fbpx
Besplatna certifikacija webshopa uz članstvo >>>
IZDVOJENO:

Sigurnost poslovanja je imperativ, a ne stvar

Autor: Goran Pavlović 07.08.2025.

Matko Antun Bekavac, CyberArrange Security Solutions

U Safe Shopu smo razvili praktičnu self-check listu za trgovce kako bi prepoznali i spriječili prijevare, a sada taj isti pristup prenosimo i na širu edukaciju zaposlenika.

S porastom digitalnih transakcija i sve češćim slučajevima cyber kriminala, edukacija zaposlenika o online sigurnosti postaje neophodna, a ne samo opcionalna mjera zaštite. Prijevare poput phishinga, lažnih narudžbi, kreditnih prijevara ili čak dubokih prijevara (deepfake) mogu dovesti do značajnih financijskih gubitaka i narušiti ugled tvrtke. Štoviše, zaposlenici su često prva i najslabija karika u sigurnosnom lancu – bez dovoljnog znanja, nehotice mogu postati pristupna točka za napadače.

U Safe Shopu smo razvili praktičnu self-check listu za trgovce kako bi prepoznali i spriječili prijevare, a sada taj isti pristup prenosimo i na širu edukaciju zaposlenika. Cilj nam je jasno definirati najčešće vrste prijevara, upozoriti na crvene zastavice (red flags) i pružiti jednostavne alate za brzo djelovanje.

U ovom članku ćemo detaljno objasniti:

  • Zašto je edukacija zaposlenika ključna u borbi protiv online prijevara?
  • Koje su najčešće metode prijevara na koje trebate obratiti pažnju?
  • Kako implementirati self-check listu u svakodnevne procese?
  • Koje korake poduzeti ako dođe do sigurnosnog incidenta?

1. Ažurirate li redovito svoj webshop softver (CMS, dodaci, teme i dr.)?

Redovita ažuriranja temelj su sigurnosti i stabilnosti svakog sustava. Bilo da koristite WooCommerce, Shopify, Magento ili neki drugi CMS, važno je imati naviku redovite provjere novih verzija i zakrpa.

Zašto je to važno?

Svaka nova verzija softvera često uključuje sigurnosne zakrpe koje zatvaraju otkrivene ranjivosti. Hakeri ciljaju upravo zastarjele verzije dodataka i tema, iskorištavajući njihove propuste. Osim sigurnosti, ažuriranja donose i poboljšanja performansi, kompatibilnost s novim tehnologijama i nove funkcionalnosti.

Preporuke:

  • Provjerite dostupnost ažuriranja barem jednom mjesečno.
  • Ako koristite WordPress, možete uključiti automatska ažuriranja putem WP-CLI alata ili dodataka kao što je Easy Updates Manager.
  • Prije svake nadogradnje testirajte je na staging okruženju kako biste izbjegli kvarove na aktivnoj web trgovini. Primjer rješenja: WP Stagecoach ili lokalni razvojni alati poput LocalWP.

2. Koristite li dvostupanjsku autentifikaciju (2FA) za pristup admin panelu?

Iako jaka lozinka jest prvi korak zaštite, danas to jednostavno nije dovoljno. Napadi kao što su credential stuffing i phishing postaju sve sofisticiraniji.

Zašto je to važno?

2FA (dvostupanjska autentifikacija) pruža dodatni sloj sigurnosti jer čak i ako netko ukrade vašu lozinku, neće moći pristupiti sustavu bez dodatnog koda koji imate samo vi.

Kako implementirati 2FA?

  • Ako koristite WordPress, odličan izbor je dodatak WP 2FA ili Google Authenticator.
  • Shopify nudi ugrađenu 2FA zaštitu za sve administratore.
  • Preporučuje se korištenje aplikacija kao što su Google Authenticator ili Authy te fizičkih sigurnosnih ključeva kao što su YubiKey uređaji.

3. Kako upravljate korisničkim podacima i osiguravate njihovu privatnost?

U eri GDPR-a i rastuće svijesti o privatnosti, korisnici očekuju ozbiljan pristup upravljanju osobnim podacima. Zanemarivanje ovih aspekata može dovesti do ozbiljnih pravnih posljedica i narušavanja ugleda.

Zašto je to važno?

Zaštita korisničkih podataka nije samo tehnički izazov — to je i zakonska obveza. Implementacija odgovarajućih mjera pokazuje profesionalnost i gradi povjerenje kod kupaca.

Što trebate osigurati:

  • Šifriranje prometa korištenjem SSL/TLS certifikata (HTTPS). Besplatni certifikati dostupni su putem Let’s Encrypt projekta.
  • Pohrana lozinki i osjetljivih podataka uz primjenu jakih hashing algoritama kao što su bcrypt ili Argon2.
  • Redovito ažuriranje politike privatnosti, s jasnim informacijama o tome kako i zašto prikupljate podatke. Ako niste sigurni gdje početi, pogledajte GDPR template za politiku privatnosti ili generatore.

4. Imate li sigurnosnu kopiju webshopa i koliko često je izrađujete?

Nitko ne planira gubitak podataka — sve dok se to ne dogodi. Bez redovitih sigurnosnih kopija (backupa), svaki kvar, napad ili pogreška može dovesti do potpunog gubitka webshopa.

Zašto je to važno?

Sigurnosne kopije omogućuju brz oporavak webshopa bez gubitka podataka, narudžbi i korisničkih računa. Bilo da se radi o hakiranju, tehničkom kvaru ili ljudskoj pogrešci — backup je vaša posljednja linija obrane.

Preporučene prakse:

  • Postavite automatizirane dnevne kopije. Ako koristite WordPress, dodaci poput UpdraftPlus omogućuju lako postavljanje backup rutine.
  • Kopije čuvajte na udaljenim lokacijama – idealno u cloudu (npr. Google Drive, Dropbox, Amazon S3) ili na vanjskom disku neovisnom o vašem hosting prostoru.
  • Redovito testirajte povrat podataka (restore) kako biste bili sigurni da backup nije samo datoteka koja miruje, već stvarno funkcionalna kopija sustava.
  • Ako ste korisnik Shopify platforme, sigurnosne kopije su već dio sustava, ali za dodatnu kontrolu možete koristiti rješenja poput Rewind Backups.

5. Provodite li redovne sigurnosne provjere ili penetracijska testiranja?

Znate li gdje su vaše ranjivosti? Ako ne testirate svoj sustav, vrlo je vjerojatno da ih ni ne znate — ali hakeri bi mogli.

Zašto je to važno?

Redovitim sigurnosnim provjerama otkrivate slabosti prije nego što ih napadači iskoriste. Penetracijsko testiranje simulira napad kako bi se uočile ranjive točke u sustavu i ispravile na vrijeme.

Preporučeni pristup:

  • Angažirajte sigurnosne stručnjake barem jednom godišnje za provedbu penetracijskog testiranja. Ako nemate interne resurse, postoje agencije specijalizirane za eCommerce sigurnost.
  • Svako skeniranje i testiranje treba završiti dokumentacijom i konkretnim koracima za uklanjanje problema. Ako nešto nađete — odmah reagirajte.

6. Imate li firewall i pratite li aktivno promet na svojoj stranici?

Zaštita nije samo “što se nalazi u vašem sustavu”, već i što pokušava ući. Zato je važno imati mehanizme koji prate i filtriraju sav ulazni promet.

Zašto je to važno?

Web aplikacijski firewall (WAF) štiti vašu web stranicu filtrirajući sumnjive zahtjeve, blokirajući botove, DDoS napade i pokušaje iskorištavanja ranjivosti. Praćenje prometa omogućuje vam da na vrijeme prepoznate prijetnju i reagirate.

Što preporučujemo:

  • Implementirajte WAF rješenja kao što su Cloudflare ili Sucuri. Oba alata nude i zaštitu od DDoS napada, botova i zlouporaba URL parametara.
  • Redovito pratite prometne izvještaje i upozorenja. Primijetite li neobične aktivnosti (npr. veliki broj neuspjelih prijava ili promet iz neuobičajenih zemalja) – to je znak za uzbunu.
  • Postavite vlastita pravila za blokiranje IP adresa ili korisničkih agenata koji se ponašaju neuobičajeno.

7. Jesu li svi korisnički računi na webshopu ograničeni prema principu najmanjih privilegija?

Princip najmanjih privilegija znači da svaki korisnik, zaposlenik ili aplikacija ima samo onaj pristup koji je nužan za obavljanje svojih zadataka. Ovaj pristup smanjuje mogućnost zloupotrebe pristupa i sprječava greške koje mogu ugroziti sigurnost sustava.

Zašto je to važno?

Ako svi korisnici imaju pristup svim podacima ili funkcijama, veća je vjerojatnost da će doći do greške ili zlonamjernog napada. Ograničavanjem privilegija smanjujete rizik od neovlaštenog pristupa i zloupotrebe.

Preporučene prakse:

  • Definirajte uloge i prava pristupa za svakog korisnika, čineći pristup podacima jasnim i specifičnim za posao koji obavlja.
  • Ograničite administrativne privilegije na minimalan broj korisnika. To osigurava da samo povjereni zaposlenici imaju pristup kritičnim sustavima.
  • Redovito revidirajte korisničke uloge i prilagodite ih prema novim potrebama ili promjenama u organizaciji.
  • Za dodatnu zaštitu, alati poput Okta omogućuju upravljanje korisničkim pravima i sigurnosti unutar organizacije.

8. Provodite li edukaciju zaposlenika o kibernetičkoj sigurnosti?

Zaposlenici često predstavljaju najslabiju kariku u sigurnosnom lancu. Ljudska pogreška, poput nesvjesnog otvaranja phishing emailova, može omogućiti napadačima pristup sustavu.

Zašto je to važno?

Obučeni zaposlenici bolje razumiju rizike i mogu prepoznati prijetnje prije nego što postanu ozbiljan problem. Edukacija smanjuje ljudske pogreške koje predstavljaju glavni izvor sigurnosnih incidenata.

Preporučene prakse:

  • Organizirajte redovne treninge koji se fokusiraju na prepoznavanje phishing napada, sigurnu pohranu podataka i pravila korištenja lozinki.
  • Postavite sigurnosne politike koje su jednostavne za razumijevanje i primjenu. Ove politike trebaju obuhvatiti sve aspekte poslovanja — od korištenja lozinki do odgovornosti za zaštitu podataka.
  • Alati kao što je KnowBe4 nude obuku i simulacije napada kako bi zaposlenici naučili prepoznati prijetnje u stvarnom vremenu.

9. Jeste li uspostavili proceduru za brzo reagiranje u slučaju sigurnosnog incidenta?

Kada se dogodi sigurnosni incident, svaka sekunda je važna. Brza i koordinirana reakcija može značajno smanjiti štetu, dok kašnjenje može dovesti do većih gubitaka i ozbiljnijih problema.

Zašto je to važno?

Ako ne postoji jasno definirana procedura za reagiranje na sigurnosne incidente, rizik od ozbiljnijih posljedica je znatan. Proaktivno pripremanje osigurava da znate što činiti u trenutku napada.

Preporučene prakse:

  • Izradite incident response plan koji jasno definira korake koje treba poduzeti u slučaju napada ili druge sigurnosne prijetnje. Plan treba obuhvatiti sve faze od prepoznavanja napada do oporavka.
  • Dodijelite odgovornosti unutar tima kako bi svaki član znao svoju ulogu u slučaju incidenta. Ovo uključuje obavještavanje ključnih osoba, obustavljanje napada i početak forenzičkih istraga.
  • Redovito simulirajte potencijalne incidente kako biste testirali učinkovitost vašeg plana i osigurali da svi znaju kako reagirati.

10. Imate li proceduru za zaštitu od DDoS napada?

Distribuirani napadi uskraćivanja usluge (DDoS) mogu ozbiljno narušiti dostupnost vaše web stranice, uzrokujući gubitak prihoda i oštećenje povjerenja kupaca. Ovi napadi mogu učiniti vašu stranicu nedostupnom, pa je vrlo važno imati odgovarajuće mjere zaštite.

Zašto je to važno?

DDoS napadi mogu blokirati pristup vašoj web stranici ili internim sustavima. Ako napadači uspiju preplaviti vaše poslužitelje lažnim prometom, korisnici neće moći pristupiti vašem webshopu, što može dovesti do gubitka prihoda i povjerenja.

Preporučene prakse:

  • Koristite CDN platforme kao što je Cloudflare za filtriranje DDoS prometa. Cloudflare nudi zaštitu u stvarnom vremenu od DDoS napada smanjujući opterećenje na vašim poslužiteljima.
  • Postavite pravila za rate limiting kako biste ograničili broj zahtjeva s istih IP adresa u kratkom razdoblju. Ovo može spriječiti preopterećenje sustava.
  • Aktivno pratite promet kako biste brzo reagirali na anomalije. Alati kao što je Sucuri omogućuju detaljno praćenje i zaštitu od napada.
  • Redovita provjera i priprema za DDoS napade mogu vam pomoći da minimizirate rizik i brzo se oporavite.

11. Provjeravate li redovito povijest prijava i aktivnosti korisnika na admin računu?

Praćenje aktivnosti na administrativnim računima može vam pomoći u otkrivanju sumnjivih ili neovlaštenih pristupa prije nego što nastane ozbiljna šteta.

Zašto je to važno?

Neovlašteni pristup administrativnim računima može dovesti do kompromitiranja cijelog webshopa. Redovito praćenje prijava i aktivnosti korisnika može vam pomoći da pravovremeno otkrijete pokušaje upada.

Preporučene prakse:

  • Omogućite zapisivanje aktivnosti (audit log) za sve administrativne račune. To vam omogućuje da pratite tko se prijavljuje i što radi na vašoj platformi.
  • Redovno pregledavajte logove kako biste prepoznali neovlaštene pristupe ili sumnjive aktivnosti. To može uključivati prijave s novih ili neuobičajenih IP adresa.
  • Postavite alarme za sumnjive aktivnosti kao što su prijave u neočekivanim periodima ili prijave s novih IP adresa. Alati kao što je Splunk mogu automatizirati ovaj proces i obavijestiti vas o potencijalnim prijetnjama.
  • Ove aktivnosti omogućuju ranije otkrivanje prijetnji i smanjuju šanse za ozbiljan sigurnosni incident.

12. Imate li postupak za reviziju dozvola i prava pristupa za zaposlenike?

Redovita revizija pristupnih prava osigurava da samo ovlašteni zaposlenici imaju pristup osjetljivim podacima i sustavima, što je ključno za zaštitu podataka vaših korisnika.

Zašto je to važno?

Ponekad zaposlenici mogu imati pristup informacijama koje nisu nužne za obavljanje njihovih zadataka. Ova situacija može dovesti do unutarnjih prijetnji, poput nepažljivog rukovanja podacima ili zloupotrebe pristupa.

Preporučene prakse:

  • Provodite reviziju pristupnih prava svakih šest mjeseci kako biste osigurali da zaposlenici imaju samo onaj pristup koji im je nužan za obavljanje posla.
  • Uklonite pristup bivšim zaposlenicima odmah po njihovom odlasku. Zaštita osjetljivih podataka je kritična, a bivši zaposlenici više nemaju opravdan pristup.
  • Ograničite pristup osjetljivim podacima na temelju poslovnih potreba. Pravo pristupa treba biti utemeljeno na tome što zaposlenik treba za izvršavanje svojih zadataka.

Kultura sigurnosti je kontinuirani proces

Sigurnost vašeg webshopa mora biti prioritet koji se stalno održava i unapređuje kako bi se osigurala zaštita podataka, stabilnost poslovanja i povjerenje korisnika. Kroz redovito ažuriranje softverskih rješenja, implementaciju sigurnosnih alata, zaštitu od DDoS napada te reviziju pristupnih prava zaposlenika, možete značajno smanjiti rizik od sigurnosnih prijetnji. Također, osnaživanje ljudskog faktora kroz edukaciju zaposlenika i uspostavljanje jasnih procedura za brzo reagiranje na sigurnosne incidente dodatno povećava vašu otpornost na napade.

Pored tehničkih mjera, važno je osigurati pravilno upravljanje korisničkim podacima u skladu sa zakonodavstvom poput GDPR-a te redovito testirati sustave i procese kako biste otkrili ranjivosti prije nego što napadači mogu iskoristiti te slabosti. U konačnici, sigurnost webshopa nije jednokratan zadatak, već kontinuirani proces koji zahtijeva posvećenost i spremnost na prilagodbu novim prijetnjama i tehnologijama.

Ove mjere omogućuju ne samo zaštitu vaše online trgovine od potencijalnih prijetnji, već i izgradnju dugoročnog povjerenja među korisnicima, što je ključno za održiv rast i uspjeh vašeg poslovanja. Ako želite biti korak ispred prijetnji, investicija u sigurnost mora biti ne samo tehnička, već i strateška.

Loading

O Autoru

Goran Pavlović
Goran Pavlović
urednik eCommerce Magazina

Povezane objave

width=
13.04.2026

Google Merchant Centre i Shopping ads u Hrvatskoj – što znamo trenutačno?

 Pročitaj više >
width=
10.04.2026

Kako je TERMO-HLAD osvojio tržište klimatizacije i bazena

 Pročitaj više >
width=
07.04.2026

Pridružite nam se na BES 2026

 Pročitaj više >

Želiš povećati povjerenje na svom webshopu? Postani član!

Punopravno članstvo uključuje besplatnu Safe Shop certifikaciju i sustav za prikupljanje recenzija.
Učlani se
Učlani se
>