Koliko data breach stvarno košta: račun stiže godinama, i nije samo kazna
18. jul 2026. · 7 min čitanja · INTO MSP tim
Kada se pomene curenje podataka, vlasnik male firme obično pomisli na jedno: kaznu. I obično zaključi da se to dešava velikima, da regulator male ne gleda, i da je rizik teorijski. Ove nedelje su stigla dva podsetnika da račun izgleda drugačije i da stiže dugo posle samog upada.
Kompanija 23andMe, koja se bavi genetskim testiranjem, pristala je na poravnanje od 18 miliona dolara sa američkim državnim tužiocima zbog propusta u zaštiti podataka korisnika. Upad se desio još 2023. godine. Račun je, dakle, stigao tri godine kasnije, i to mimo svih troškova koje je firma u međuvremenu već platila. Iste nedelje, italijanski regulator je kaznio telekom operatera sa 1,7 miliona evra zbog curenja podataka. A ransomware grupe su u međuvremenu usavršile model u kome ni ne moraju da zaključaju sisteme: dovoljno je da objave "dokaze" da drže vaše podatke i da čekaju.
Nijedna od ovih firmi nije mala. Ali mehanika računa je ista za sve, samo su nule različite. Vredi je razumeti pre nego što postane lična.
Račun ima četiri dela, kazna je samo jedan
Prva stavka su direktni troškovi incidenta: zastoj u radu, oporavak sistema, forenzika, ponovna izgradnja onoga što je uništeno, prekovremeni sati. Ovo plaćate odmah, dok još ne znate ni šta se tačno desilo. Za malu firmu ovo je često najveća stavka, jer se meri u danima kada niko ne radi svoj posao.
Druga stavka je pravna: postupak pred regulatorom, moguća kazna, a sve češće i tužbe ili poravnanja sa ljudima čiji su podaci procureli. Primer 23andMe pokazuje da se ova stavka razvlači godinama i da poravnanje ume da bude veće od kazne.
Treća stavka je komercijalna i nju niko ne piše u izveštajima: klijenti koji odu. Firma koja radi sa knjigovođom, advokatom ili IT partnerom poverava im svoje podatke. Kada ti podaci procure, ugovor se ne raskida uz dramu, nego se prosto ne produži. Za uslužnu firmu ovo je stavka koja može biti veća od svih ostalih zajedno.
Četvrta stavka je vreme uprave. Meseci u kojima se vlasnik bavi advokatima, regulatorom i uznemirenim klijentima su meseci u kojima se ne bavi poslom.
Šta regulator stvarno traži
Dobra vest, koju malo ko zna: ni domaći ZZPL ni evropski GDPR ne traže savršenu bezbednost. Traže primerene mere i dokaz da postoje. Kada se incident desi, pitanja regulatora se svode na sledeće:
- Da li ste imali osnovne zaštitne mere, primerene vrsti podataka koje držite
- Da li ste incident prijavili u roku, koji se meri u satima i danima, ne u nedeljama
- Da li možete da pokažete šta se desilo, kojim podacima i kada
- Šta ste preduzeli da se ne ponovi
Firma koja na ova pitanja ima odgovore i papir koji ih potvrđuje prolazi kroz postupak neuporedivo lakše od firme koja sleže ramenima. Razlika nije u tome da li se incident desio, nego da li iza firme stoji dokumentovan sistem: popis podataka, kontrola pristupa, evidencija, testiran bekap, procedura za prijavu. O minimumu za usklađenost smo već pisali u tekstu o GDPR i ZZPL, a firme koje potpadaju pod novi Zakon o informacionoj bezbednosti imaju i dodatne obaveze.
Zašto je mala firma u lošijoj poziciji od velike
Velika kompanija upad preživi: ima rezerve, pravni tim i osiguranje. Mala firma nema nijedno od toga, a napadaču je svejedno. Štaviše, mala firma je lakša meta upravo zato što pretpostavlja da nije meta. Tu pretpostavku smo razmontirali u tekstu o ransomware-u: napadači ne biraju velike, biraju nezaštićene.
Postoji i drugi ugao koji se često previdi: mala firma je nečiji dobavljač. Ako vaši sistemi budu iskorišćeni kao ulaz ka vašem klijentu, razgovor više ne vodite samo sa regulatorom nego i sa klijentovim advokatima. Ugovori sa većim partnerima sve češće sadrže bezbednosne obaveze, i njihovo kršenje je samostalan trošak, nezavisan od svake kazne.
Šta se isplati uraditi pre incidenta
Sve što regulator i klijenti traže posle incidenta jeftinije je postaviti pre njega:
- Znati koje podatke držite, gde i ko im pristupa
- Osnovna higijena pristupa: MFA, minimalna ovlašćenja, gašenje starih naloga
- Bekap koji je testiran vraćanjem, ne samo podešen
- Evidencija ko je šta radio, da posle incidenta ne nagađate
- Kratka pisana procedura: ko koga zove, ko prijavljuje, ko komunicira sa klijentima
Ništa od ovoga nije investicija u "možda". To je razlika između incidenta koji je neprijatna epizoda i incidenta koji postane višegodišnji trošak sa neizvesnim krajem. Račun za curenje podataka se ne može izbeći popustom, ali se može učiniti malim, i to isključivo unapred. Ako ne znate kako bi vaša firma danas odgovorila na četiri pitanja regulatora iz ovog teksta, to je tačka od koje treba krenuti.
Treba vam ovo sređeno, bez drame?
INTO MSP vodi bezbednost, backup i IT za male i srednje firme. Prvi korak je kratak pregled stanja, bez obaveze.
IT Consulting & vCIO → Kontakt