Zašto su javni podaci o kibernetičkim incidentima u Hrvatskoj tako rijetki?

Bliži nam se kraj 2025. godine. Iza nas je mjesec kibernetičke sigurnosti, trgovci već pripremaju Black Friday, a mnogi od nas polako ulaze u mentalne pripreme za Božić. No, dok jedni razmišljaju o popustima i poklonima, drugi – možda malo neobičniji među nama – s nestrpljenjem iščekuju kada će izaći nove statistike iz kibernetičkog svijeta.
‍
Kraj godine uvijek je vrijeme refleksije: gledamo što se događalo, što smo naučili i koliko smo zapravo napredovali. U području kibernetičke sigurnosti to znači uspoređivati trendove, gledati brojke i pitati se – kako Hrvatska zapravo stoji? Jer dok velike globalne kompanije objavljuju izvještaje o prijetnjama u EU i SAD-u, naš domaći prostor ostaje tih, gotovo nevidljiv. Kao da kibernetička prijetnja prestaje na granici Schengena.

Kibernetički napad koji ne postoji – dok ga ne priznamo
‍
Kibernetički napad je poput vjetra koji prođe kroz krošnje: čuješ ga, osjetiš ga, vidiš tragove  ali rijetko vidiš sam vjetar. U našem digitalnom krajoliku, napadi se događaju tiho i često ostaju neizrečeni. Ono što izlazi u javnost tek je mali, uredno zapakirani presjek stvarnosti, dok većina ostaje u zoni “internog rješavanja”, pravnih obveza minimalne transparentnosti i reputacijskih kalkulacija.

Što zapravo znamo iz javnih brojki
‍
Dva su službena izvora koja najkonkretnije govore o “onome što je došlo do papira”: Nacionalni CERT (CERT-HR) i statistika Ministarstva unutarnjih poslova (MUP). Nacionalni CERT je za posljednju cjelovitu godinu, 2024., izvijestio da je obradio 1.113 kibernetičkih incidenata, pri čemu je phishing činio 58% svih obrađenih slučajeva. Zabilježeno je i 189.255 botova (zaraženih računala), što je porast u odnosu na 2023. godinu.
‍
Ako pogledamo kaznena djela iz domene kibernetičkog kriminaliteta, MUP-ov Statistički pregled za 2024. bilježi 2.390 prijavljenih kaznenih djela (2023.: 2.032). U toj strukturi prednjače računalne prijevare (1.946), ali su vidljivi i segmenti poput neovlaštenog pristupa, oštećenja podataka i dr. To je “kaznenopravno zrcalo” digitalnih napada, dakle dio koji je ušao u kazneni postupak.
‍
Kada govorimo o prijetnjama s elementima državnog ili organiziranog djelovanja, SOA u javnim izvješćima naglašava rast složenijih kibernetičkih prijetnji. Primjerice, u 2024. istaknuto je 38 takvih slučajeva, broj koji je više indikator trenda nego presjek svih napada.
‍
Drugim riječima: imamo dva različita prozora u isti krajolik – CERT za operativne incidente u [.]hr prostoru i MUP za kaznena djela – i svaki mjeri drugačiji aspekt istog fenomena.

Koliko ih zapravo ima
‍
Tu ulazimo u “tamnu brojku”: sve ono što nije prijavljeno, nije prepoznato ili je ostalo izvan formalnih kanala. Istraživanja pokazuju da 60–75% žrtava cyber-napada ne prijavi incident – iz straha, neznanja ili zbog uvjerenja da “nema smisla”.
Ako taj raspon primijenimo na hrvatske podatke (2.390 prijavljenih kaznenih djela), realan broj kibernetičkih napada mogao bi biti između 6.000 i 9.500 godišnje, a to ne uključuje tehničke incidente koji ne prelaze prag kaznenog djela.

CERT-ova brojka od 1.113 obrađenih incidenata tako je samo vrh sante leda. Ispod površine nalazi se digitalni ocean tišine, u kojem se većina događaja ni ne prepoznaje kao napad, nego kao “problem s računalom”.

Zašto se o tome šuti
‍
Tišina je često strateška. Reputacijski rizik, pravna neizvjesnost, strah od gubitka povjerenja i poslovne štete guraju incidente u “unutarnje krugove”. Usto, donedavno fragmentirana praksa prijavljivanja (razni kanali, različite obveze po sektorima) i manjak zajedničkog jezika otežavali su usporedivost podataka.
‍
Hrvatska je 2025. napravila važan iskorak uvođenjem Nacionalne taksonomije kibernetičkih incidenata, zajedničkog rječnika koji pomaže da institucije i tvrtke govore istim jezikom o vrstama i ozbiljnosti napada. To je civilizacijski pomak, ali tek početak procesa koji treba dovesti do stvarne otvorenosti.

NIS2 – pravni okvir koji traži glas
‍
Tu na scenu stupa NIS2, europska direktiva koja je postala stvarnost i u Hrvatskoj. Ona ne samo da proširuje krug obveznika, već i definira rokove za prijavu incidenata – prvo upozorenje unutar 24 sata, detaljno izvješće u 72 sata. Uz to, nadležni CSIRT (u Hrvatskoj - CERT-HR/NCSC-HR) mora bez odgađanja pružiti povratne informacije.
‍
Drugim riječima, NIS2 traži glas. Traži da se napad ne skriva, nego prijavi, analizira, prenese u zajedničku bazu iskustva. Traži da shvatimo da je svaka prijava zapravo kolektivna obrana.
U tom smislu, 2025. bi mogla postati godina preokreta, godina u kojoj će hrvatski subjekti, pod pritiskom regulative, ali i uz pomoć novih alata poput platforme PiXi, početi sustavno graditi vidljivost kibernetičkih prijetnji.

Cyber osviještenost: između navike i odluke
‍
Iako se svijest o kibernetičkim prijetnjama povećava, cyber higijena u Hrvatskoj još uvijek nije na razini svakodnevne prakse. Phishing kampanje i dalje prolaze, ljudi klikaju na lažne e-mailove, lozinke se dijele među kolegama, sigurnosne kopije ne postoje. U društvu u kojem “malo tko zna tko je naš nacionalni CERT”, cyber sigurnost je često tretirana kao IT tehnikalija, a ne kao dio organizacijske kulture.
‍
Prava osviještenost počinje kad shvatimo da kibernetička sigurnost nije tehnički, već etički problem - pitanje odgovornosti prema korisnicima, zaposlenicima i zajednici. U trenutku kada incident sakrijemo, činimo isto što i onaj tko ga je izazvao: radimo u sjeni.

Što možemo učiniti
‍
Otvorenost se ne gradi preko noći. Ali male promjene znače puno:
• prijavljivati incidente bez srama, jer prijava nije priznanje slabosti, nego dokaz odgovornosti;
• koristiti nacionalnu taksonomiju i prijavne platforme, kako bi incidenti postali mjerljivi i usporedivi;
• poticati dijalog između javnog i privatnog sektora, gdje se informacije dijele umjesto da se skrivaju.
‍
Svaka prijava, svaka objava i svaka analiza pomažu zajednici da postane otpornija. U digitalnom svijetu, sigurnost nije individualna, ona je kolektivna disciplina.

Zaključak: između vjetra i stabla
‍
Nietzsche je napisao da “činjenice ne postoje, postoje samo interpretacije”. U cyber sigurnosti, činjenice postoje – ali njihova vidljivost ovisi o našoj volji da ih priznamo.
‍
Zasad znamo da je 2024. zabilježeno 1.113 incidenata u CERT-u i 2.390 kaznenih djela prema MUP-u. Znamo i da je stvarna slika vjerojatno višestruko veća. Ono što ne znamo, a trebali bismo, jest kako promijeniti kulturu šutnje u kulturu dijeljenja.
Kada se o napadima bude govorilo otvoreno, bez senzacionalizma, ali s profesionalnom iskrenošću, Hrvatska će imati ne samo više podataka, već i otporniji digitalni identitet.

‍