Koju novu prijetnju Kordia izvješće za 2026. identificira osim krađe podataka?

Izvješće ističe nepravilnu upotrebu umjetne inteligencije od strane zaposlenika kao jednu od najprisutnijih novih prijetnji, kao što je unošenje osjetljivih podataka u vanjske AI alate ili korištenje neodobrenih AI platformi od strane osoblja.

Smatra li se zloupotreba AI alata od strane zaposlenika namjernom ili slučajnom?

Prema izvješću, nepravilna upotreba AI alata od strane osoblja uglavnom nije potaknuta zlonamjernom namjerom, već pogodnošću koja nadjačava opreznost.

Zašto osobni podaci bivaju izloženi u tako visokom udjelu uspješnih kibernetičkih incidenata?

Osobni podaci pohranjeni su u više sustava, široko se dijele i redovito im pristupaju zaposlenici na raznim organizacijskim razinama, što znači da svaka uspješna intruzija ima razumnu šansu da dotakne osobne podatke prije nego što bude otkrivena.

Koje vrste organizacija Kordia izvješće anketira?

Kordia izvješće anketira novozelandska poduzeća u različitim sektorima i veličinama, čineći ga regionalnim prikazom toga kako se kibernetički incidenti zapravo odvijaju u praksi.

Kordia izvješće za 2026.: 17% kibernetičkih incidenata u NZ završava krađom podataka

Novoizdano industrijsko izvješće daje precizan broj problemu koji većina organizacija zna da postoji, ali ga teško mjeri: kibernetički incidenti s krađom osobnih podataka sada čine značajan udio svih sigurnosnih događaja. Prema Kordia izvješću o kibernetičkoj sigurnosti novozelandskih poduzeća za 2026. godinu, 17% kibernetičkih incidenata — otprilike jedan od šest — rezultira neovlaštenim pristupom ili krađom osobnih podataka. Uz taj podatak, izvješće ističe i nepravilnu upotrebu umjetne inteligencije od strane zaposlenika kao jednu od najprisutnijih novih prijetnji s kojima se organizacije danas suočavaju.

Zajedno, ovi nalazi ocrtavaju sliku okruženja prijetnji koje se mijenja brže nego što su mnoge konvencionalne obrane izgrađene da bi se s njime nosile.

Što je Kordia izvješće za 2026. zapravo utvrdilo

Kordia izvješće anketira novozelandska poduzeća u različitim sektorima i veličinama, čineći ga jednim od utemeljenijih regionalnih prikaza kako se kibernetički incidenti zapravo odvijaju u praksi. Ključan podatak — da 17% incidenata završava izloženošću osobnih podataka — značajan je jer bilježi konkretan ishod, a ne samo obujam ili vrstu napada.

Mnoga izvješća o kibernetičkoj sigurnosti usredotočuju se na to kako napadi počinju: phishing e-poruke, kompromitirani vjerodajnici, nezakrpani softver. Ovo izvješće skreće pozornost na to gdje napadi završavaju — a za značajan udio, taj završetak je odlazak nečijih osobnih podataka izvan kontrole organizacije. Ta razlika je važna za razumijevanje rizika u terminima koji regulatorima, klijentima i upravnim odborima zapravo nešto znače.

Izvješće također ističe nepravilnu upotrebu umjetne inteligencije od strane osoblja kao novu izazovnu pojavu. To se odnosi na zaposlenike koji unose osjetljive podatke u vanjske alate za umjetnu inteligenciju, koriste neodobrene AI platforme ili dijele povjerljive informacije dok pokušavaju automatizirati svoj rad. U većini slučajeva nije riječ o zlonamjernoj namjeri. Radi se o tome da pogodnost nadjačava opreznost.

Zašto jedan od šest incidenata završava povredom podataka

Podatak od 17% odražava nekoliko strukturnih stvarnosti o tome kako moderne organizacije upravljaju podacima. Osobni podaci obično su pohranjeni u više sustava, široko se dijele unutar organizacija i redovito im pristupaju zaposlenici na raznim razinama. Ta raspršenost znači da svaka uspješna intruzija ima razumnu šansu da dotakne osobne podatke prije nego što bude otkrivena i obuzdana.

Također odražava visoku vrijednost osobnih podataka kao mete. Napadači koji dobiju pristup mreži često specifično traže imena, kontaktne podatke, financijske evidencije i identifikacijske informacije. Ovi podaci imaju izravnu vrijednost preprodaje i mogu se koristiti u naknadnim prijevarama i napadima socijalnog inženjeringa.

Jaz između nastanka incidenta i potvrde da su osobni podaci kompromitirani također je čimbenik. Kašnjenja u otkrivanju daju napadačima više vremena da pronađu i eksfiltriraju najvrednije zapise. Organizacije kojima nedostaju robusno bilježenje, segmentacija ili nadzor vjerojatnije će otkriti povredu tek nakon što su podaci već napustili sustav.

Ovaj obrazac nije jedinstven za Novi Zeland. Usklađen je s onim što su istraživači dokumentirali globalno: regulirani subjekti i dobro opremljene organizacije još uvijek rutinski pogrešno rukuju osobnim podacima, što je istraženo na primjeru EU aplikacije za provjeru dobi koja je probijena u roku od nekoliko minuta od pokretanja, gdje su pretpostavke dizajna o sigurnosti pokazale fatalni optimizam gotovo odmah.

AI prijetnja iznutra koju VPN-ovi sami ne mogu riješiti

Nalaz o upotrebi umjetne inteligencije zaslužuje posebnu pozornost jer predstavlja kategoriju rizika za koju većina postojećih sigurnosnih alata nije osmišljena. Kada zaposlenik zalijepi evidenciju klijenata u javni AI asistent ili koristi neodobreni alat za produktivnost za obradu HR podataka, nijedan vatrozid se ne aktivira, nijedan VPN signal ne pali i nijedan sustav za otkrivanje upada ne podiže alarm. Podaci odlaze potpuno legitimnim kanalom.

To je temeljni problem s izloženošću uzrokovanom iznutra: često izgleda jednako kao normalan rad. VPN osigurava vezu između uređaja i korporativne mreže. Ne regulira što zaposlenik radi s podacima kada im legitimno pristupi. Enkripcija štiti podatke u prijenosu između pouzdanih krajnjih točaka; ne štiti podatke koje ovlašteni korisnik odluči poslati na neovlašteno odredište.

Organizacije koje su uložile znatna sredstva u alate za zaštitu perimetra — uključujući VPN-ove, zaštitu krajnjih točaka i vatrozide — i dalje mogu biti izložene ako nisu riješile ljudski i politički sloj. Kordia nalazi sugeriraju da taj jaz raste kako AI alati postaju jeftiniji, sposobniji i sve više ugrađeni u svakodnevne radne tokove.

Izazov se povećava koliko brzo se mijenja krajolik AI alata. Politika napisana prije šest mjeseci možda ne pokriva platforme koje zaposlenici koriste danas.

Izgradnja obrane privatnosti koja nadilazi VPN-ove

Rješavanje i stope krađe podataka i AI prijetnje iznutra zahtijeva slojevit pristup koji kombinira tehničke kontrole s organizacijskom politikom i edukacijom korisnika.

Na tehničkoj strani, alati za sprječavanje gubitka podataka (DLP) mogu se konfigurirati za otkrivanje slanja osjetljivih kategorija informacija na vanjske platforme, uključujući AI usluge. Mrežni nadzor koji bilježi odlazne prijenose podataka može pomoći u identificiranju neobičnih obrazaca. Kontrole pristupa koje ograničavaju kojim podacima zaposlenici mogu pristupiti smanjuju opseg štete svakog pojedinog incidenta.

Na razini politike, organizacije trebaju jasne, aktualne smjernice o odobrenim AI alatima, koje se kategorije podataka mogu obrađivati izvana i koje su posljedice kršenja politike. Nejasnoća je odgovornost. Zaposlenici koji nisu sigurni je li alat odobren često će ga svejedno koristiti, posebno ako im olakšava posao.

Edukacija korisnika ostaje ključna. Većina zaposlenika koji uzrokuju incidente izloženosti podataka vezane uz AI ne djeluje s zlonamjernom namjerom. Pokušavaju raditi učinkovito. Obuka koja konkretno objašnjava zašto određeni podaci ne smiju ići u vanjske AI alate — a ne samo da ne smiju — obično daje bolju usklađenost od generičkih sigurnosnih podsjetnika.

Za pojedince, izvješće je koristan podsjetnik da provjere koje osobne podatke organizacije o njima čuvaju i kako su zaštićeni. Zakoni poput Kalifornijskog zakona o zaštiti privatnosti potrošača daju nekim potrošačima formalna prava nad njihovim podacima, iako provedba CCPA-e u praksi ima značajne nedostatke, a ostvarivanje tih prava zahtijeva aktivan napor.

Što to znači za vas

Kordia izvješće za 2026. je studija usmjerena na Novi Zeland, ali njeni nalazi odražavaju obrasce prepoznatljive u različitim industrijama i geografskim područjima. Jedan od šest incidenata koji rezultira krađom osobnih podataka značajna je stopa, a pojava nepravilne upotrebe AI kao prijetnje iznutra dodaje novu dimenziju kojoj mnogi sigurnosni programi još uvijek pokušavaju parirati.

Za pojedince, ovo je poticaj da razmisle o tome koje osobne podatke dijele s poslovnim subjektima, koliko bi ih moglo biti izloženo u povredi podataka i koriste li raspoloživa prava za minimiziranje te izloženosti. Za organizacije, izvješće je argument za pomicanje sigurnosnih razgovora izvan alata za zaštitu perimetra prema sveobuhvatnom upravljanju podacima.

Tehničke obrane su neophodne, ali ne i dostatne. Podatak od 17% sugerira da čak i nakon što se incidenti dogode, ograničavanje utjecaja na osobne podatke zahtijeva brzinu, vidljivost i jasne politike koje većina organizacija još uvijek razvija. Pregled vlastitog digitalnog otiska, razumijevanje vaših prava prema primjenjivim zakonima o privatnosti i informiranost o tome kako povrede podataka zapravo nastaju — praktični su prvi koraci koje svatko može poduzeti već danas.