SREDNJA RAZINA
DDoS napadi
DDoS napad je kibernetički napad kojim se web stranica, aplikacija, API ili drugi digitalni servis preopterećuje velikom količinom prometa kako bi postao spor ili nedostupan legitimnim korisnicima. U poslovanju najčešće utječe na dostupnost usluga, razmjenu podataka i kontinuitet digitalnih procesa.
- 9 min čitanja
DEFINICIJA
DDoS napad cilja web-mjesta i poslužitelje ometanjem mrežnih usluga u pokušaju iscrpljivanja resursa aplikacije. Napadači iza tih napada preplavljuju web-mjesto nasumičnim prometom, što rezultira lošom funkcionalnošću web-mjesta ili potpunim izbacivanjem s mreže.
Microsoft; microsoft.com
Obilježja DDoS napada
DDoS napad funkcionira tako da napadač koristi velik broj uređaja (tzv. botnet) koji istovremeno šalju zahtjeve prema jednom sustavu. Sustav ne može obraditi toliku količinu prometa, zbog čega naknadno dolazi do usporavanja ili potpunog pada.
Za razliku od drugih napada, cilj DDoS-a ne krade podatke, nego onemogućuje pristup sustavu. Upravo zato se smatra napadom na dostupnost sustava, što je jedan od elemenata kibernetičke sigurnosti.
DDoS se u praksi najčešće vodi kroz tri glavne kategorije, uz česte multi-vector kombinacije:
- Volumetrijski (Bandwidth Exhaustion)
Napad zasićuje prometnu “cijev” (uplink) ili kapacitet ISP veze. Cilj je isključivo saturacija propusnosti i pad dostupnosti. - Protokolni (State Exhaustion / L3-L4)
Cilj su mrežni uređaji ili stateful komponente (load balancer, firewall, NAT) kroz napade koji iscrpljuju tablice stanja (npr. SYN flood, UDP flood). Učinci su često “kolateralni”, što znači da padaju i sustavi koji nisu primarna meta. - Aplikacijski (L7 / Application Exhaustion)
Napad izgleda kao legitimni promet (HTTP(S), API pozivi), ali je dizajniran da iscrpi aplikacijske resurse (CPU, thread pool, DB konekcije). Ovaj tip je najopasniji za API-ekosustave (eRačuni/ERP integracije) jer se može maskirati u normalne uzorke.
U digitalnom poslovanju posebno su rizični napadi na API sustave jer oni omogućuju razmjenu podataka između sustava, primjerice kod eRačuna. Takvi napadi često izgledaju kao legitimni promet, pa ih je teže prepoznati i zaustaviti.

Phishing

Malware (uključuje ransomware)

DDoS napadi

Hakerski napadi
Zakonske i regulatorne obveze prijave
NIS2 (EU)
NIS2 zahtijeva fazno izvještavanje o značajnim incidentima: early warning unutar 24 sata, incident notification unutar 72 sata, te final report najkasnije mjesec dana nakon notifikacije (uz mogućnost progress reporta kod ongoing incidenta).
U praksi, DDoS incident postaje “reportable” kada ima značajan učinak na kontinuitet usluge ili uzrokuje ozbiljne poremećaje (što je česta situacija kod posrednika).
Hrvatska (Zakon o kibernetičkoj sigurnosti, NN 14/2024)
Zakon definira incident kao događaj koji ugrožava dostupnost/autentičnost/cjelovitost/povjerljivost podataka/usluga. Također propisuje da su ključni i važni subjekti dužni obavijestiti nadležni CSIRT o incidentu koji ima znatan učinak (značajan incident) te, gdje postoji sumnja na kazneno djelo, obavijest dostaviti tijelima kaznenog progona.
DORA (financijski sektor)
DORA se primjenjuje od 17. siječnja 2025. Ako je informacijski posrednik ujedno i subjekt financijskog sektora (npr. institucija za platni promet) ili ICT dobavljač financijskim subjektima, DDoS incidenti ulaze u režim “operativne otpornosti” i incident reporting logiku (uz specifične zahtjeve nadzornih tijela).
GDPR
DDoS sam po sebi u pravilu ne znači povredu osobnih podataka, ali ako se incident kombinira s kompromitacijom ili curenjem podataka, tada vrijedi obveza obavještavanja nadzornog tijela bez nepotrebnog odgađanja i, gdje je izvedivo, najkasnije u 72 sata nakon saznanja o povredi.
Rizici u poslovanju
DDoS napadi u poslovanju predstavljaju operativni rizik jer izravno utječu na dostupnost digitalnih sustava. Kada sustav postane nedostupan, dolazi do prekida u radu, što može uzrokovati kašnjenja, gubitak prihoda i narušavanje poslovnih procesa.
U kontekstu eRačun sustava, nedostupnost znači da poduzetnici ne mogu slati ni zaprimati račune. Time se prekida cijeli proces naplate, knjigovodstva i izvještavanja, što može imati izravan financijski utjecaj na poslovanje.
Dodatni rizik odnosi se na reputaciju i povjerenje korisnika. Čak i kratkotrajni prekidi rada mogu stvoriti percepciju nepouzdanosti sustava, osobito ako se ponavljaju ili traju dulje vrijeme.
U određenim slučajevima, DDoS napadi mogu aktivirati i regulatorne obveze, osobito ako se radi o značajnim incidentima koji utječu na kontinuitet usluge. To znači dodatne administrativne i operativne troškove za organizaciju.
Zbog svega navedenog, DDoS napadi nisu samo tehnički problem, već poslovni rizik koji zahtijeva planiranje, prevenciju i jasne procedure upravljanja incidentima.
Rizici za informacijske posrednike
U sustavima kakve koriste informacijski posrednici, DDoS napadi imaju posebno izražen učinak jer pogađaju samu infrastrukturu razmjene podataka.
Najčešće mete su API sustavi za zaprimanje i slanje dokumenata, autentikacijski servisi te korisnički portali. Ako bilo koji od tih dijelova sustava postane nedostupan, dolazi do prekida u cijelom procesu razmjene.
Za informacijske posrednike to znači da jedan napad može utjecati na velik broj korisnika istovremeno. Posljedice se u tom slučaju ne zaustavljaju samo na jednoj tvrtki, već se prenose kroz cijeli poslovni lanac.
Dodatni rizik je tzv. “dimna zavjesa”, gdje se DDoS koristi kako bi se prikrili drugi sigurnosni incidenti, poput pokušaja neovlaštenog pristupa ili krađe podataka.
Primjeri DDoS napada
DDoS napadi posljednjih godina postaju sve češći i organiziraniji, osobito u kontekstu javnih sustava i kritične infrastrukture.
U Hrvatskoj je 2024. godine zabilježen DDoS napad na sustav Porezne uprave, koji je uzrokovao privremenu nedostupnost web stranica. Iako podaci nisu bili kompromitirani, korisnici nisu mogli pristupiti sustavu, što jasno pokazuje utjecaj na poslovanje.
Na razini Europske unije, DDoS napadi često se koriste u haktivističkim kampanjama. Organizirane skupine ciljaju javne institucije, energetiku i promet kako bi izazvale poremećaje ili poslale političke poruke.
Trendovi pokazuju da su napadi sve dostupniji i jeftiniji za izvođenje, što dodatno povećava rizik za tvrtke koje ovise o digitalnim sustavima.
Kako se zaštititi od DDoS napada
Zaštita od DDoS napada temelji se na višeslojnom pristupu koji uključuje tehničke i organizacijske mjere.
Na tehničkoj razini, ključne mjere uključuju korištenje CDN mreža, zaštitu putem WAF sustava, ograničavanje prometa (rate limiting) i automatsko skaliranje sustava kako bi se podnio povećani broj zahtjeva.
Kod većih napada, zaštita se mora provoditi na razini mreže, odnosno kod pružatelja usluge (ISP ili specijalizirani DDoS provider), jer lokalni sustavi često nemaju dovoljno kapaciteta za obranu.
Organizacijski, važno je imati definirane procedure za upravljanje incidentima, jasno određene odgovornosti i plan komunikacije prema korisnicima i partnerima.
Redovito testiranje sustava i simulacije napada pomažu u pripremi za stvarne situacije i smanjuju vrijeme reakcije.
Za poslovne subjekte, to znači da kibernetička sigurnost više nije samo tehničko pitanje, već regulatorna obveza koja zahtijeva sustavan pristup, kontinuirano ulaganje i suradnju s pouzdanim partnerima. Odabir informacijskog posrednika koji je usklađen s relevantnim standardima i regulativama direktno utječe na sigurnost, zakonitost i kontinuitet poslovanja.
Moglo bi vas zanimati...
Što je razlika između DoS i DDoS napada?
DoS (Denial of Service) napad dolazi s jednog izvora i obično je ograničenog opsega. DDoS (Distributed Denial of Service) koristi velik broj uređaja (botnet), zbog čega je znatno snažniji i teže ga je zaustaviti. U praksi, većina ozbiljnih napada danas je distribuirana (DDoS).
Može li DDoS dovesti do krađe podataka ili je riječ samo o nedostupnosti?
DDoS primarno uzrokuje nedostupnost sustava i ne uključuje krađu podataka. Međutim, može se koristiti kao „dimna zavjesa“ za druge napade (npr. phishing ili malware), zbog čega uvijek treba provjeriti postoji li dodatna sigurnosna prijetnja.
Zašto su API sustavi (npr. eRačuni) posebno osjetljivi na L7 DDoS?
API sustavi obrađuju stvarne poslovne zahtjeve (npr. slanje eRačun), pa napad može izgledati kao legitimna aktivnost. To otežava detekciju i može brzo iscrpiti resurse sustava, što dovodi do prekida razmjene podataka i poslovnih procesa.
Kada DDoS postaje “značajan incident” i kome se prijavljuje?
DDoS se smatra značajnim incidentom kada uzrokuje prekid rada, kašnjenja ili utječe na velik broj korisnika. U tom slučaju obveznici prema NIS2 direktivi i Zakonu o kibernetičkoj sigurnosti moraju prijaviti incident nadležnom CSIRT-u i regulatornim tijelima.
Trebam li prijaviti DDoS kao povredu osobnih podataka (GDPR)?
Ne, DDoS sam po sebi nije povreda podataka jer ne uključuje krađu ili gubitak informacija. Međutim, ako tijekom napada dođe do kompromitacije podataka, tada nastaje obveza prijave prema GDPR-u u roku od 72 sata.
Koliko je često potrebno testirati DDoS plan i koje metrike pratiti?
Preporučuje se testiranje najmanje 1–2 puta godišnje kroz simulacije napada. Metrike uključuju količinu prometa, vrijeme odziva, stopu grešaka i opterećenje sustava. Praćenje tih pokazatelja omogućuje bržu reakciju i smanjenje posljedica napada.