Да ли сносим одговорност ако мој запослени наседне на фишинг напад?
Разумевање правне изложености, ризика усаглашености и паметних стратегија превенције за мала и средња предузећа
За мала и средња предузећа (МСП), један фишинг имејл може покренути лавину озбиљних последица: украдене акредитиве, губитак података, штету по репутацију — и правне поступке. Али да ли је ваша компанија законски одговорна ако запослени наседне на фишинг превару?
Одговор зависи од тога где послујете и о којој врсти података је реч. У Европској унији (ЕУ), Уједињеном Краљевству (УК) и Сједињеним Америчким Државама (САД) закони и очекивања се разликују — али једна тема је константна: превентивне мере су важне.
У овом чланку ћемо истражити:
- Шта закон каже у различитим јурисдикцијама
- Када се компаније сматрају одговорним за грешке запослених
- Како обука и симулације фишинга смањују ризик
⚖️ Ово није правни савет. Увек се консултујте са квалификованим адвокатом у вашој јурисдикцији за конкретне смернице.
ЕУ: GDPR и NIS2 — Обука као законска обавеза
У Европској унији, заштиту података углавном регулишу Општа уредба о заштити података (GDPR) и, у новије време, Директива NIS2.
GDPR: Правило од 72 сата и даље
Према члану 33. GDPR-а, организације морају да обавесте своју националну Управу за заштиту података о повреди безбедности личних података у року од 72 сата од тренутка када постану свесне за то, осим ако повреда вероватно неће довести до ризика за појединце.
Ако запослени наседне на фишинг имејл који открива личне податке (нпр. имејлове клијената, кадровску евиденцију, финансијске податке), организација мора да:
- Обавестити регулатора
- Потенцијално обавестити погођена лица (ако је ризик "висок")
- Документовати инцидент и предузете кораке за ублажавање последица
Оно што је важно није да ли је фишинг напад био софистициран — већ да ли је компанија имала адекватне заштитне мере на снази.
NIS2: Безбедност за кључне и важне субјекте
Директива NIS2, која је на снази од 2023. године, додатно подиже летвицу за предузећа у секторима као што су логистика, транспорт, финансије, здравство и дигиталне услуге. Она налаже:
- Управљање ризиком у сајбер безбедности
- Редовно обучавање запослених
- Обавезе извештавања о инцидентима
- Казне за непоштовање прописа
Закључак? Чак и ако је ваш запослени погрешио, ваша одговорност може зависити од тога колико сте га добро припремили.
Извор: ENISA Threat Landscape 2024
Уједињено Краљевство: Клон GDPR-а и стварне казне
Након Брегзита, Уједињено Краљевство је задржало оквир GDPR-а у виду UK GDPR-а и Закона о заштити података из 2018. године. Већина обавеза је идентична онима у ЕУ:
- Пријавити повреде података у року од 72 сата
- Информисати погођене појединце ако постоји "висок ризик" по њих
- Водити унутрашњи евиденцију свих повреда и донетаних одлука
Студија случаја: Казна за Интерсерв (4,4 милиона фунти)
- године, ICO је изрекао компанији Интерсерв казну од 4,4 милиона фунти након што је фишинг напад открио податке о преко 100.000 запослених. ICO је навео лошу обуку, застарели софтвер и недовољно праћење као кључне пропусте — а не грешку запосленог.
У Великој Британији, од послодаваца се очекује да створе културу безбедносне свести. То подразумева:
- Редовну обуку
- Симулације инцидената
- Евидентирање и документовање ризика и одговора
Извор: ICO Enforcement Action
Најбоља пракса: NCSC Small Business Guide
САД: Мозаик закона са једном поруком — Делујте брзо
Сједињене Државе немају један национални закон о обавештавању о пропустима, али свих 50 држава има своје прописе. Они углавном захтевају:
- Обавештавање погођених појединаца
- Често у року од 30 до 60 дана од открића
- Неке државе захтевају обавештавање регулаторних тела
Државе као што су Калифорнија, Њујорк и Колорадо имају строжије захтеве, посебно када су осетљиви подаци угрожени.
Федерална акција преко FTC
Федерална трговинска комисија (FTC) може да кажњава компаније за "неправедне или обмањујуће праксе" — укључујући лошу сајбер безбедност. Последњих година, FTC је јасно ставила до знања да су обука запослених и превенција фишинга део разумне сајбер безбедности.
-
- године, FTC је покренула кампању упозоравања усмерену на предузећа која не обучавају запослене о социјалном инжењерингу.
- У неколико случајева спровођења закона, непоступање по познатим ризицима од фишинга наведено је као немар.
Извор: Водич FTC за одговор на цурење података
Да ли сте одговорни? Зависи од припреме
Иако се закони разликују, општи правни консензус у свим јурисдикцијама је:
- Можда нећете бити директно одговорни ако запослени кликне на фишинг линк
- Али можете бити одговорни ако нисте предузели разумне мере да спречите или ублажите утицај
Шта се сматра разумним мерама?
- Документована обука о безбедности
- Редовне симулације фишинга
- Јаке контроле приступа и праћење
- Јасни планови реаговања
Судови и регулаторна тела процењују да ли је пропуст био предвидив и да ли сте били непажљиви у спречавању истог.
Обучен и добро информисан тим је ваша најбоља правна одбрана.
Како фишинг симулације помажу
Фишинг симулације нису само ИТ алат — оне су алат за управљање усаглашеношћу и правним ризицима.
Предности укључују:
- Доказивање дужне пажње током ревизија
- Смањење шансе за стварне пропусте
- Едукација запослених кроз примере из стварног живота
- Евидентирање показатеља и побољшања током времена
Платформе као што је AutoPhish олакшавају ово малим и средњим предузећима:
- Тестови за фишинг генерисани вештачком интелигенцијом
- У потпуности у складу са GDPR-ом
- Не прикупљају се стварни подаци
- Континуиране метрике за одговорност
"Обучавамо наше људе" је добра прича. "Симулирамо, извештавамо и унапређујемо" је боља.
Завршне мисли: Документујте све
Када су у питању инциденти везани за фишинг, ваша документација је ваша полиса осигурања. Ако регулатор позове, морате показати:
- Када је обука одржана
- Како су симулације спроведене
- Колико сте брзо реаговали на пропуст
- Да ли су погођени корисници обавештени (и када)
✅ Водите евиденцију ✅ Редовно ажурирајте своје политике ✅ Сарађујте са правним и ИТ одељењем
Закон може опростити грешку — али не и недостатак припреме.
🧑⚖️ Увек се консултујте са правним саветником како бисте ускладили свој програм сајбер безбедности са локалним законима и захтевима специфичним за сектор.