Cybersecurity 2026

Phishing Zaštita: Kako Obučiti Zaposlene i Smanjiti Rizik za 86%

Svaki dan se pošalje 3,4 milijarde phishing e-mailova. Jedna trećina zaposlenih klikne na lažni link — ali pravi awareness program to mijenja.

Phishing nije samo problem IT odjeljenja — to je najskuplji i najčešći uzrok cyber proboja u historiji korporativne sigurnosti. Prema podacima iz IBM Cost of a Data Breach Report 2025, prosječan phishing proboj košta organizaciju 4,88 miliona dolara, a otkrivanje i sanacija traju u prosjeku 254 dana. Ono što je posebno zabrinjavajuće jeste da ni najskuplji firewall ni najnapredniji antivirus ne mogu zamijeniti dobro obučenog zaposlenog. Upravo zato je employee awareness training — obuka zaposlenih o prepoznavanju phishinga — postao ključni stub moderne cybersecurity strategije svake ozbiljne organizacije.

Zašto je Phishing i Dalje Prijetnja Broj Jedan u 2026.

Phishing napadi ne jenjavaju — naprotiv, postaju sofisticiraniji i teži za prepoznavanje. Generativna AI je promijenila pravila igre: napadači više ne pišu e-mailove s gramatičkim greškama i čudnim formatiranjem. Danas AI alati u roku od pet minuta generišu uvjerljiv phishing e-mail koji je ranije zahtijevao šesnaest sati ručnog rada stručnog tima, prema istraživanju IBM-a.

90%+

cyber napada počinje phishingom

Glavni Vektor Napada

Prema CISA, više od 90% svih cybernapada počinje phishing e-mailom kao inicijalnim vektorom pristupa.

$4,88M

prosječna cijena jednog proboja

Finansijski Udar

IBM Cost of a Data Breach Report 2025 bilježi rast od gotovo 10% u odnosu na prethodnu godinu — najveći skok od pandemije.

33,1%

zaposlenih klikne bez treninga

Ljudski Faktor

Prema KnowBe4 Phishing by Industry Benchmark Report 2025, svaki treći zaposleni je podložan phishing napadima prije ikakve obuke.

Statistike su alarmantne: 94% organizacija iskusilo je phishing napad prema Email Security Risk Report 2024, a 68% cybernapada dolazi putem e-maila prema KnowBe4 istraživanju iz 2025. Business Email Compromise (BEC) — vrsta phishinga gdje napadači lažno predstavljaju izvršne direktore ili dobavljače — izazvao je 2,77 milijardi dolara prijavljenih gubitaka u SAD-u samo u 2024. godini prema FBI IC3 izvještaju.

Posebno zabrinjava podatak da AI-generirani phishing napadi u 2025. godini postižu stopu klikova više od četiri puta višu od napada koje kreiraju ljudi, prema analizi Vectra AI. Deepfake video prevare porasle su za 700% u 2025. godini, a AI-enabled fraud porastao je za nevjerovatnih 1.210% prema dostupnim podacima.

Novi Oblici Phishing Napada koje Zaposleni Moraju Poznavati

Phishing više nije samo lažni e-mail. U 2026. godini, napadi dolaze kroz višestruke kanale i koriste napredne tehnologije obmane:

Vrsta Napada	Kanal	Karakteristika 2025/2026	Rizik
Spear Phishing	E-mail	AI personalizacija na osnovu OSINT podataka	Veoma visok
BEC (Business Email Compromise)	E-mail	Lažno predstavljanje direktora, porast 54% u H1 2025	Veoma visok
Vishing (Voice Phishing)	Telefon / AI glas	Porast 400%+ godišnje, kloniranje glasa izvršnih direktora	Visok
Smishing	SMS / WhatsApp	Dostava paketa, sigurnosna upozorenja, bankarski SMS	Visok
Quishing (QR Phishing)	QR kod	Zaobilazi filtre e-maila, usmjerava na lažne stranice	Srednji-visok
Deepfake Video BEC	Video poziv	AI lice i glas direktora u realnom vremenu, porast 700%	Kritičan

Posebno je alarmantan slučaj koji je postao simbol nove ere deepfake prevara: zaposleni inžinjerske firme Arup prenio je 25 miliona dolara prevarantima nakon što je prisustvovao video konferenciji na kojoj su sve osobe — uključujući CFO i stariji menadžment — bile AI-generirani deepfakovi koji su savršeno kopirali glasove i lica pravih osoba. Ovaj primjer ilustruje zašto tradicionalna obuka o prepoznavanju gramatičkih grešaka u e-mailovima više nije dovoljna.

Efikasnost Security Awareness Treninga: Šta Govore Podaci

Dobra vijest postoji: pravi awareness programi zaista funkcionišu. Prema KnowBe4 Phishing by Industry Benchmark Report 2025, koji je analizirao 67,7 miliona simuliranih phishing testova na 14,5 miliona korisnika u 62.400 organizacija, organizacije koje implementiraju security awareness training (SAT) bilježe smanjenje phishing rizika za više od 40% već u prvih 90 dana, a do 86% u roku od godinu dana.

Ključni Rezultati Dobro Implementiranog Awareness Programa

✓ 86% smanjenje stope klikova na phishing linkove u roku od 12 mjeseci (KnowBe4, 2025)
✓ 40% smanjenje phishing rizika već u prvih 90 dana od početka treninga
✓ 6x poboljšanje u prepoznavanju i prijavljivanju napada u 6 mjeseci (Hoxhunt data)
✓ 87% smanjenje broja klikova na maliciozne linkove prema Hoxhunt istraživanju
✓ 70% zaposlenih koji su jednom kliknuli na simulirani phishing, više ne ponavljaju grešku nakon trenutne obuke (Help Net Security, 2025)
✓ ROI od 3 do 7 puta na uložena sredstva u awareness programe prema industrijskim procjenama

Međutim, važno je napomenuti i kritičku perspektivu: istraživanje Sveučilišta UC San Diego (IEEE Symposium on Security and Privacy, 2025), koje je obuhvatilo 19.500 zaposlenika u osmomjesečnom randomiziranom eksperimentu, pokazalo je da tradicionalni godišnji treninzi u obliku video modula imaju ograničen učinak. Ključni nalaz je da 75% korisnika provede manje od jedne minute na ugrađenim trening materijalima nakon što kliknu na simulirani phishing link. Ovo naglašava razliku između kvalitetnih, kontinuiranih i personaliziranih programa i puke compliance vježbe jednom godišnje.

Vodeći Alati za Phishing Simulacije i Awareness Training

Tržište security awareness training platformi je zrelo i konkurentno. Evo pregleda vodećih rješenja koja organizacije koriste u 2026. godini:

Platforma	Cijena (po korisniku/mj.)	Ključna prednost	Idealno za
KnowBe4	~$1,90–$3,25 (Silver–Diamond)	Najveća biblioteka sadržaja, brzo uvođenje	Enterprise, compliance-fokusirane org.
Proofpoint SAT	~$1,00–$2,00 (godišnje $12–$24)	Real-world threat intelligence, VAP identifikacija	Org. već u Proofpoint ekosistemu
Cofense PhishMe	Od $10/korisnik/god.	SOC integracija, crowdsourced threat intel	Sigurnosno zrele org. sa SOC-om
Hoxhunt	Cijena po upitu	Gamifikacija, adaptivna težina, deepfake sim.	Org. fokusirane na promjenu ponašanja
Adaptive Security	Cijena po upitu	AI simulacije, deepfake i vishing trening	Org. izložene AI-driven napadima
Gophish (open-source)	Besplatno	Fleksibilnost, potpuna kontrola	IT timovi s tehničkim znanjem, SME

Prosječna cijena security awareness traininga kreće se između $0,45 i $6 po korisniku mjesečno, ovisno o platformi, broju korisnika i uključenim funkcijama. Za organizaciju od 1.000 zaposlenih, mid-tier platforma s phishing simulacijama i osnovnom bibliotekom sadržaja košta između $18.000 i $36.000 godišnje. U poređenju s prosječnim troškom jednog phishing proboja od 4,88 miliona dolara, ovo je zanemariv ulog.

Kako Izgraditi Efikasan Phishing Awareness Program: Korak po Korak

Istraživanja jasno pokazuju da jednokratni godišnji trening nije dovoljan. Efekti treninga počinju blijedjeti nakon četiri do šest mjeseci bez ponavljanja. Evo kako izgraditi program koji zaista mijenja ponašanje zaposlenih:

Faze Implementacije Awareness Programa

1
Baseline procjena: Pokrenite prvu phishing simulaciju bez prethodnog upozorenja kako biste izmjerili polaznu stopu klikova u vašoj organizaciji. Industrija bilježi prosječnih 33,1% zaposlenih koji kliknu.
2
Segmentacija po ulogama: Finance timovi trebaju scenarije lažnih faktura i BEC napada. IT odjeljenja trebaju lažne vendor support tickete. HR timovi trebaju scenarije lažnih CV-ova s malicioznim prilogom.
3
Kontinuirane simulacije: Umjesto jednog godišnjeg testa, pokrenite mjesečne ili kvartalne simulacije različitih tipova napada — e-mail, QR kod, vishing. Varijabilnost i nepredvidljivost su ključni za izgradnju navika.
4
Just-in-time trening: Kada zaposleni klikne na simulirani phishing link, odmah mu pokažite kratki edukativni modul koji objašnjava koje znakove je trebalo prepoznati. Istraživanje (Help Net Security, 2025) pokazuje da zaposleni koji odmah dobiju povratnu informaciju sedam puta od deset ne ponavljaju grešku.
5
Kultura prijavljivanja: Cilj nije samo da zaposleni ne kliknu — cilj je da aktivno prijavljuju sumnjive poruke. Odličan program postiže stopu prijavljivanja iznad 70%, dok prosječna organizacija bilježi 30–45%.
6
Onboarding novi zaposleni: Istraživanje iz 2025. pokazuje da phishing stopa uspješnosti privremeno raste kada se pridruže novi zaposlenici. Brzi onboarding modul je obavezan za sve nove članove tima.

Tehničke Mjere koje Dopunjuju Obuku Zaposlenih

Awareness trening nije zamjena za tehničke kontrole — on je njihova nadopuna. Prema smjernicama CISA (Cybersecurity and Infrastructure Security Agency), kombinacija tehničkih mjera i edukacije zaposlenih daje najbolje rezultate.

▸ E-mail Autentifikacija

Implementacija SPF, DKIM i DMARC protokola na nivou p=reject blokira spoofing domena i sprječava da lažni e-mailovi uopće stignu do inbox-a zaposlenih. CISA preporučuje DMARC reject politiku kao prioritetnu mjeru.

✓ SPF — verifikacija pošiljaoca
✓ DKIM — digitalni potpis e-maila
✓ DMARC p=reject — odbacivanje lažnih poruka

▸ Phishing-Resistant MFA

Tradicionalni MFA putem SMS kodova može biti zaobiđen napadima u realnom vremenu koji hvataju jednokratne lozinke. Phishing-resistant MFA koristi kriptografsku autentifikaciju (FIDO2 hardware security keys) koja ne izlaže višekratno upotrebljive kredencijale.

✓ FIDO2 / WebAuthn hardware ključevi
✓ Number matching za push notifikacije
✓ Obavezan MFA za privilegovane naloge

▸ Secure Email Gateway (SEG)

Napredni email filteri koji koriste machine learning za analizu ponašanja pošiljaoca, sandboxing privitaka i blokiranje malicioznih linkova. Proofpoint, Mimecast i Microsoft Defender for Office 365 su vodeća rješenja.

✓ Sandboxing e-mail privitaka
✓ Link rewriting i URL scanning
✓ Anomaly detection za BEC

▸ Zero Trust Arhitektura

Zero Trust pristup podrazumijeva kontinuiranu autentifikaciju, least privilege pristup i mrežnu segmentaciju. Čak i ako napadač dobije kredencijale jednog zaposlenog, ograničeni pristup sprječava lateralno kretanje kroz mrežu.

✓ Continuous authentication
✓ Least privilege access control
✓ Mrežna segmentacija

Best Practices za Phishing Simulacije koje Zaposleni Neće Mrziti

Istraživanje NDSS Symposium 2025 pokazalo je da simulacije koje koriste emocionalno manipulativne scenarije — kao što su lažne HR disciplinske poruke, lažne tragedije ili lažni bonusi — izazivaju dugoročno narušavanje povjerenja zaposlenih prema menadžmentu i sigurnosnom timu. Etička i efikasna simulacija zahtijeva balans između realizma i poštovanja.

Šta Raditi ✓ i Šta Izbjegavati ✗ u Phishing Simulacijama

Preporučene prakse:

✓ Modelirajte simulacije na stvarnim prijetnjama koje vaša industrija suočava
✓ Prilagodite težinu i tip scenarija ulozi zaposlenog (finance, IT, HR)
✓ Odmah pružite edukativni feedback nakon klikanja na simulirani link
✓ Unaprijed obavijestite zaposlene da simulacije postoje (ali ne kad)
✓ Nagrađujte prijavljivanje, a ne kažnjavajte klikanje
✓ Varijabilnost scenarija — e-mail, QR, vishing, deepfake

Šta izbjegavati:

✗ Lažne HR disciplinske poruke ili prijetnje otkazom
✗ Scenariji koji simuliraju lične tragedije ili hitne porodične situacije
✗ Godišnji jednokratni trening bez kontinuiranog praćenja
✗ Generički scenariji koji nisu relevantni za ulogu zaposlenog
✗ Javno sramljenje zaposlenih koji kliknu na simulaciju
✗ Fokus isključivo na e-mail dok se ignorišu vishing i deepfake

Kako Mjeriti Uspješnost Programa: KPI-ovi koji Govore Istinu

Mnoge organizacije mjere samo stopu završetka treninga — ali to nije indikator sigurnosti. Pravi KPI-ovi koji pokazuju da program funkcioniše su sljedeći:

KPI	Prosječna org. (2025)	Odličan program	Trend
Phishing click rate	8–14%	< 5%	↓ Cilj smanjenja
Stopa prijavljivanja	30–45%	> 70%	↑ Cilj povećanja
Vrijeme do prijavljivanja	Sati	Minute	↓ Cilj smanjenja
Stopa ponavljanja greške	Varijabilno	< 2%	↓ Cilj smanjenja
Poboljšanje u 3 mj.	—	30–40%	↑ Očekivano
Poboljšanje u 12 mj.	—	70–86%	↑ Cilj

ROI Awareness Treninga: Matematika koja Govori Sama za Sebe

Cijena security awareness treninga iznosi između $100 i $200 po zaposlenom godišnje za sveobuhvatne programe. U poređenju s prosječnom cijenom phishing proboja od 4,88 miliona dolara, matematika je jasna. Prema industrijskim procjenama, dobro implementirani programi donose povrat od 3 do 7 puta na uložena sredstva, a neke organizacije izvještavaju o ROI-u od čak 300%.

$100–200

po zaposlenom godišnje

Cijena Treninga

Sveobuhvatni awareness program za organizaciju od 500 zaposlenih košta između $50.000 i $100.000 godišnje.

$4,88M

prosječna cijena jednog proboja

Cijena Proboja

IBM 2025 Cost of a Data Breach Report. Za SME, relativni udar na prihod može biti egzistencijalan.

3–7x

povrat na investiciju

ROI Treninga

Organizacije s robusnim programima uštede prosječno $1,5 milion u troškovima vezanim za proboje.

Jeste li znali?

Prema analizi KnowBe4 iz 2025. koja je obuhvatila podatke od 14,5 miliona korisnika u 62.400 organizacija, svaki treći zaposleni (33,1%) klikne na simulirani phishing link prije nego što prođe ikakvu obuku. Nakon 12 mjeseci kontinuiranog treninga, ta stopa pada za 86%. Organizacije s 10.000+ zaposlenih imaju čak 40,5% početnu stopu ranjivosti — što znači da u takvoj firmi postoji više od 4.000 potencijalnih ulaznih tačaka za napadače.

Regulatorna Obaveza: GDPR, DORA i EU AI Act

Phishing awareness trening više nije samo preporuka — za mnoge organizacije postaje zakonska obaveza. DORA (Digital Operational Resilience Act), koji je stupio na snagu 17. januara 2025. godine, obavezuje finansijske institucije u EU da implementiraju sveobuhvatan ICT risk management uključujući kontinuiranu edukaciju zaposlenih o sigurnosti. GDPR nastavlja zahtijevati demonstraciju odgovarajućih tehničkih i organizacionih mjera zaštite podataka, uključujući edukaciju zaposlenih. Regulatorna tijela sve češće koriste nedovoljnu obuku zaposlenih kao dokaz nemara pri izricanju kazni nakon proboja.

"
Podaci govore sami za sebe — security awareness trening zaista pravi razliku. Od 2024. do 2025. opći trend je ostao konzistentan: oko jedne trećine zaposlenih klikne na simulirani phishing link prije treninga. Međutim, podaci pokazuju blago poboljšanje u 2025. godini.
— Stu Sjouwerman, CEO, KnowBe4 (iz Phishing by Industry Benchmarking Report 2025)

Budućnost Phishing Zaštite: AI vs. AI

Prema Hoxhunt Phishing Trends Report za 2026. godinu, koji analizira podatke iz 50 miliona phishing simulacija i stvarnih napada, u decembru 2025. zabilježen je nagli skok od 14x u AI-generiranim phishing napadima u odnosu na prethodne mjesece. Napadači sve više koriste generativnu AI za automatiziranu personalizaciju poruka na osnovu javno dostupnih podataka o zaposlenima.

Odbrambena AI ide korak dalje: platforme poput Hoxhunt, Adaptive Security i Jericho Security već koriste AI za generiranje hiperrealističnih, individualiziranih simulacija koje oponašaju stvarne napade. Prema Gartner prognozi, generativna AI će biti uključena u 17% cybernapada do 2027. godine, što zahtijeva da i odbrambeni sistemi budu jednako sofisticirani.

Ključna promjena u pristupu treningu za 2026. godinu nije više pitanje "prepoznaj lažni e-mail" — već pitanje "verifikuj zahtjev bez obzira koliko uvjerljiv izgleda". Organizacije koje implementiraju vishing simulacijske programe bilježe 65% poboljšanje u verifikacijskom ponašanju zaposlenih tokom glasovnih napada.

Phishing ostaje dominantni vektor cyber napada u 2026. godini — ne zato što ne postoje tehnička rješenja, već zato što ljudski faktor ne može biti u potpunosti zamijenjen nikakvim softverom. Organizacije koje kombinuju tehničke kontrole poput DMARC-a, phishing-resistant MFA i naprednih email filtera s kontinuiranim, personaliziranim i gamifikovanim awareness programima postižu dramatično smanjenje rizika. Razlika između godišnjeg compliance videa i pravog programa promjene ponašanja nije samo statistička — ona se mjeri u milionima dolara uštede i povjerenju klijenata koji znaju da su njihovi podaci u sigurnim rukama.

Phishing Zaštita: Kako Obučiti Zaposlene i Smanjiti Rizik za 86% u 2026.