2025 Trendovi sajber incidenata: Šta preduzeća moraju znati

Krajolik sajber bezbednosti nastavlja da se razvija alarmantnom brzinom dok zlonamerni akteri koriste sve sofisticiranije tehnike za ometanje organizacija u svim sektorima. Od upada pokretanih veštačkom inteligencijom do pojačanih kampanja država-nacija, preduzeća se suočavaju sa neviđenim izazovima u zaštiti svojih digitalnih sredstava i održavanju operativne otpornosti. Razumevanje ovih novih pretnji i implementacija robusnih odbrambenih strategija postali su ključni za opstanak organizacija u današnjem međusobno povezanom digitalnom ekosistemu.

Veštačka inteligencija menja metode sajber napada

Veštačka inteligencija je suštinski promenila način na koji pretnja akteri sprovode sajber operacije. Najnoviji podaci pokazuju da oko šesnaest procenata prijavljenih sajber incidenata sada uključuje napadače koji koriste AI alate, naročito modele za generisanje slika i jezika, za izvođenje sofisticiranih društvenog inženjeringa. Generativna AI je dramatično povećala efikasnost napada stvaranjem ubedljivijih obmana i omogućavanjem široke automatizacije alata za upad.

Pretnja akteri koriste AI tehnologiju na nekoliko opasnih načina. Deepfake tehnologija omogućava kriminalcima da kreiraju realistične audio i video imitacije rukovodilaca i osoblja za podršku, koje koriste za autorizaciju lažnih transfera novca, krađu korisničkih akreditiva i kompromitovanje naloga. Jedan naročito razoran incident uključivao je napadače koji su koristili javno dostupne snimke za kreiranje ubedljivih deepfake video zapisa finansijskog direktora i zaposlenih u kompaniji, uspešno obmanjujući žrtvu da prebaci preko dvadeset pet miliona dolara kriminalcima.

Glasovni phishing, ili "vishing," predstavlja još jedan AI unapređeni vektor pretnji. Napadači koriste AI-generisane skripte i glasovne klonove u ciljanim telefonskim kampanjama osmišljenim da uvere žrtve da preuzmu zlonamerni softver, uspostave sesije daljinske podrške ili otkriju svoje pristupne podatke. Pored toga, pretnja akteri koriste generativne AI alate za kreiranje veoma prilagođenih phishing mejlova i SMS poruka koje uključuju kontekstualne detalje i obrasce prirodnog jezika, značajno povećavajući verovatnoću da će žrtve kliknuti na zlonamerne linkove i predati svoje akreditive.

Ransomware napadi postaju agresivniji i skuplji

Ransomware nastavlja da pogađa organizacije u svim industrijskim sektorima, sa najnovijim izveštajima koji pokazuju dvanaest procenata godišnjeg porasta incidenata povezanih sa ransomware-om. Napadači su usvojili sve agresivnije tehnike ucene i koristili sofisticiranije alate kako bi maksimalno povećali pritisak na žrtve. Savremene ransomware kampanje kombinuju tradicionalno šifrovanje podataka sa disruptivnim taktikama uključujući uznemiravanje zaposlenih i pretnje kritičnim operacijama, što rezultira produženim zastojevima i znatno višim troškovima oporavka.

Više značajnih ransomware grupa dominiralo je nedavnim vestima. Grupa pretnji Scattered Spider se ponovo pojavila koristeći napredne društvenog inženjeringa tehnike za početni pristup organizacijama u različitim industrijama. Istovremeno, ransomware operacija LockBit se ponovo pojavila početkom 2025. sa ažuriranim alatom LockBit 4.0, pokrećući agresivne kampanje ucene posebno usmerene na privatni sektor širom Sjedinjenih Država.

Zanimljivo je da se čini da se odgovori organizacija na ransomware napade menjaju. Najnovija industrijska istraživanja pokazuju da je oko šezdeset tri procenta ispitanih organizacija odbilo da plati otkupninu u protekloj godini, što predstavlja porast u odnosu na pedeset devet procenata u 2024. Ovaj trend ukazuje na rastući otpor prema kriminalnim zahtevima za iznudu, ali takođe ističe potrebu za robusnim kapacitetima za pravljenje rezervnih kopija i oporavak koji omogućavaju organizacijama da obnove operacije bez popuštanja napadačima.

Pretnje država-nacija se pojačavaju usled geopolitičkih tenzija

Akteri država-nacija značajno su pojačali svoje sajber operacije, ciljajući telekomunikacionu infrastrukturu, kritične sisteme i strateške treće strane pružaoce usluga. Ove sofisticirane kampanje često koriste tehnike sajber špijunaže i napredne taktike obmane za krađu korisničkih akreditiva i sticanje neovlašćenog pristupa osetljivim mrežama i podacima.

Grupa pretnji sa sedištem u Kini dramatično je povećala svoje aktivnosti u protekloj godini, pri čemu su određene ciljne industrije zabeležile porast napada od dvesta do trista procenata u odnosu na prethodnu godinu. Dve visoko profilisane kampanje upada privukle su globalnu pažnju: Salt Typhoon i Volt Typhoon. Operacija Salt Typhoon uspešno je infiltrirala glavne telekomunikacione mreže u široko rasprostranjenoj kampanji sajber špijunaže, dok je Volt Typhoon uključivao prethodno postavljanje zlonamernog koda unutar kritične infrastrukturne opreme, izazivajući ozbiljne zabrinutosti o potencijalnoj eskalaciji u fizičku štetu ili široku distrupciju.

Akteri povezani sa državama-nacijama takođe su koristili taktike društvenog inženjeringa izvan tehničkih upada. Akteri povezani sa Severnom Korejom infiltrirali su američke kompanije falsifikujući dokumentaciju i kreirajući ubedljive profile kandidata kako bi dobili zaposlenje u IT podršci, pozicije koje su potom iskoristili za prikupljanje korisničkih akreditiva i izvođenje lažnih finansijskih transakcija. Akteri povezani sa Iranom su posebno usvojili generativne AI alate, pri čemu je jedna grupa navodno pojačavala procurele informacije putem AI chatbota nakon kampanje hakovanja i curenja podataka osetljivih za novinare u julu 2025.

Napadi na lanac snabdevanja trećih strana predstavljaju rastuće rizike

Napadi trećih strana dešavaju se kada pretnja akteri kompromituju partnere u lancu snabdevanja, prodavce ili softverske provajdere i koriste taj pristup za infiltraciju mreža ciljanih organizacija. Ovi napadi često se šire kroz međusobno povezane sisteme, utičući na više entiteta nizvodno i kupaca koji zavise od kompromitovanog softvera ili usluga. Najnoviji obaveštajni podaci o pretnjama ukazuju na porast finansijski motivisanog sajber kriminala usmerenog na softverske provajdere kao početne tačke ulaska u šire korporativne ekosisteme.

Probojem trećih strana, napadači mogu zaobići tradicionalne odbrambene perimetre i steći privilegovani pristup osetljivim poslovnim okruženjima. Ovi pretnja akteri često iskorišćavaju hostovana okruženja kao što su cloud platforme i softver kao usluga (SaaS) ekosistemi, krećući se lateralno kroz korisničke instance, prikupljajući akreditive i masovno iznoseći vlasničke podatke. Ova taktika omogućava širok uticaj, naročito kada prodavci služe više klijenata u različitim industrijama.

Kompromitacije lanca snabdevanja trećih strana postale su među najskupljim i najupornijim vektorima sajber pretnji sa kojima se organizacije danas suočavaju. Najnoviji podaci pokazuju da ovi proboji donose prosečne troškove od skoro pet miliona dolara i zahtevaju duže periode za identifikaciju i suzbijanje nego bilo koji drugi oblik sajber upada. Kompleksnost odnosa sa prodavcima i produženi periodi neprimećenosti doprinose odloženim odgovorima i povećanoj izloženosti pogođenih organizacija.

Osnovne preporuke za sajber otpornost

Održavanje sveobuhvatnog, na riziku zasnovanog programa sajber bezbednosti ostaje najučinkovitija odbrana protiv evoluirajućih sajber pretnji. Organizacije bi trebalo da prioritetno pristupe pripremi za odgovor na incidente kroz izvođenje tabletop vežbi koje uključuju ključne rukovodioce, predstavnike odbora i šefove odeljenja kako bi se potvrdile uloge, procedure eskalacije i okviri donošenja odluka. Ove vežbe treba da uključe nove pretnje kao što je zlonamerna upotreba generativne AI kako bi timovi bili spremni za realistične scenarije.

Upravljanje politikama zahteva stalnu pažnju. Organizacije moraju redovno pregledati i ažurirati planove odgovora na incidente, procedure kontinuiteta poslovanja i procese odobravanja komunikacije kako bi osigurale da odražavaju aktuelne pretnje i usklađene su sa zahtevima za brzu notifikaciju kao što su dvadesetčetvoročasovni početni zahtev za obaveštavanje prema NIS2 Direktivi Evropske unije i pravilo SEC-a o objavljivanju materijalnih incidenata u roku od četiri radna dana. Ažurirane politike treba distribuirati odgovarajućim zainteresovanim stranama i treba da se bave tolerancijom rizika za nove tehnologije poput generativne AI.

Ublažavanje rizika trećih strana zahteva robusnu proveru prodavaca i ugovorne zaštite. Organizacije bi trebalo da sprovedu analize kritičnosti kako bi identifikovale prodavce i komponente čiji bi kompromis izazvao najveći operativni uticaj. Ključne zaštitne mere uključuju zahtev za potvrde prodavaca o sigurnim praksama razvoja softvera, implementaciju snažnih ugovornih zaštita sa zahtevima za brzu notifikaciju incidenata i pravima na reviziju, redovne procene bezbednosnih praksi prodavaca i testiranje odgovornih mera kroz tabletop vežbe koje uključuju scenarije sa dobavljačima trećih strana.

Procesi upravljanja ranjivostima moraju biti brzi i sistematski s obzirom na učestalost bezbednosnih zakrpa i razvoja eksploita. Organizacije treba da održavaju dokumentovane procese za identifikaciju, procenu, prioritizaciju, sanaciju i praćenje ranjivosti, uz jasno dodeljivanje vlasništva i rokova za aktivnosti sanacije. Implementacija kontinuiranog nadzora i proaktivnih alata za upravljanje zakrpama koji proizvode revizijske zapise omogućava organizacijama da adresiraju ranjivosti pre nego što ih pretnja akteri iskoriste.

Na kraju, angažovanje sa industrijskim grupama i praćenje regulatornih i policijskih ažuriranja jača bezbednosni položaj organizacije. Uprkos nedavnoj pravnoj neizvesnosti oko deljenja informacija o sajber bezbednosti nakon isteka određenih zakonskih odredbi, pravovremeno i koordinisano deljenje informacija ostaje ključno. Organizacije bi trebalo da se pridruže industrijski specifičnim grupama za sajber bezbednost kako bi bile informisane o pretnjama i najboljim praksama u sektoru, dok istovremeno prate ažuriranja od vladinih agencija i pretplaćuju se na obaveštajne biltene policijskih pretnji.

Iako je potpuno eliminisanje sajber rizika nemoguće, prioritetizacija spremnosti za odgovor na incidente i usklađenost sa propisima gradi tehničku otpornost i pozicionira organizacije povoljnije sa operativnog i pravnog aspekta kada neizbežno postanu meta sajber napada.

Izvor: https://www.mayerbrown.com/en/insights/publications/2025/10/2025-cyber-incident-trends-what-your-business-needs-to-know