakse.

Kad AI predviđa sljedeću riječ ili sliku, to čini prema obrascima onoga što je već postojalo. Ali prava kreativnost ovisi o onome što još nije napravljeno. Savršeno učinkovit kreativni proces može biti brz, ali rijetko je dubok. Rizik je da, ne primjećujući, zamijenimo maštu imitacijom. AI širi ovaj obrazac i na donošenje odluka, kreativnost pa čak i moralno prosuđivanje. Ne tražimo od tehnologije samo da nam pomogne misliti; pozivamo je da misli umjesto nas. A kako kritičko razmišljanje slabi, može oslabjeti i emocionalna inteligencija, jer empatija, samosvijest i dobro prosuđivanje rastu iz istih navika pažnje, refleksije i truda koje sada prepuštamo strojevima.

Emocionalna cijena pretjeranog oslanjanja

Postoji i emocionalna strana automatizacije. Kad umjetna inteligencija donosi odluke umjesto nas, gubimo onaj mali, ali važni osjećaj zadovoljstva koji dolazi kad sami riješimo problem. Dobivamo rezultate bez radosti otkrivanja ili ponosa uloženog truda. U tom procesu možda se učimo da postignuća, pa čak i potraga za smislenim ciljevima, ne gledamo kao ciljeve same po sebi, već kao poslove koje treba optimizirati.

Preispitivanje “praktičnosti” kao vrijednosti

AI ne zna. Ne osjeća. Ne griješi. Upravo zato nikada ne može zamijeniti ljudsku borbu. Mali napori poput pisanja odlomka od nule, snaći se u nepoznatom gradu, donijeti tešku odluku ne predstavljaju neučinkovitosti, to su vježbe ljudskosti.

Praktičnost je postala vrijednost sama po sebi, ali nikada nije bila mišljena da zamijeni znatiželju, strpljenje ili dubinu. Pitanje je jednostavno: Pomaže li mi ovaj alat da bolje razmišljam – ili samo da manje razmišljam?

Povratak ljudskom umu

AI nije neprijatelj. To je alat, izvanredan alat koji može ojačati naše sposobnosti na načine koje prethodne generacije nisu mogle zamisliti. Takvi alati bi trebali služiti našem rastu, a ne zamijeniti ga. Da bismo povratili mentalnu snagu u doba automatizacije, vrijedi ponovno uvesti malo poteškoće u život:

• Napiši odlomak samostalno, barem prvu verziju
• Razmisli prije nego što pitaš AI
• Računaj male iznose u glavi
• Pročitaj cijeli članak umjesto sažetka i zabilježi ga vlastitim riječima
• Isključi prediktivni tekst na jedan dan I deaktiviraj nebitne notifikacije
• Skiciraj ideje na papiru prije otvaranja dizajnerskog softvera
• Donosi odluku sam, pa je tek onda usporedi s preporukom algoritma

Pravo kritičko razmišljanje zahtijeva napor. Sporo je, ponekad nije jednostavno, ali duboko nagrađujuće.

Poziv na ravnotežu

Koristi AI da ojačaš svoje sposobnosti, ne da zamijeni tvoju ljudskost. Automatiziraj ono što je ponavljajuće ali ne ono što tvoje vještine čini slabijima. Prava snaga ne dolazi iz prečaca. Dolazi iz borbe.

O autorici

Panayiota T. Smyrli je inženjerka kibernetičke sigurnosti i tehnička koordinatorica projekata u Digitalnoj sigurnosnoj agenciji Cipra te istraživačica na Otvorenom sveučilištu Cipra. Bavi se sigurnosnim menadžmentom, analizom prijetnji, usklađenošću i razvojem sigurnosnih politika te sudjeluje u EU projektima koji se fokusiraju na standardizaciju, interoperabilnost i jačanje prekograničnih kapaciteta.

The post Zamka udobnosti: kako nas automatizacija može navesti da zaboravimo razmišljati first appeared on CERT.hr.

Kibernetički kriminalci više ne hakiraju sustave, već hakiraju umove. Pomoću umjetne inteligencije stvaraju poruke, glasove i videozapise koji pokreću emocije i pokušavaju zaobići vašu logiku. Da biste se obranili pomaže razumjeti kako vaš mozak funkcionira, posebno kada je pod pritiskom.

Kako to funkcionira?

Većinu vremena vaš mozak radi na Sustavu 1 – brzo, automatski i bez napora. To je vaš zadani način rada jer štedi vrijeme i energiju. Pomaže vam da prođete kroz dan bez preopterećenja mozga stalnim odlukama. Kada ste pod stresom, rastreseni ili emocionalni, vaš se mozak još više oslanja na Sustav 1. Tada djelujete impulzivno, olako vjerujete i najvjerojatnije ćete griješiti.

Ovaj model dolazi od psihologa i dobitnika Nobelove nagrade Daniela Kahnemana, koji opisuje dva načina razmišljanja:

Sustav 1 je intuitivan, emotivan, brzo reagira – ali lako se može zavesti:

• Vođen osjećajima, navikama i instinktima
• Reagira na strah, hitnost, sram, autoritet i društveni pritisak
• Ranjiv na manipulaciju, posebno od napada generiranih umjetnom inteligencijom.

Sustav 2 je sporiji, logičniji i analitičniji, ali mu je potrebno vrijeme i energija za aktiviranje:

• Planira, kritički razmišlja, odupire se impulsima
• Može uočiti sumnjive poveznice i deepfakeove ako mu se da vremena i fokus.

Kako bi to bilo lakše vizualizirati, psiholog Jonathan Haidt uveo je metaforu Slona i Jahača:

• Slon: snažan, emotivan, automatski (Sustav 1)
• Jahač: manji, racionalan, promišljen (Sustav 2)

Slon većinu vremena ima kontrolu. Jahač ga može voditi – ali samo uz trud, fokus i prave uvjete. Svi živimo u Sustavu 1 po zadanim postavkama. To nije mana – to je način na koji mozak štedi energiju. Ali to također znači da smo ranjivi kada se stvari brzo odvijaju.

Što možete učiniti?

Pravi izazov je kako reagiramo na digitalne znakove u užurbanom životu bez promišljanja. Svjesnost/Mindfulness nam pomaže usporiti reakciju, primijetiti obrasce i vratiti analitičko razmišljanje.

Jednostavni načini za ponovno preuzimanje kontrole:

• Stvorite dobre radne navike. Kratke redovite pauze, potpuna koncentracija na e-poštu.
• Zastanite prije nego što kliknete. Dajte svom Jahaču vremena da odgovori.
• Primijetite svoje emocije. Osjećate li se užurbano, entuzijastično ili uplašeno?
• Dišite. Trenutak mira može spriječiti veliku pogrešku.
• Dvaput provjerite. Bi li me ova osoba inače kontaktirala na ovaj način?
• Obratite pažnju na crvene zastavice. Prijevare mogu biti suptilne, ali nisu besprijekorne.

Budite svjesni. Ostanite sigurni.
Be mindful. Stay safe.

Učenjem kako vaš mozak funkcionira, preuzimate kontrolu. Svjesnošću možete aktivirati razmišljanje Sustava 2 i osnažiti Jahača da upravlja Slonom.

Saznajte više:

• Daniel Kahneman: Thinking, Fast and Slow (The Decision Lab)
• The Elephant, The Rider and The Path – A Tale of Behavior Change (Rare)
• GÉANT Security website

The post Zašto je razumijevanje uma ključno za kibernetičku sigurnost first appeared on CERT.hr.

“Umjetna inteligencija može donijeti inovacije i učinkovitost u obrazovni sektor – ali samo ako ju vodi povjerenje, transparentnost i odgovornost.”

Zašto su AI politike važne za obrazovanje i istraživanje

Umjetna inteligencija (AI) više nije budućnost, ona već oblikuje način na koji živimo i radimo, od alata za pisanje i prevođenje do analize podataka. AI donosi nove mogućnosti za učinkovitost, kreativnost i istraživanje, uključujući obrazovni sektor.

Obrazovanje i istraživanje nisu iznimka. Sveučilišta i institucije istražuju kako AI može podržati nastavu, pojednostaviti administrativne procese i otvoriti nove puteve istraživanja. No, uz prilike dolaze i rizici kao što su curenje podataka, automatizirano donošenje odluka bez nadzora te pitanja pravednosti i točnosti.

Kroz razgovore s akademskom i istraživačkom zajednicom često se postavljaju ista pitanja: Možemo li sigurno koristiti AI? Koja pravila vrijede? Kako uskladiti inovacije s usklađenošću? Odgovor leži u jasnim, praktičnim i transparentnim politikama koje omogućuju sigurno i odgovorno korištenje umjetne inteligencije.

Zašto su AI politike važne za usklađenost

AI politike nisu važne samo iz praktičnih, već i regulatornih razloga. Novi standard ISO/IEC 42001:2023 (AI Management System – AIMS) zahtijeva od organizacija uspostavu dokumentiranih AI politika za upravljanje rizicima i nadzorom.

Slično tome, EU AI Act, iako ne koristi izričito pojam “politika”, propisuje obveze u području s transparentnošću, upravljanjem rizicima, upravljanjem podacima i ljudskim nadzorom. U praksi se te obveze ne mogu ispuniti bez jasnih internih pravila i procedura.

Uz međunarodne standarde i europske propise, oslanjamo se i na nacionalne primjere dobre prakse. U Irskoj, Smjernice za odgovorno korištenje umjetne inteligencije u javnom sektoru, objavljene 7. svibnja 2025. i posljednji put ažurirane 5. kolovoza 2025., daju jasna načela transparentnosti, odgovornosti i pravednosti. Te smjernice podupiru i AI Guidelines and Resources for the Irish Public Service, koji pomažu javnim tijelima da odgovorno usvajaju AI uz očuvanje povjerenja i integriteta.

Upravljanje AI rizicima u praksi

EU AI Act uvodi klasifikaciju rizika: neprihvatljivi, visoki, ograničeni i minimalni rizik. Sustavi visokog rizika moraju ispunjavati stroge zahtjeve, uključujući dokumentaciju, transparentnost, ljudski nadzor i procese upravljanja rizicima.

Za institucije je ključno razumjeti kojoj kategoriji alat pripada prije nego što ga uvedu. Neodobreni alati, tzv. shadow AI, iako se čine bezopasnima, mogu stvoriti rizike za usklađenost i narušiti povjerenje ako nisu pravilno upravljani.

Zaposlenici ne mogu tvrditi: „AI mi je to napravio.“

Jasne politike potvrđuju da odgovornost uvijek ostaje na ljudima, a ne na tehnologiji. Kao i kod svakog drugog sustava, korisnici su odgovorni za način na koji se AI primjenjuje.

Suradnja s institucijama

Unutar tima ICT Security Services (ICTSS) pri HEAnetu, stručnjaci pomažu klijentima razviti i revidirati sigurnosne politike, podići svijest i mapirati rizike. Kada je riječ o AI-ju, cilj je pretvoriti nesigurnost u jasnoću.

Zajedno s institucijama, HEAnet je razvio smjernice koje obuhvaćaju:

• Prihvatljivu uporabu AI alata – jasno razgraničenje između dopuštenih i zabranjenih primjena.
• Transparentnost i obavezno otkrivanje – kada je AI korišten u nastavnim materijalima, istraživanju ili administraciji.
• Ljudski nadzor – donošenje odluka koje utječu na ljude ne može biti prepušteno automatizaciji.
• Upravljanje rizicima i usklađenost – s EU i ISO standardima.
• Zaštitu podataka – osobni i povjerljivi podaci ne smiju se unositi u AI alate.

Za prelazak s načela na praksu, HEAnet preporučuje korištenje kontrolnih popisa i dijagrama odluka koji pomažu osoblju da brzo procijeni može li i kako koristiti AI alat.

Struktura AI politike upravljanja

ICTSS tim preporučuje pristup inspiriran EU AI Actom i ISO/IEC 42001 standardom, ali prilagođen zrelosti i resursima svake institucije. Ne postoji jedini „ispravan“ model za sve institucije. Praktična struktura obično uključuje:

Najvažnije je stvoriti politiku koja odgovara kulturi, resursima i razini spremnosti unutar jedne organizacije. Cilj je osigurati da su politike usklađene s priznatim standardima, a da su istovremeno jednostavne za razumjeti i primijeniti.

Za institucije koje tek započinju s uvođenjem AI politika, preporučuje se da krenu s nekoliko jednostavnih koraka:

Ključne pouke

AI politika sama po sebi nije dovoljna. Zaposlenici moraju biti upoznati s njom, razumjeti je i imati podršku za primjenu. Vodstvo ima ključnu ulogu, mora jasno komunicirati očekivanja i odgovornosti, ali i omogućiti dijalog i edukaciju.

“Politika mora postati dio kulture, ne samo dokument.”

Zajedno prema odgovornoj uporabi AI-ja

Na ovogodišnjem Client Security Forumu, tema umjetne inteligencije bila je u središtu rasprava. Najviše je odjeknula jednostavna, ali moćna kontrolna lista: Tko koristi AI? Za što? I postoji li ljudski nadzor? Ova pitanja pokazala su da upravljanje i svijest uvijek moraju ići zajedno. AI politike znače više od usklađenosti, one su temelj povjerenja i odgovorne inovacije.

O autorici

Daniella Vendramini je voditeljica tima za IT usklađenost u ICT Security Services timu pri HEAnetu, s više od deset godina iskustva u kibernetičkoj sigurnosti, upravljanju rizicima i usklađenošću u sektorima obrazovanja, zdravstva, financija i javne uprave. Radila je u Irskoj, Francuskoj, Portugalu i Brazilu te savjetovala organizacije o međunarodnim standardima i propisima, uključujući ISO/IEC 27001 i 22301, GDPR i DORA. Zalaže se za promicanje kulture sigurnosti i pomaže akademskoj zajednici u odgovornoj i sigurnoj primjeni umjetne inteligencije.

The post AI politike i zašto su one važne first appeared on CERT.hr.

Završio je i ovogodišnji Hacknite, CTF natjecanje za srednjoškolce, a pobjedu je odnio tim G04T iz Gimnazije i strukovne škole Jurja Dobrile Pazin uz mentorstvo Lovra Šverka.

Šesto izdanje Hacknitea privuklo je 48 timova = 240 učenika/ca.

Natjecanje se održalo 17. i 19. listopada 2025. godine. Ljestvica je zaključana 19. listopada u 20:00 sati, a nakon dodatnih provjera formiran je i konačni poredak.

U nastavku se nalaze rezultati natjecanja:

1G04T93702kiberpsihoza.exe85203pwnsquad73704Cava++71705Mliječni mafijaši57456Tuljani48207rekurzije46708Tim#345709ShrimpeRi377010ZeroTrace Corp.339511HeX horda ZP322012Digitalci287013ROMobil237014bITange207015PRODEX187016PotuJeNajjaci182017GAMbit177018tvrdži od betona177019Zdenko Škrabalo173520tilinici19152021SSSR144522Alt+F41395230x43124524Espada1070252V4N3!107026Združeni hakeri GAM-a i ETŠ-a102027Tim#297028NoTrace970295kgovci87030Cokolino mafia84531Zemun Klan82032Net-Busters82033KTM82034JADZ57035Erroristi53536chatgpt_nezna_generirat_ime52037Ninja kornjače52038The Log37039Testeri32540Funkcionalni propalitet21041P3ML21042Matematičari14543Čokolino mafija13544€ncr¥p71045d€cr¥p710

Čestitamo svim sudionicima i njihovim mentorima!

The post Rezultati Hacknite 2025 natjecanja first appeared on CERT.hr.

Webinar možete pogledati ovdje: Anna Collard: ‘Meta-awareness in the age of AI’ (webinar)

Anna Collard, viša potpredsjednica u KnowBe4 Africa i stručnjakinja s više od 20 godina iskustva u kibernetičkoj sigurnosti, priznala je kako je jednom kliknula na phishing e-mail: „Bila sam u Uberu, razgovarala s vozačem, pakirala torbu, provjeravala e-mail… i kliknula. Na sreću, bio je to test koji je poslao naš IT tim“. Njezina kazna? Završiti edukaciju koju je sama napisala. Taj trenutak ju je natjerao na razmišljanje: problem nije u znanju, nego u pažnji.

Zato Anna zagovara novi pristup, digitalnu svjesnost (mindfulness) u kibernetičkoj sigurnosti. Ne radi se o tome da postanemo „Zen“, već o tome da naučimo prepoznati trenutke kada smo podložni skupim pogreškama — i imati alate da se zaustavimo. Praktične, znanstveno utemeljene tehnike svjesnosti mogu pomoći da ostanemo fokusirani i smanjimo rizik od pogrešaka koje hakeri iskorištavaju.

„Interno istraživanje u Anninoj tvrtki, pokazalo je da se 53% pogrešaka događa dok multitaskamo ili smo ometeni.
Druga istraživanja, poput Tessianovog Psychology of Human Error izvješća, potvrđuju te podatke.“

Zašto samo znanje nije dovoljno

U svom istraživanju za magistarski rad iz kibernetičke psihologije, Anna je identificirala 33 čimbenika koji utječu na podložnost ljudi online manipulaciji i socijalnom inženjeringu. Većina edukacija o sigurnosti fokusira se samo na jedan ili dva čimbenika, a to su: znanje i nesigurnost u postupanju. Ključne stvari koje kriminalci zapravo iskorištavaju jesu: kognitivne pristranosti, impulzivnost i osobne ranjivosti.

„Ne educiramo ljude učinkovito u pogledu svih ostalih čimbenika koje kriminalci namjerno
iskorištavaju kao što su kognitivne pristranosti, impulzivnosti i osobne ranjivosti.“

Ove ranjivosti ne nestaju s razvojem tehnologije — zapravo, umjetna inteligencija ih olakšava iskorištavati, generirajući poruke i scenarije precizno prilagođene našim pristranostima. Napadači razumiju kako razmišljamo. Koriste mentalne prečace (heuristike) koji nas potiču da brzo odlučujemo, ali nas tako mogu i navesti na pogrešku.

„Napadači razumiju kognitivne pristranosti i osmišljavaju svoje napade kako bi ih iskoristili.
Zato nije dovoljno samo reći ljudima da ‘zadrže pokazivač miša iznad poveznice.“

Čak i u okruženjima gdje su ljudi dobro obučeni i svjesni phishing taktika, pogreške se i dalje događaju. Ne zbog neznanja, već zato što mozak ima tendenciju djelovati na ‘autopilotu’ kada je pod pritiskom, preopterećen ili emocionalno potaknut. Zato prava sigurnost ne počinje samo edukacijom, već svjesnošću — prepoznavanjem trenutka kada nismo fokusirani.

Svjenost kao alat kibernetičke sigurnosti

Anna je usporedila tehnike svjesnosti (mindfulnessa) s 33 čimbenika koji utječu na našu podložnost manipulaciji i otkrila da svjenost može pozitivno utjecati na čak 23 od njih. U središtu tog pristupa je meta-svjesnost, odnosno sposobnost da “uhvatimo sebe” u trenutku stresa, žurbe ili ako smo neuobičajeno samouvjereni i odlučimo usporiti prije nego što kliknemo, odgovorimo ili podijelimo nešto.

Cilj ovog pristupa nije biti hiper-svjestan cijelo vrijeme, što je zapravo nerealno i iscrpljujuće, nego izgraditi navike koje nas potiču da usporimo i uključimo “sporije razmišljanje” u pravim trenucima.

„Netko vas traži da hitno prebacite novac ili podjelite osjetljive podatke”,
svejesnost tada djeluje kao unutarnji alarm koji kaže:
“Stani. Ovo je trenutak za dodatni oprez.”

Mikro-prakse koje grade digitalnu svjesnost

Annin pristup svodi se na jednostavne navike koje nam pomažu prekinuti “autopilot” i vratiti pažnju u sadašnji trenutak. Male, ali učinkovite promjene koje dugoročno čine razliku::

• Zadatak po zadatak: „Multitasking je poguban za našu produktivnost, mentalno zdravlje i otpornost na manipulaciju. Naš mozak ne može istovremeno obavljati dva kognitivna zadatka.“
• Vremenska podjela rada i odmora: Koristite blokove fokusa od 30–45 minuta, a zatim prošećite ili se istegnite. „To izvlači mozak iz iscrpljenog stanja i oslobađa hormone dobrog raspoloženja.“
• Namjera (intentionality): Prije sastanka, udahnite i zamislite kako se želite osjećati nakon njega.
• Senzorno uzemljenje: Koristite zvukove prirode, binauralne tonove, mirise ili teksture kako biste resetirali fokus — neki od Anninih klijenata koriste mirisne antistres loptice ili mini Zen vrtove.
• Trening fokusa: Pokušajte s vježbom „gledanja u jednu točku“ — gledajte u točku bez treptanja, zatim zatvorite oči i pokušajte zadržati sliku u mislima.
• Prepoznavanje okidača: Obratite pažnju na ubrzano lupanje srca, iznenadni val uzbuđenja ili pritisak — to mogu biti znakovi manipulacije.
• Sigurne navike pri korištenju uređaja: Izbjegavajte otvaranje i reagiranje na e-mailove dok istovremeno radite nešto drugo.

Ove male prakse možda ne izgledaju kao sigurnosne mjere, ali izravno smanjuju čimbenike rizika. Kada se uklope u svakodnevnu rutinu, postaju instinktivne poput vezanja sigurnosnog pojasa u automobilu.

Kako to primijeniti na sveučilištima i istraživačkim institucijama

Na sveučilištima i istraživačkim institucijama, gdje su resursi često ograničeni, a promjene sporo zaživljavaju, digitalna svjesnost može biti predstavljena ne samo kao sigurnosna mjera, već kao način za jačanje fokusa, mentalne otpornosti i dobrobiti. Povlači paralelu s kampanjama za mentalno zdravlje koje su uspješno zaživjele na sveučilištima: „One su uspjele kad su imale institucionalne zagovornike, kad su prakse bile jednostavne i dostupne te kad su bile integrirane u postojeće aktivnosti.“

„Učinite to relevantnim i znanstveno potkrijepljenim; ponudite mikro-intervencije
koje pomažu boljem razmišljanju, učenju i životu u digitalnom svijetu.“

Njezini prijedlozi uključuju sljedeće korake:

• Krenite od znanosti: Podijelite dokaze iz neuroznanosti i bihevioralnih istraživanja kako biste pridobili akademsko osoblje.
• Digitalni svjesni trenuci: Dvije minute svjesnog disanja ili gašenja uređaja na početku predavanja ili sastanka.
• Osnažite ambasadore: Identificirajte profesore ili studente koji su već zainteresirani za svjesnost ili digitalnu dobrobit.
• Integrirajte u postojeće programe: Uključite u inicijative za dobrobit, orijentacijske tjedne, studentske službe ili kampanje za mentalno zdravlje.
• Koristite digitalne poticaje: Mikro-edukativne videozapise, QR postere, edukacijske popuste za alate za fokus ili automatske kalendarske podsjetnike da zastanete između sastanaka.
• Preformulirajte poruku: Predstavite to kao način smanjenja izgaranja, povećanja produktivnosti i poboljšanja kvalitete nastave i akademskog uspjeha.
• Prikupite povratne informacije: Brze ankete o tome što funkcionira i što treba prilagoditi.
• Ispričajte priče: Koristite interne zagovornike ili cijenjene osobe kako biste normalizirali praksu.

Kako to izgleda u praksi

Visoko obrazovanje može mnogo naučiti iz korporativnih primjera. Jedna globalna inženjerska tvrtka, povodom Međunarodnog mjeseca kibernetičke sigurnosti i mentalnog zdravlja, redizajnirala je svoj program edukacije tako da uključi principe mindfulnessa.

„Vrlo je snažno kad HR i sigurnosni timovi rade zajedno. Pokrećite kampanje zajedno, oslanjajte se jedni na druge, razmjenjujte priče međusobno — svi imaju priču o tome kako su bili preopterećeni i kliknuli na link.“

Sličan pristup primjenjuje i jedna južnoafrička banka, gdje sigurnosni i wellness timovi zajednički organiziraju roadshow događaje. Na jednom štandu zaposlenicima mjere puls, a odmah do njih sigurnosni tim objašnjava: “Kad ste pod stresom, veća je vjerojatnost da ćete kliknuti na pogrešan link.” Rezultat? Sigurnosne teme postaju prirodan dio razgovora o zdravlju i dobrobiti, a ne tehnički problem koji se mora “odraditi”.

Čak i u akademskom svijetu postoje uspješni primjeri: Oxford i druga sveučilišta već nude tečajeve svjesnosti koji pomažu studentima upravljati stresom i produktivnošću — dokaz da se ovaj pristup lako može uklopiti i u obrazovno okruženje.

Mjerenje učinka

Anna upozorava da se ne oslanjamo isključivo na broj klikova u phishing testovima: „Možete manipulirati rezultatima tako da pošaljete jednostavan phishing e-mail i osigurate da ostvarite cilj.“

Bolji pokazatelji uspjeha uključuju:

• koliko se često prijavljuju sumnjivi e-mailovi,
• trendove kroz vrijeme u phishing simulacijama,
• i povratne informacije zaposlenika – posebno o tome što ih je navelo da kliknu ili što ih je zadržalo.

Takvi podaci pomažu prilagoditi pristup, čak i ako uzročno-posljedične veze nije lako dokazati.

Anna trenutačno radi doktorat upravo na toj temi – istražuje kako digitalna svjesnost može povećati kibernetičku otpornost i gradi model koji povezuje konkretne tehnike za svjenost s manjom podložnošću socijalnom inženjeringu.

Ljudskiji pristup

Anna otvoreno kaže: “Svjenost nije čarobno rješenje. Ljudi će i dalje griješiti.”

No, njegova je vrijednost u tome što jača kognitivnu otpornost, pomaže nam da prepoznamo kad nismo fokusirani, reagiramo promišljeno i bolje upravljamo vlastitim emocijama. U svijetu u kojem napadači koriste umjetnu inteligenciju za personalizirane prijevare, taj trenutak svjesnosti može biti razlika između sigurnosti i kompromitacije. Svjenost nije tu samo da nas zaštiti od phishinga, on nas uči kako biti svjesniji, manje iscrpljeni i dono­siti bolje odluke, i online i offline.

O autorici

Anna Collard je viša potpredsjednica za strategiju sadržaja i evangelizaciju u KnowBe4 Africa, gdje promovira sigurnosnu svijest diljem kontinenta. Osnivačica je Popcorn Traininga, magistrirala je kibernetičku psihologiju, a trenutno je doktorandica na Sveučilištu Nelson Mandela. Uvrštena je među Top 20 Global Cybersecurity Women of 2024, česta je govornica, nagrađivana liderica i članica Globalnog vijeća za budućnost kibernetičke sigurnosti pri Svjetskom ekonomskom forumu. Posjeduje brojne certifikate iz područja kibernetičke sigurnosti, uključujući CISSP, CISA, ISO27k implementer i lead auditor.

The post Webinar: Kako nam digitalna svjesnost može pomoći u zaštiti od socijalnog inženjeringa first appeared on CERT.hr.

Pozivamo sve pravne osobe koje posluju u Republici Hrvatskoj, a ne zadovoljavaju kriterije za kategorizaciju, da se dobrovoljno uključe u provedbu mjera kibernetičke sigurnosti sukladno članku 50. Zakona o kibernetičkoj sigurnosti i članku 47. stavku 1. Uredbe o kibernetičkoj sigurnosti.

Ovaj poziv odnosi se na sve pravne osobe koje nisu kategorizirane, a posluju u nekom od sektora iz Zakona o kibernetičkoj sigurnosti (Prilog I. i II.) za koje je Nacionalni CERT nadležno CSIRT tijelo (Prilog III.), kao i na pravne osobe koje posluju u sektorima koji nisu utvrđeni Zakonom (Zakon, članak 70.).

Za dobrovoljnu provedbu mjera kibernetičke sigurnosti, zainteresirane pravne osobe mogu zatražiti dodatne informacije ili se prijaviti Nacionalnom CERT-u pri CARNET-u putem e-pošte na adresu ncert@carnet.hr.

Prijava treba sadržavati:

• naziv i OIB pravne osobe,
• kontakt podatke,
• kratak opis poslovne djelatnosti,
• opis mrežnih i informacijskih infrastruktura te usluga koje se koriste u poslovanju.

Za sve pravne osobe koje ne žele pristupiti opisanom okviru za dobrovoljnu provedbu mjera kibernetičke sigurnosti, preporučujemo da samostalno provedu minimalne mjere za jačanje kibernetičke otpornosti koje su opisane na mrežnoj stranicama Nacionalnog CERT-a i NCSC-a.

The post Poziv pravnim osobama na dobrovoljnu provedbu mjera kibernetičke sigurnosti first appeared on CERT.hr.

Autorica teksta: Louise Altvater, analitičarka kibernetičke sigurnosti, CSIRT FCCN, Portugal

Umjetna inteligencija posljednjih je godina postala jedna od najzanimljivijih tema u svijetu tehnologije. Prepoznata je po svojoj sposobnosti automatizacije ponavljajućih zadataka, analize velikih količina podataka brzinom nedostižnom čovjeku, pomoći u donošenju odluka, poboljšanju korisničke podrške, pa čak i stvaranju kreativnog sadržaja. No u području kibernetičke sigurnosti taj trend ima dvostruku prirodu: AI može biti moćan saveznik obrambenih timova, ali i oružje u rukama zlonamjernih aktera. Zlouporaba umjetne inteligencije ubrzava tempo, opseg i složenost napada, dok tradicionalne sigurnosne mjere često teško uspijevaju pravovremeno ih otkriti ili spriječiti.

AI i socijalni inženjering

Jedna od najzabrinjavajućih primjena AI-a jest u socijalnom inženjeringu, koji se temelji na psihološkoj manipulaciji kako bi se pojedince navelo da otkriju osjetljive podatke ili poduzmu štetne radnje. Tradicionalno su takve prijevare zahtijevale ručni rad, prevaranti su sami sastavljali phishing poruke, zvali žrtve telefonom ili izrađivali lažne dokumente. Danas AI automatizira i usavršava te procese.

Zlonamjerni akteri sada mogu stvarati hiperpersonalizirane phishing poruke koje oponašaju stil pisanja žrtvinog nadređenog, prijatelja ili kolege. Veliki jezični modeli (LLM – Large Language Models) mogu trenutno prilagoditi sadržaj na temelju podataka prikupljenih s društvenih mreža, čineći poruke uvjerljivima i relevantnima. Postoje čak i zlonamjerni LLM-ovi razvijeni upravo u tu svrhu, ali i legitimni modeli poput ChatGPT-a ili DeepSeek-a mogu se zlorabiti putem pažljivo osmišljenih upita kako bi proizveli sadržaj koji se koristi za phishing ili druge štetne aktivnosti.

Deepfake prijevare

Tehnologija deepfakea dodatno produbljuje razinu prevare. AI danas može stvoriti videozapise i audiozapise koji vjerno repliciraju nečije lice, glas i geste. U jednom poznatom slučaju, djelatnik multinacionalne tvrtke u Hong Kongu prevaren je da prebaci više od 25 milijuna dolara nakon što je prisustvovao videokonferenciji na kojoj su svi „sudionici“ zapravo bili AI-generirani deepfakeovi stvarnih kolega. Prevara nije uspjela zbog tehničke ranjivosti, već zato što su napadači savršeno simulirali ljudsku prisutnost i izbjegli pobuditi sumnju.

Osim lažnih glasova i videa, AI može generirati slike koje se ne mogu provjeriti klasičnim metodama poput obrnutog pretraživanja slika (npr. Google Lens, TinEye). Takvi se vizuali stvaraju od nule, bez ikakvog izvora, pa je nemoguće potvrditi njihovu autentičnost. Ova se mogućnost sve češće koristi u prijevarama za stvaranje lažnih dokaza, izmišljenih događaja ili identiteta koji izgledaju stvarno, iako ne postoje u stvarnosti.

Socijalni inženjering samo je dio zlonamjernog potencijala AI-a. Napadači ga kombiniraju s automatiziranim skeniranjem velikih mreža u nekoliko minuta radi pronalaska ranjivih sustava. Time se obrambenim timovima drastično smanjuje vrijeme potrebno za primjenu sigurnosnih zakrpi.

Nakon što se pronađu ranjivosti, umjetna inteligencija može pomoći u izradi zlonamjernog softvera koji kontinuirano mijenja svoj kôd kako bi izbjegao detekciju tradicionalnih alata poput antivirusa.

AI je također smanjio tehničku prepreku za ulazak u kibernetički kriminal. Kriminalci više ne trebaju napredne tehničke vještine – mogu iskoristiti crno tržište AI alata, dostupnih na forumima dark weba. Ti alati djeluju kao „maliciozni asistenti“, generirajući uvjerljive phishing poruke, zlonamjerni kôd ili nudeći detaljne upute za iskorištavanje ranjivosti.

Obrana od AI kibernetičkih prijetnji

Obrana protiv napada koji koriste umjetnu inteligenciju zahtijeva proaktivan i strateški pristup, a ne samo reaktivne mjere. Organizacije bi trebale jasno definirati ciljeve korištenja AI-a u sigurnosnim operacijama, osiguravajući da on podržava konkretne obrambene funkcije. AI se treba integrirati s postojećim sigurnosnim alatima i poboljšati ih, a ne potpuno zamijeniti. Neki stručnjaci upozoravaju da bi se AI trebao promatrati i kao potencijalna prijetnja koju treba nadzirati, s obzirom na mogućnost manipulacije ili kompromitiranja.

Transparentnost je ključna: potrebno je dati prednost interpretabilnim AI sustavima kako bi analitičari razumjeli način donošenja odluka, mogli predvidjeti ponašanje sustava i provjeriti njegovu učinkovitost. Uz to, ljudi moraju zadržati kontrolu, AI bi trebao pomagati timovima kibernetičke sigurnosti, a ne donositi odluke bez nadzora. I na kraju, AI sustave treba redovito ažurirati i pratiti, jer napadači stalno razvijaju nove metode.

O autorici

Louise Altvater je sigurnosna analitičarka u CSIRT FCT-u, timu koji je odgovoran za incidente unutar FCCN-a, odjel za digitalne usluge koji za cilj ima doprinijeti razvoju znanosti, tehnologije i znanja u Portugalu. Više od tri godine dio je tima za odgovor na incidente, doprinoseći otkrivanju, analizi i koordinaciji odgovora na incidente kibernetičke sigurnosti. Između ostalog, njezin rad uključuje provođenje revizija sigurnosti web aplikacija, identificiranje ranjivosti i podršku partnerima u jačanju njihove ukupne sigurnosne pozicije. Po obrazovanju je psihologinja, što joj omogućuje da u sigurnost unosi ljudsku perspektivu, fokusirajući se na ponašanje korisnika i ljudske čimbenike koji stoje iza digitalnih prijetnji. Jedno od njezinih profesionalnih interesa jest prikupljanje obavještajnih podataka o prijetnjama (threat intelligence) i njihova uloga u predviđanju te razumijevanju novih rizika u kibernetičkom prostoru.

The post Kibernetičke prijetnje koje pokreće AI first appeared on CERT.hr.

Početak 23. listopada 2025. u 15:00h
Kraj 23. listopada 2025. u 16:00h
(Vremenska zona – Europa/Amsterdam)

Prijava na webinar: Webinar – AI, Cybersecurity, and the Human Factor: Building Resilience in the Age of Intelligent Threats (October 23, 2025) · GÉANT Events Management System (Indico)

Opis webinara

Ovaj će webinar govoriti o tome kako umjetna inteligencija (AI) mijenja krajolik kibernetičkih prijetnji i što ljudi mogu učiniti po tom pitanju. Kibernetički krajolik prijetnji brzo se razvija, a umjetna inteligencija igra ključnu ulogu na obje strane sukoba.

Tijekom sesije istražit će se kako zlonamjerni akteri koriste AI za automatizaciju napada, izbjegavanje otkrivanja i iskorištavanje ljudskih slabosti. Istodobno će se razmotriti kako se AI koristi u obrambene svrhe – za brže otkrivanje prijetnji, učinkovitiji odgovor i izgradnju otpornijih sustava.

Webinar će se također baviti aktualnim pitanjima vezanima uz etiku i upravljanje umjetnom inteligencijom te ponuditi praktične uvide u to kako organizacije mogu odgovorno djelovati u ovom složenom okruženju.

O Mariji Bada

Maria Bada je viša predavačica na Queen Mary University u Londonu. Maria je bihevioralna znanstvenica, a njezin se rad fokusira na ljudske aspekte kibernetičke sigurnosti i interakciju čovjeka i računala. Njezina istraživanja usmjerena su na učinkovitost kampanja za podizanje svijesti o kibernetičkoj sigurnosti te na razvoj preventivnih aktivnosti koje povećavaju otpornost malih i srednjih poduzeća na kibernetički kriminal.

Istražuje različite vrste internetskih prijetnji koje pogađaju ranjive skupine i njihove međusobne povezanosti, kao i društvene i psihološke posljedice kibernetičkih napada – poput raširene tjeskobe i društvenih poremećaja koji utječu na svakodnevni život ljudi. Također proučava ekosustav kibernetičkog kriminala, analizirajući profile, načine djelovanja i percepciju rizika kibernetičkih kriminalaca te načine na koje oni formiraju svoje grupe.

Surađivala je s vladinim tijelima, policijom i organizacijama iz privatnog sektora na procjeni nacionalnih kapaciteta za kibernetičku sigurnost i razvoju mjera za povećanje otpornosti. Članica je Nacionalne skupine stručnjaka za bihevioralne znanosti u okviru procjene nacionalnih rizika (NRA) u Ujedinjenom Kraljevstvu, gdje istražuje društvene i psihološke učinke kibernetičkih napada na građane.

Više o webinaru možete pročitati na: https://connect.geant.org/2025/10/13/ai-and-the-human-factor-from-blind-trust-to-mindful-action

The post Webinar – AI, Cybersecurity, and the Human Factor: Building Resilience in the Age of Intelligent Threats first appeared on CERT.hr.

Phishing ostaje jedna od najraširenijih i najopasnijih prijetnji za pojedince i organizacije. Tradicionalno prepoznajemo phishing tako što tražimo ključne pokazatelje koji bude našu sumnju. Međutim, s porastom dostupnosti umjetne inteligencije (AI), ti pokazatelji postaju sve teže uočljivi ili su potpuno nestali, čime se povećava rizik od kompromitacije.

Tradicionalni znakovi phishinga

Uobičajeno prepoznajemo phishing tražeći ključne pokazatelje kao što su:

• pravopisne i gramatičke pogreške
• nevjerojatna, vremenski ograničena ponuda ili snažan poticaj da „kliknete ovdje/sada“
• e-poruka koja ne koristi vaše ime
• slike ili dizajn koji izgledaju poznato, ali ne djeluju sasvim ispravno
• neuobičajena adresa e-pošte
• poticanje da otvorite nepoznatu poveznicu
• zahtjev da podijelite osobne podatke

Ako se primijeti čak i jedan ili dva od ovih pokazatelja — ili jednostavno imate loš osjećaj — trebao bi se upaliti „alarm“ i takvu poruku treba prijaviti.

Uspon umjetne inteligencije i njezin utjecaj na phishing

Nedavni razvoj i dostupnost umjetne inteligencije doveli su do velikog napretka u mnogim područjima, uključujući pisanje e-poruka. Nažalost, to znači da kriminalci sada mogu iskoristiti AI za stvaranje uvjerljivijih phishing poruka.

Tvrtka Hoxhunt je navela da je od 386.000 analiziranih zlonamjernih e-poruka, između 0,4% i 4,7% bilo napisano pomoću umjetne inteligencije. Korištenje AI-ja povećava rizik za primatelje jer takve poruke često izgledaju profesionalnije, bez pravopisnih ili gramatičkih pogrešaka, što ih čini uvjerljivijima.

Na primjer, jednostavan upit u alatu Copilot pokazuje učinkovitost i točnost AI-napisane e-pošte:

„Možeš li mi napisati e-poruku kojom pozivam zaposlenike na sastanak tima?“

Možda ćete primijetiti da tekst generiran pomoću umjetne inteligencije obično koristi duge rečenice s pretjerano formalnim ili složenim riječima, koje često nemaju dovoljno detalja, emocije ili humora (iako to nije uvijek slučaj jer se upute za generiranje mogu prilagoditi da uključe te elemente). To nam može biti znak da je e-poruku napisala umjetna inteligencija i potaknuti nas da razmislimo radi li se možda o phishingu. Međutim, e-poruke napisane pomoću umjetne inteligencije također dolaze i iz službenih izvora, pa iako je korisno poznavati neke ključne pokazatelje poruka napisanih pomoću umjetne inteligencije, to ih ne čini automatski phishingom.

Čini li umjetna inteligencija naše tradicionalne pokazatelje phishinga zastarjelima?

Čak i uz očekivani porast korištenja umjetne inteligencije za izradu uvjerljivih phishing poruka, mnogi tradicionalni znakovi phishinga i dalje ostaju važeći.

Korištenje AI-ja ne bi trebalo promijeniti činjenicu da bismo trebali posumnjati u neželjenu poruku koja sadrži vremenski ograničenu ponudu, zahtijeva hitnu reakciju ili neočekivano traži osobne podatke.

Važno je da ostanemo oprezni i da nas bolje napisana ili profesionalnije oblikovana e-poruka ne odvrati od našeg instinkta za prepoznavanje phishinga. Trebali bismo se dodatno usredotočiti na sadržaj i kontekst poruke – ima li smisla? Jeste li je očekivali? Pokušava li utjecati na vaše donošenje odluka, kao što je objašnjeno u vodiču Understanding the bait could prevent you from becoming the next phish?

Ako poruka dolazi od nekoga koga poznajete, ali vam se i dalje čini sumnjivom – provjerite putem drugog kanala komunikacije. Činjenica da je e-poruku napisala umjetna inteligencija također ne znači da ne možemo provjeriti određene detalje, poput adrese pošiljatelja – ako ona izgleda neuobičajeno, možda ne trebate tražiti dalje.

Trebali bismo također biti svjesni novih prijetnji i tehnika koje kriminalci koriste, kako bismo zaštitili sebe i svoje organizacije od uvijek prisutne opasnosti phishinga.

Izvori:

1. Phishing Trends Report (Updated for 2025)
2. How to spot a phishing email – Stop! Think Fraud
3. AI-powered phishing attacks are on the rise and getting smarter – here’s how to stay safe | TechRadar
4. 5 Easy Ways To Tell If Written Content Came From Generative AI
5. How to Spot AI-Generated Text: Common Words and Phrases That Give It Away | by Ava Thompson | Medium

The post Kako umjetna inteligencija mijenja phishing first appeared on CERT.hr.

U kolovozu 2025. otkriveno je da je državno sponzorirani napadač dugotrajno imao pristup te preuzimao datoteke s određenih F5 sustava. Ti sustavi uključivali su razvojno okruženje proizvoda BIG-IP i platforme za upravljanje inženjerskim znanjem. Poduzete su opsežne mjere za suzbijanje napadača. Od početka tih aktivnosti nisu uočene nove neovlaštene aktivnosti.

Kao odgovor na ovaj incident, u F5 poduzimaju proaktivne mjere za zaštitu korisnika i jačanje sigurnosnog okvira korporativnih i proizvodnih okruženja. Angažirali su stručnjake iz CrowdStrikea, Mandianta i drugih vodećih tvrtki u području kibernetičke sigurnosti te aktivno surađuju s policijom i vladinim partnerima. 

Objavljene su nadogradnje za BIG-IP, F5OS, BIG-IP Next za Kubernetes, BIG-IQ i APM klijente. Više informacija dostupno je u Kvartalnom sigurnosnom izvješću – listopad 2025. Preporučuje se instalacija nadogradnji što je prije moguće. 

Što se zna? 

Na temelju dostupnih logova: 

• Utvrđeno je da je napadač preuzeo datoteke iz razvojno-proizvodnog okruženja BIG-IP i platforme za upravljanje inženjerskim znanjem. Te datoteke sadržavale su dio izvornog kôda BIG-IP i informacije o neotkrivenim ranjivostima na kojima je rađeno. Ne postoje saznanja o kritičnim ili udaljenim ranjivostima za koje javnost nije obaviještena niti o aktivnom iskorištavanju takvih ranjivosti. 
• Ne postoje dokazi o pristupu ili preuzimanju podataka iz CRM, financijskih, sustava za upravljanje podrškom ili iHealth sustava. Ipak, neke preuzete datoteke s platforme za upravljanje znanjem sadržavale su konfiguracijske ili implementacijske informacije za mali postotak korisnika. Trenutno se te datoteke pregledavaju i prema potrebi komunicirat će se izravno s pogođenim korisnicima. 
• Ne postoje dokazi o izmjenama u softverskom opskrbnom lancu, uključujući izvorni kôd te build i release pipeline. Ovo je potvrđeno neovisnim pregledima vodećih tvrtki za kibernetičku sigurnost NCC Group i IOActive. 
• Ne postoje dokazi da je napadač pristupio ili izmijenio NGINX izvorni kôd ili razvojno okruženje proizvoda, niti da je pristupio ili mijenjao F5 Distributed Cloud Services ili Silverline sustave. 

Što možete učiniti? 

Prioritet je pomoći korisnicima da ojačaju i zaštite svoje F5 okruženje od rizika povezanih s ovim incidentom. Dostupni su sljedeći resursi: 

• Nadogradnja BIG-IP softvera: Dostupna je nadogradnja za BIG-IP, F5OS, BIG-IP Next za Kubernetes, BIG-IQ i APM klijente. Iako ne postoje saznanja o neotkrivenim kritičnim ranjivostima, preporučuje se da se nadogradnja instalira što prije. Više informacija dostupno je u Kvartalnom sigurnosnom izvješću. 
• Obavještavanje o prijetnjama: F5 podrška nudi vodič za otkrivanje prijetnji kako bi se ojačala detekcija i nadzor u vašem okruženju. 
• Preporuke za jačanje sigurnosti: Objavljene su najbolje prakse za jačanje F5 sustava i dodane su automatske provjere u F5 iHealth Diagnostic Tool, koje otkrivaju ranjivosti, prioritiziraju akcije i pružaju poveznice na upute za otklanjanje problema. 
• Integracija sa SIEM i nadzor: Preporučuje se omogućavanje BIG-IP event streaminga u vaš SIEM i pružanje detaljnih uputa za konfiguraciju sysloga (KB13080) i praćenje pokušaja prijave (KB13426). Ovo poboljšava vidljivost i obavještavanje o administrativnim prijavama, neuspjelim autentikacijama i promjenama privilegija i konfiguracija. 

Globalni tim podrške: Možete otvoriti MyF5 podršku ili kontaktirati F5 podršku za pomoć pri ažuriranju BIG-IP softvera, implementaciji preporuka ili za sva pitanja. Stranica će se redovito ažurirati novim informacijama i resursima. 

Što je napravljeno? 

Poduzeti su, I dalje se poduzimaju značajni koraci za zaštitu korisnika kroz otklanjanje prijetnje i jačanje sigurnosti ključne infrastrukture i proizvoda. 

Od početka rješavanja incidenta: 

• Promijenjeni su pristupni podaci i ojačane kontrole pristupa u svim sustavima. 
• Implementirana su poboljšanja u automatizaciji inventara i upravljanju zakrpama te dodatni alati za nadzor i otkrivanje prijetnji. 
• Ojačana je mrežna sigurnosna arhitektura. 
• Ojačano je razvojno okruženje proizvoda, uključujući sigurnosne kontrole i nadzor svih platformi za razvoj softvera. 

Dodatne mjere za jačanje sigurnosti proizvoda: 

• Nastavlja se s pregledom kôda i penetracijskim testiranjem uz podršku NCC Group i IOActive kako bi se otkrile i otklonile ranjivosti u kôdu. 
• Suradnja s CrowdStrikeom za proširenje Falcon EDR senzora i Overwatch Threat Huntinga na BIG-IP radi veće vidljivosti i jačanja obrane. Rano izdanje bit će dostupno BIG-IP korisnicima, a svim podržanim korisnicima F5 pružit će besplatnu pretplatu na Falcon EDR. 

The post Upozorenje: F5 Sigurnosni incident first appeared on CERT.hr.

Nacionalni CERT zaprimio je nekoliko prijava prijevare u kojoj se napadači predstavljaju kao Netflix. Napadači korisnicima šalju poruke s tvrdnjom da je “zadnja uplata odbijena” te da će korisnički račun biti suspendiran ako se odmah ne ažuriraju podaci o plaćanju. 

Poruka sadrži poveznicu koja vodi na lažnu internetsku stranicu koja izgledom oponaša pravu Netflixovu stranicu (naslovna fotografija). Cilj napadača je navesti korisnike da unesu pristupne podatke za Netflix račun, koji se potom zloupotrebljavaju. U daljnjem koraku mogući su zahtjevi za unos podataka bankovne kartice ili direktne uplate, a ukradeni podaci mogu biti korišteni za pristup drugim servisima (ako za njih koristite istu adresu e-pošte i lozinku) ili ostvarivanje kontakta s ciljem drugih prijevara. 

Što učiniti ako ste primili ovakvu poruku: 

• Ne ulazite u komunikaciju s prevarantima 

• Najbolje je poruku obrisati, a broj s kojeg je poslana blokirati 

• Recite drugima za ovaj oblik prijevare kako bi ih zaštitili 

• Ne otvarajte poveznicu i ne unosite nikakve podatke 

• Provjerite autentičnost poruka isključivo putem službenih kanala 

Kako prepoznati lažne poruke: 

• Pošiljatelj koristi nepoznat broj i/ili neuobičajenu domenu  

• U poruci se stvara osjećaj hitnosti 

• Traži da kliknete na poveznicu i unesete osobne ili financijske podatke 

Upozoravamo građane da budu oprezni i da uvijek dvostruko provjere legitimnost neočekivanih zahtjeva u kojima se od njih traži unos osobnih podataka ili plaćanje. Ako ste na lažnoj stranici unijeli pristupne podatke, promijenite lozinku na svim servisima gdje ju koristite te obratite pažnju na ostale sumnjive zahtjeve koji vam dođu, a ako ste unijeli bankovne podatke (podatke bankovne kartice ili broj tokena mobilnog bankarstva) kontaktirajte svoju banku kako bi poduzeli potrebne mjere za zaštitu vašeg računa.

Ako ste zaprimili sličnu poruku ili imate sumnju na prijevaru, možete ju prijaviti Nacionalnom CERT-u. 

The post Upozorenje: Lažne SMS poruke u kojima se napadači predstavljaju kao Netflix first appeared on CERT.hr.

Jednostavan korak za zaštitu od prijevara pokretanih umjetnom inteligencijom.

Kad čujete poznati glas koji traži hitnu pomoć, vaš prvi instinkt je da mu vjerujete. Ali što ako taj glas nije stvaran? S današnjim alatima umjetne inteligencije, prevarantima je potrebno samo nekoliko sekundi zvuka ili videa kako bi stvorili lažne pozive koji zvuče baš kao vaše dijete, kolega ili najbolji prijatelj. Tu nastupa sigurna riječ. To je jednostavan, ali moćan način provjere nečijeg identiteta kada nešto ne izgleda dobro. Ovaj mali korak mogao bi vas zaštititi od emocionalne manipulacije, financijskog gubitka – ili nečeg goreg.

Kako to funkcionira?
Sigurna riječ je unaprijed dogovorena riječ ili fraza koju znate samo vi i vaša pouzdana grupa. Bilo da ste kod kuće ili unutar vašeg tima ili istraživačke grupe, ova mala navika može napraviti veliku razliku u očuvanju sigurnosti. Evo kako to učiniti ispravno:

1. Odaberite jedinstvenu riječ/frazu
   Odaberite nešto što nije lako pogoditi: bez imena kućnih ljubimaca, rođendana ili bilo čega javnog. Smislite internu šalu, neobično pitanje ili besmislenu riječ – nešto što biste samo vi i druga osoba (osobe) razumjeli.
2. Zadržite privatnost
   Podijelite sigurnu riječ osobno ili putem sigurnog, šifriranog kanala. Nikada je ne spominjite u e-porukama, grupnim razgovorima ili na društvenim mrežama. Po potrebi je pohranite na sigurno mjesto, na primjer u upravitelju lozinki.
3. Koristite različite riječi/fraze za različite grupe
   Nemojte ponovno koristiti istu sigurnu riječ svugdje. Možete imati jednu za svoju obitelj, drugu za bliske prijatelje i jednu za svoj tim na poslu. Samo pazite da svaka grupa ima svoju sigurnu riječ/frazu.
4. Testirajte s vremena na vrijeme
   Sigurna riječ funkcionira samo ako se ljudi sjete da je koriste. Stoga je povremeno spomenite – možda je čak pretvorite u malu igru sa svojom obitelji, prijateljima ili timom.

Dodatni savjet: Sigurna riječ je odlična, ali sama po sebi nije sigurna. Uvijek provjerite putem pouzdanog broja ili postavite dodatna pitanja na koja bi samo stvarna osoba znala odgovor.

Prepoznajte znakove
Prijevare koje koriste glasovne ili video deepfakeove često slijede isti emocionalni scenarij:

• Panični glas koji tvrdi da je u nevolji ili opasnosti
• Hitni zahtjevi za novcem, podacima za prijavu ili osobnim podacima
• Pritisak da se djeluje odmah, bez razmišljanja ili provjere
• Jezik “Nemoj nikome reći” ili “Moraš mi vjerovati”

Ako vam se nešto čini čudnim, zastanite. Prevaranti se oslanjaju na emocije, a ne na logiku.

Što možete učiniti?

• Razgovarajte o sigurnim riječima sa svojom obitelji, prijateljima i pouzdanim kolegama. Mnogi ljudi nisu čuli za njih, a kratki razgovor može napraviti veliku razliku.
• Postavite sigurne riječi sada, a ne kasnije. Ne možete planirati kada će se prijevara dogoditi, ali se možete pripremiti za nju.
• Učinite to navikom. Sljedeći put kada vaš prijatelj ide na putovanje ili vaš tim pošalje hitan e-mail: zatražite sigurnu riječ. Učinite to dijelom svoje sigurnosne kulture.

Budite svjesni. Ostanite sigurni.
U doba obmana potpomognutih umjetnom inteligencijom, svjesna pauza može napraviti veliku razliku.

The post ECSM 2025: Zašto vam je potrebna sigurna riječ first appeared on CERT.hr.

GÉANT-ova kampanja za kibernetičku sigurnost nastavlja se uz webinar: The PDCA Approach to Cybersecurity Awareness.

Prijavite se klikom na poveznicu: The PDCA approach to cybersecurity awareness

U današnjem kompleksnom okruženju kibernetičke sigurnosti, jednokratne kampanje za podizanje svijesti često nisu dovoljne. Prava, održiva promjena ponašanja zahtijeva strukturiran i iterativan pristup. Na ovom webinaru, Rosanne Pouw predstavit će praktičan model kojeg su razvila nizozemska sveučilišta, a koji omogućuje učinkovitije ugrađivanje svijesti o kibernetičkoj sigurnosti u kulturu vaše organizacije.

Temeljen na Plan-Do-Check-Act (PDCA) modelu, ovaj pristup pomaže institucijama da umjesto jednokratnih kampanja krenu prema izgradnji sveobuhvatnog programa podizanja svijesti, temeljen na podacima, koji s vremenom raste i prilagođava se.

Što ćete naučiti?

• Zašto PDCA model uvjerava upravu i dionike da ulažu u podizanje svijesti
• Razliku između kibernetičke sigurnosti povezane s ljudskim faktorom i samog podizanja svijesti
• Ključne komponente koje podupiru značajnu promjenu ponašanja
• Kako strukturirati i uskladiti postojeće napore podizanja svijesti unutar PDCA okvira

O predavačici: Rosanne Pouw

Rosanne Pouw je Product Manager Awareness & Training u nizozemskom sektoru obrazovanja i istraživanja. Pomaže institucijama u jačanju svijesti o sigurnosti i privatnosti među studentima, nastavnicima i osobljem. S iskustvom u socijalnoj psihologiji i više od 10 godina iskustva u kibernetičkoj sigurnosti i privatnosti, Rosanne promiče multidisciplinarni pristup podizanju svijesti. Sudjeluje u publikacijama nizozemskog NCSC-a te je aktivna članica radne skupine za ljudski faktor u istraživanjima kibernetičke sigurnosti u Nizozemskoj. Trenutno vodi razvoj Cybersave Yourself Toolkita, koji organizacijama pruža praktične alate za poboljšanje otpornosti na prijetnje usmjerene na ljudski faktor.

Pridružite se webinaru i otkrijte kako PDCA model može pretvoriti fragmentirane napore u koherentnu strategiju koja odjekuje kod vodstva, uključuje dionike i podržava dugoročnu otpornost. Napravite sljedeći korak prema učinkovitijoj strategiji podizanja svijesti o kibernetičkoj sigurnosti.

The post [Webinar] PDCA pristup podizanju svijesti o kibernetičkoj sigurnosti first appeared on CERT.hr.

Pročitajte ovaj zanimljivi tekst o potrebi promjene tradicionalnog trenigna podizanja svijesti za prepoznavanje socijalnog inženjeringa.

Socijalni inženjering je uobičajena metoda koju kibernetički kriminalci koriste za ciljanje ljudi. Nema ništa novo u ovom obliku manipulacije – ali pojava generativne umjetne inteligencije značajno je pogoršala situaciju.

Samo savjetovanje ljudima da paze na lošu gramatiku i loše logotipe malo pomaže u zaštiti od phishing. Danas napadači mogu uvjerljivo oponašati komunikacijski stil, glasove i lica pojedinaca iz osobnog ili profesionalnog kruga mete, uz minimalan napor.

Organizacije moraju hitno preispitati svoje obrambene strategije – odmaknuti se od tradicionalne obuke o sigurnosnoj svijesti i usmjeriti se na jačanje sposobnosti zaposlenika da prepoznaju i odupru se manipulaciji.

Nagađanje: što je stvarno, a što nije?

Uspon generativne umjetne inteligencije učinio je ciljane napade društvenog inženjeringa preciznijima, automatiziranijima i znatno težima za otkrivanje. Dobrodošli u eru duboke sumnje (kako je WIRED to napisao u naslovu) u kojoj je sve teže razlikovati što je stvarno od što je lažno.

Kibernetički kriminalci sada koriste DeepFake i glasove generirane umjetnom inteligencijom kako bi stvorili vrlo uvjerljive imitacije. Štoviše, generativna umjetna inteligencija može se koristiti za stvaranje lica koja se ne razlikuju od stvarnih – i, što je još gore, doživljavaju se kao uvjerljivija.

Zbog toga su uobičajene metode obmane mnogo učinkovitije i teže ih je otkriti: u Hong Kongu je zaposlenica prevarena da prebaci oko 20 milijuna funti prevarantima koji su se predstavljali kao viši dužnosnici njezine tvrtke putem lažnog video poziva.

Zašto tradicionalni trening zaposlenika nije dovoljan?

Konvencionalna obuka o podizanju svijesti obično se usredotočuje na poznate obrasce napada društvenim inženjeringom – posebno na tipične pokušaje krađe identiteta putem e-pošte. Od zaposlenika se često traži da slijede stroga pravila i da obraćaju veliku pozornost na detalje.

Čak i ako smo mi, kao zaposlenici, sposobni ispravno identificirati domenu URL-a, nemamo urođenu sposobnost ili fokus da uočimo svaku pojedinu tipografsku pogrešku – posebno kada je naš posao odgovoriti na 300 (vanjskih) poruka što je brže moguće svaki dan.

Istodobno, tradicionalni trening podizanja svijesti o kibernetičkoj sigurnosti temelji se na zastarjeloj pretpostavci da se ljudi uvijek mogu osloniti na svoje analitičke vještine i kritičko razmišljanje u odlučujućim trenucima.

Zapravo, mnoge odluke – posebno one brze koje vode do konkretnih svakodnevnih radnji – daleko su češće određene emocijama i intuitivnim razmišljanjem nego racionalnom analizom. Bihevioralna ekonomija, koju su oblikovali istraživači poput Daniela Kahnemana, Richarda Thalera i Cassa Sunsteina, istražuje upravo ovo područje napetosti između intuicije i intelekta. Do sada su pokušaji promjene ponašanja u kibernetičkoj sigurnosti uglavnom bili osmišljeni bez razmatranja ovog pristupa. U budućnosti bismo se trebali manje usredotočiti na podučavanje novih tehničkih metoda detekcije, a više na podizanje svijesti o – u biti netehničkoj – metodi napada u cjelini i kako se od nje možemo zaštititi.

Prepoznavanje tehnika napada i jačanje otpornosti na emocinalne okidače

Napadači namjerno iskorištavaju klasične principe uvjeravanja kako ih je opisao autor bestselera Robert Cialdini – poput autoriteta („Izvršni direktor želi da se ovo odmah plati!“), društvenog dokaza („Svi upravo sada ulažu u ovu kriptovalutu!“) i lajkanja („Svidjela mi se vaša prezentacija!“). Iako su ove tehnike uobičajene u marketingu i prodaji, one se također pojavljuju na forumima darkneta kao alati za usavršavanje taktika društvenog inženjeringa. Učenjem prepoznavanja ovih psiholoških strategija možemo postati svjesniji pokušaja manipulacije i bolje se zaštititi.

Učinkovita obrana igra ključnu ulogu. Jedna od ključnih strategija zaštite je osvještavanje vlastitih emocionalnih reakcija – posebno u situacijama visokog pritiska koje zahtijevaju brzu akciju. Trebali bismo biti posebno oprezni kada osjetimo da emocionalni pritisak raste. Korisne tehnike uključuju pauziranje, razmišljanje o situaciji („Kako se osjećam upravo sada? Je li ovo vjerodostojan zahtjev?“), traženje drugog mišljenja, traženje od nekoga da dvaput provjeri zahtjev i njegovu provjeru putem alternativnog komunikacijskog kanala.

U području kiberpsihologije, trenutna istraživanja istražuju koncept kibernetičke svjesnosti – sposobnost svjesnijeg usmjeravanja pažnje u digitalnim okruženjima. Ova praksa potiče promišljeno donošenje odluka umjesto impulzivnih reakcija i pomaže u izgradnji veće otpornosti na napade socijalnog inženjeringa.

Otpornost zaposlenika: što sad?

Razumijevanje manipulacije i obmane ne zahtijeva tehničku stručnost – ove taktike postoje otkad ljudi komuniciraju. Ali u doba generativne umjetne inteligencije, društveni inženjering postao je skalabilniji, uvjerljiviji i puno teži za otkrivanje. U organizacijama više nije dovoljno uočiti očite phishing e-poruke; moramo biti u stanju prepoznati i sofisticiranu manipulaciju u obliku realističnih glasova, lica ili poruka. Tradicionalna obuka o podizanju svijesti, koja se često usredotočuje na tehničke detalje i kruta pravila, više nije dovoljna. Umjesto toga, potrebno nam je dublje razumijevanje načina na koji napadi funkcioniraju – na psihološkoj ili ‘meta’ razini – i obuka u kibernetičkoj svjesnosti: učenje otkrivanja i prekidanja emocionalnih okidača prije nego što dovedu do impulzivnih radnji. Ovaj pristup već je u fokusu trenutnih istraživanja i obećava izgradnju otpornijeg ponašanja suočenog s modernim prijetnjama.

The post Otpornost na socijalni inženjering u doba umjetne inteligencije first appeared on CERT.hr.