УНИВЕРЗИТЕТ У БЕОГРАДУ

ФАКУЛТЕТ БЕЗБЕДНОСТИ

ЉУДСКИ ФАКТОР У САЈБЕР БЕЗБЕДНОСТИ

семинарски рад

ПРОФЕСОР: Др Ана Ковачевић СТУДЕНТИ: Даница Манојловић 7/19

Лана Сировица 17/19

Огњен Јанковић 42/19

Београд, 2023
 САДРЖАЈ
1. УВОД...............................................................................................3
2. ПСИХОЛОГИЈА САЈБЕР БЕЗБЕДНОСТИ...........................5
2. МОДЕЛИРАЊЕ ПРЕТЊЕ.........................................................7
3. СОЦИЈАЛНИ ИНЖЕЊЕРИНГ................................................9
3.1 Обука и свест...............................................................................13
3.2 Важност обуке и подизања свести о сајбер безбедности........13
3.3 Ефикасне методе обуке..............................................................13
4. УНУТРАШЊЕ ПРЕТЊЕ..........................................................15
4.1. Ублажавање унутрашњих претњи...........................................16
5. БЕЗБЕДНОСТ ЛОЗИНКЕ........................................................18
5.1 Кориснички интерфејс и употребљивост.................................20
5.2 Утицај културе на сајбер безбедност........................................22
6. БУДУЋНОСТ САЈБЕР-БЕЗБЕДНОСТИ КОЈЕ СЕ
ОДНОСИ НА ЉУДЕ......................................................................24
7. ЗАКЉУЧАК.................................................................................26
8.ЛИТЕРАТУРА..............................................................................27

2
 1. УВОД

Људски фактор у сајбер безбедности односи се на улогу коју људи играју у

безбедности дигиталних система и заштити осетљивих информација. Обухвата начине
на које људско понашање, доношење одлука и психологија могу утицати на безбедност
дигиталних система и података које они садрже.

Упркос широкој употреби напредне технологије и софистицираних безбедносних мера,

сајбер напади остају значајна претња организацијама свих величина. У многим
случајевима, ови напади нису успешни због техничких слабости у систему, већ због
људских рањивости које сајбер напади могу да искористе.

Због тога је разумевање људског фактора у сајбер безбедности веома важно.

Препознајући начине на које људско понашање може да створи безбедносне ризике,
организације могу предузети кораке да ублаже ове ризике и ојачају свој укупни
безбедносни став. Ово може укључивати мере као што су обука запослених и програми
подизања свести, строжија контрола приступа и захтеви за проверу аутентичности, и
развој безбедносних протокола који узимају у обзир људско понашање и доношење
одлука.

Поред тога, како употреба технологије постаје све присутнија у нашим личним и
професионалним животима, разумевање људског фактора у сајбер безбедности постало
је значајније него икад пре. Проучавајући начине на које се људско понашање укршта
са дигиталном безбедношћу, истраживачи и практичари могу развити ефикасније
безбедносне мере и бољу заштиту од претњи сајбер напада који се стално развија.

Као што је напоменуто, суштински људски фактор у сајбер безбедности односи се на

начине на које људско понашање, доношење одлука и психологија могу утицати на
безбедност дигиталних система и података које они садрже. С тога разумевање овог
фактора је кључно је за организације које желе да ублаже ризике сајбер безбедности и
заштите од претњи сајбер напада у данашњем свету вођеном технологијом.

Људски фактор у сајбер безбедности је сложено и вишеструко питање, а постоји низ

различитих фактора који могу допринети безбедносним пропустима. На пример,
запослени могу ненамерно изложити осетљиве информације кроз лошу праксу

3
управљања лозинкама или могу постати жртве fishing (фишинг) напада који
искоришћавају њихово поверење и тактику социјалног инжењеринга. У другим
случајевима, инсајдери са злонамерном намером могу намерно да искористе
безбедносне слабости да украду податке или нанесу штету организацији.

Да би се у потпуности разумео људски фактор у сајбер безбедности, неопходно је

размотрити широк спектар психолошких фактора и фактора понашања. Ово може
укључивати проучавање процеса доношења одлука код људи, идентификовање
уобичајених когнитивних предрасуда и хеуристика које могу довести до лоших
безбедносних одлука или истраживање утицаја особина личности или културних
разлика на безбедносне праксе.

Упркос изазовима везаним за проучавање људског фактора у сајбер безбедности, међу

стручњацима за безбедност и истраживачима све је веће признање његовог значаја.
Ово је довело до низа напора усмерених на разумевање и ублажавање ових ризика,
укључујући развој безбедносних протокола усмерених на корисника, спровођење
програма обуке и подизања свести за запослене, као и коришћење алата за анализу
понашања за идентификацију потенцијалних безбедносних претњи.

Људски фактор у сајбер безбедности је критично питање које организације морају да

реше како би се ефикасно заштитиле од претњи у сајбер простору. Препознајући
начине на које људско понашање може створити безбедносне пропусте, организације
могу предузети кораке да ублаже ове ризике и развију ефикасније мере безбедности.
Иако не постоји јединствено решење за сложено питање сајбер безбедности
фокусиране на људе, континуирано истраживање и сарадња између стручњака за
безбедност, истраживача и организација биће од суштинског значаја за развој
ефикасних решења у годинама које долазе.

4
2. ПСИХОЛОГИЈА САЈБЕР БЕЗБЕДНОСТИ

Област сајбер безбедности се често посматра као техничко питање, са фокусом на

имплементацију заштитних зидова, шифровања и других технолошких решења за
заштиту од сајбер претњи. Међутим, психологија сајбер безбедности је подједнако
важна и не може се занемарити. Људске предрасуде, емоције и процеси доношења
одлука могу играти значајну улогу у сајбер безбедности, а разумевање ових фактора је
кључно за ефикасне мере сајбер безбедности. Људске предрасуде су један од
најзначајнијих изазова у сајбер безбедности. Појединци често имају унапред створене
идеје о безбедности и безбедности својих дигиталних уређаја и могу бити мање
опрезни него што би требало да буду. Ово може довести до лоших безбедносних
пракси, као што је коришћење слабих лозинки или дељење података за пријаву са
другима. То такође може довести до недостатка скептицизма када се прикаже
сумњивим имејловима или везама, што може олакшати сајбер криминалцима да
искоришћавају ове особе.

Емоције такође могу имати значајан утицај на сајбер безбедност. Страх, анксиозност и
друге емоције могу замаглити расуђивање и довести до импулсивних одлука које могу
угрозити безбедност. На пример, већа је вероватноћа да ће појединац кликнути на линк
у е-поруци за „пецање“ ако се осећа узнемирено или преоптерећено, чак и ако зна да
треба да буде опрезан. Разумевање како емоције могу утицати на доношење одлука је
кључно за развој ефикасних безбедносних протокола.

Додатно, појединци могу дати предност погодностима или једноставности коришћења

у односу на безбедност, што их наводи да користе исту лозинку за више налога или да
изаберу једноставну лозинку коју је лако запамтити. У другим случајевима, појединци
могу бити превише сигурни у своју способност да открију и избегну сајбер претње,
што их доводи до непотребног ризика.

Да бисмо одговорили на ове изазове, важно је разумети основну психологију сајбер

безбедности. Ово може укључивати идентификацију уобичајених когнитивних
предрасуда и хеуристика које могу довести до лоших безбедносних одлука или
проучавање како емоције могу утицати на понашање у вези са безбедношћу.

5
Разумевањем ових фактора, организације могу развити ефикасније безбедносне
протоколе који узимају у обзир психолошке аспекте сајбер безбедности.

На пример, обука за подизање свести о безбедности може помоћи појединцима да

разумеју утицај њихових предрасуда, емоција и процеса доношења одлука на сајбер
безбедност. Ова обука такође може пружити појединцима практичне савете за
побољшање њихових безбедносних пракси, као што је коришћење сложених лозинки,
омогућавање двофакторске аутентификације и скептичнији према сумњивим
имејловима или линковима.

Један од најважнијих аспеката разумевања психологије сајбер безбедности је

препознавање да то није само техничко, већ и људско питање. То значи да се мере
сајбер безбедности не могу једноставно ослањати само на технолошка решења, већ
морају да размотре и начине на које људско понашање може да створи рањивости. На
пример, чак и најбезбеднија политика лозинки биће неефикасна ако запослени нису
мотивисани или обучени да је прате.

Још један важан фактор који треба узети у обзир када се бавимо психологијом сајбер
безбедности је улога организационе културе. Култура организације може имати
значајан утицај на сајбер безбедност, јер обликује ставове и понашања запослених
према безбедносним праксама. На пример, организација која даје предност брзини и
ефикасности у односу на безбедност може ненамерно подстаћи запослене да користе
пречице које угрожавају безбедност. С друге стране, организација која цени безбедност
и пружа редовну обуку и подршку запосленима може бити успешнија у стварању
културе свести о сајбер безбедности. Поред организационе културе, важно је
размотрити и шири друштвени и културни контекст у коме сајбер безбедност делује.
Ово може укључивати проучавање утицаја културних норми на безбедносне праксе
или разматрање начина на које пол или старост могу утицати на ставове према сајбер
безбедности. Препознавањем ових ширих фактора, организације могу развити
ефикасније безбедносне протоколе који узимају у обзир различитост људских
искустава и перспектива.

Коначно, важно је препознати да је психологија сајбер-безбедности област која се брзо

развија, са новим истраживањима и увидима који се појављују све време. Као такве,
организације морају остати будне и прилагодљиве како би одржале корак са овим
развојем и осигурале да њихове безбедносне мере остану ефикасне. Ово може

6
укључивати редовно преиспитивање и ажурирање безбедносних протокола, улагање у
сталну обуку запослених и програме подизања свести, и ангажовање са широм
истраживачком заједницом како би били у току са новим увидима и најбољим
праксама. Суштински, овај домен безбедности и одбране од сајбер напада нзахтева
свеобухватан приступ који узима у обзир како организациону културу тако и
друштвени и културни контекст, и текућа истраживања и прилагођавање.

2. МОДЕЛИРАЊЕ ПРЕТЊЕ

Моделирање претњи је важан процес који стручњаци за безбедност користе да

идентификују и анализирају потенцијалне претње сајбер безбедности за систем или
организацију. Разумевањем како људско понашање може да створи рањивости,
стручњаци за безбедност могу предвидети и ублажити потенцијалне претње сајбер
безбедности.

Један кључни аспект моделирања претњи је разумевање мотивације потенцијалних

нападача. Сајбер криминалци су често мотивисани финансијском добити, али могу
бити мотивисани и политичким или идеолошким разлозима, или једноставно
зависници од хаковања. Разумевањем мотивације потенцијалних нападача, стручњаци
за безбедност могу предвидети врсте напада који могу бити усмерени на одређени
систем или организацију.

Други важан аспект моделирања претњи је разумевање рањивости људског елемента у

сајбер безбедности. На пример, напади социјалног инжењеринга се ослањају на
манипулисање људским понашањем како би се добио приступ осетљивим
информацијама или системима. Ови напади могу имати различите облике, као што су
fishing(фишинг) електронске поруке или лажне странице, и често су успешни јер
искоришћавају људске рањивости као што су поверење и радозналост.

Предвиђањем ових врста напада, стручњаци за безбедност могу да проактивно развију

противмере као што су програми обуке запослених који образују појединце о томе како
да идентификују и избегну нападе социјалног инжењеринга. Поред тога, стручњаци за
безбедност могу применити техничке контроле као што је вишефакторска

7
аутентификација, што може помоћи у спречавању неовлашћеног приступа осетљивим
информацијама или системима.

Разумевање људског понашања је такође важно када је у питању процена ефикасности

безбедносних контрола. На пример, стручњаци за безбедност могу применити
техничке контроле као што су заштитни зидови или системи за откривање упада, али
ако запослени нису мотивисани или обучени да прате безбедносне протоколе, ове
контроле могу бити неефикасне. Разумевањем утицаја људског понашања на
безбедносне контроле, стручњаци за безбедност могу развити ефикасније мере
безбедности које узимају у обзир људски елемент сајбер безбедности.

Поред предвиђања и ублажавања потенцијалних претњи, моделирање претњи такође

може помоћи организацијама да дају приоритет својим безбедносним ресурсима.
Идентификујући најзначајније претње систему или организацији, стручњаци за
безбедност могу да усмере своје ресурсе на области које су најрањивије. Ово може
укључивати улагање у техничке контроле, обуку запослених или друге безбедносне
мере које се баве најхитнијим претњама.

Моделирање претњи се такође може користити за идентификацију и ублажавање

потенцијалних унутрашњих претњи, које је често теже открити и адресирати него
спољне претње. Унутрашње претње могу имати различите облике, као што су
запослени који намерно или ненамерно одају осетљиве информације или запослени
који користе свој приступ системима или мрежама за личну корист.

Разумевање људских фактора који доприносе унутрашњим претњама може помоћи

организацијама да развију ефикасне контроле за спречавање и откривање ових врста
претњи. На пример, примена контрола приступа које ограничавају приступ запосленог
осетљивим информацијама или системима на основу њихове функције посла може
помоћи у спречавању случајних или намерних повреда података. Редовна безбедносна
обука и програми подизања свести такође могу помоћи запосленима да схвате важност
поштовања безбедносних протокола и пријављивања било каквог сумњивог понашања.

Други начин на који разумевање људског понашања може помоћи у ублажавању

потенцијалних претњи је разматрање корисничког искуства приликом дизајнирања
безбедносних контрола. Ако су безбедносне контроле сувише тешке или дуготрајне да
би их користили, мање је вероватно да ће их следити или ће пронаћи решења која

8
стварају рањивости. Дизајнирањем безбедносних контрола које су лаке за корисника и
које се неприметно интегришу у ток посла, организације могу помоћи да се осигура да
ће запослени вероватније поштовати безбедносне протоколе и смањити ризик од сајбер
претњи.

Коначно, моделирање претњи такође може помоћи организацијама да се припреме за

сајбер нападе и одговоре на њих. Предвиђањем потенцијалних претњи и развојем
планова реаговања, организације могу да минимизирају утицај напада и смање време
до опоравка. Ово захтева свеобухватан приступ који укључује техничку контролу,
обуку запослених и редовно тестирање и преглед планова реаговања како би се
осигурало да они остану ефикасни.

Суштински разумевање људског понашања је од суштинског значаја за ефикасно

моделирање претњи у сајбер простору. Идентификовањем и ублажавањем
потенцијалних претњи које се ослањају на људске рањивости, организације могу да
развију ефикасније безбедносне контроле, да дају приоритет ресурсима, да спрече и
открију унутрашње претње и да се припреме за сајбер нападе и одговоре на њих.
Предвиђањем и ублажавањем потенцијалних претњи које се ослањају на људску
рањивост, стручњаци за безбедност могу да развију ефикасније мере безбедности које
узимају у обзир људски елемент сајбер безбедности. Ово захтева свеобухватан приступ
који укључује техничке контроле, обуку запослених и стално праћење и прилагођавање
променљивим претњама.

3. СОЦИЈАЛНИ ИНЖЕЊЕРИНГ

Социјални инжењеринг је облик манипулације појединцима са циљем да се наведу да

ураде нешто што иначе не би урадили, а односи се на испуњење неких захтева које је
поставио нападач (Мандић, 2015). То укључује искоришћавање људских рањивости
као што су поверење, страх и радозналост за добијање неовлашћеног приступа
системима, мрежама или подацима и информацијама.

9
Један уобичајени пример социјалног инжењеринга је fishing (фишинг). Fishing
(фишинг) је облик(форма) социјалног инжењеринга у којем нападач покушава да
преваром дође до поверљивих информација од жрвте, лажно се представљајући као
страна од поверења (Jagatic et al., 2005). У fishing (фишинг) нападу, нападач шаље е-
пошту или поруку за коју се чини да долази из легитимног извора, као што је банка или
продавац на мрежи. Порука обично садржи везу или прилог који, када се кликне,
инсталира малвер на уређај жртве или води жртву на лажну страницу за пријављивање
где се од ње тражи да унесе своје акредитиве за пријаву. Нападач тада може да користи
ове акредитиве да добије неовлашћени приступ налогу жртве. Такозвано Пецање
(fishing) је једна од најчешћих и најефикаснијих техника социјалног инжењеринга које
користе приликом сајбер напада. То укључује слање лажних е-порука или порука за
које се чини да долазе из легитимног извора, као што је банка, платформа друштвених
медија или онлајн продавац, у покушају да се прималац превари да открије осетљиве
информације, као што су акредитиви за пријаву или личне идентификационе
информације.

Да би се заштитиле од fishing (фишинг) напада, организације могу применити неколико

мера:

 Едукација и обука запослених

Један од најефикаснијих начина заштите од fishing (фишинг) напада је едукација
запослених о томе како да их идентификују и избегну. Ово укључује пружање
редовне обуке за подизање свести о безбедности која покрива најновије технике и
тактике за крађу идентитета, као и како и коме пријавити е-поруке или поруке за
које се сумња да су fishing (фишинг).

 Техничкa контролa

Организације, такође, могу применити техничку контролу која помаже у откривању и

спречавању fishing (фишинг) напада. Ово укључује филтере електронске поште који
могу да открију и блокирају сумњиве е-маил поруке или поруке пре него што стигну у
пријемно сандуче запослених, као и веб филтере који могу да блокирају приступ
познатим сајтовима за fishing (фишинг).

10
  Вишефакторска аутентификација

Вишефакторска аутентификација може помоћи у спречавању нападача да користи

украдене акредитиве за пријаву да би добио приступ осетљивим системима или
подацима. Захтевајући додатни облик аутентификације, као што је текстуална порука
или биометријско скенирање, организације могу отежати нападачима приступ
осетљивим информацијама.

 Планирање реаговања на инциденте

Коначно, организације треба да имају јасан план реаговања на инциденте како би

помогли у одговору на успешан фишинг напад. Ово укључује идентификовање
одговарајућих заинтересованих страна, успостављање комуникационих протокола и
увежбавање процедура реаговања кроз редовне стоне вежбе. Стоне вежбе су сесије
засноване на дискусији где се чланови тима састају у неформалном окружењу у
учионици како би разговарали о својим улогама током ванредне ситуације и својим
одговорима на одређену ванредну ситуацију. Поред ових мера, запослени треба да
буду обучени да траже одређене сумњиве знакове када су у питању fishing (фишинг)
мејлови, као што су сумњиви линкови или прилози, захтеви за осетљивим
информацијама и хитан или претећи језик. Запослене такође треба подстицати да
пријаве сумњиве е-маилове или поруке свом ИТ одељењу, чак и ако нису сигурни да
ли је у питању покушај fishing (фишинг). Најпростије речено fishing (фишинг) је
уобичајена и ефикасна техника социјалног инжењеринга коју користе сајбер
криминалци да би добили приступ осетљивим информацијама. Код ове врсте
извршења социјалног инжењеринга користе се лажне интернет странице. Овде се мета
напада наводи да уради нешто што иначе не би урадила, односно да оде на лажни сајт
и на тај начин компромитује своје информације. Имплементацијом свих ових горе
наведених мера могу помоћи да се заштите од ових врста напада. Још један пример
социјалног инжењеринга је изговор. Pretexting (претекстовање) укључује стварање
лажног наратива како би се стекло поверење жртве и добиле осетљиве информације.
На пример, нападач се може представљати као техничар ИТ службе за помоћ и
контактирати запосленог, тврдећи да му требају њихови акредитиви за пријаву да би
решио технички проблем. Нападач тада може да користи ове акредитиве да добије
приступ осетљивим информацијама или системима.

11
Baiting (бејтинг) је још једна техника социјалног инжењеринга која укључује
намамљивање жртве нечим вредним како би се добиле њихове осетљиве информације
или приступ њиховом систему. На пример, нападач може оставити УСБ диск који
садржи малициозни програм на јавном месту, као што је кафић. Ако неко подигне УСБ
диск и убаци га у свој уређај, малициозни програм ће бити инсталиран и нападач ће
моћи да приступи њиховом систему. Fishing (фишинг), лажно представљање и мамац
само су неки од примера техника социјалног инжењеринга. Друге технике
укључују ,,quid pro quo”(услуга за услугу), где нападач нуди нешто од вредности у
замену за осетљиве информације. Tailgaiting (тејлгејтинг)је врста напада социјалног
инжењеринга где неовлашћена особа добија физички приступ недозвољеној локацији
— можда области заштићеној лозинком — где могу украсти осетљиве информације,
оштетити имовину, компромитовати корисничке акредитиве или чак инсталирати
маициозни програм на рачунаре. Социјални инжењеринг је техника коју користе сајбер
криминалци да искористе људске рањивости и добију неовлашћени приступ системима
или осетљивим информацијама. Разумевањем техника које се користе у нападима
социјалног инжењеринга и едукацијом запослених о томе како да их идентификују и
избегну, организације могу помоћи у спречавању ових врста напада и заштитити своје
податке и системе. Нападе социјалног инжењеринга је тешко открити јер се ослањају
на људске рањивости, а не на техничке рањивости система или мрежа. Међутим,
постоји неколико корака које организације могу предузети да би се заштитиле од
напада социјалног инжењеринга. Један важан корак је да се запосленима обезбеди
редовна обука о безбедности. Ова обука треба да обухвати различите врсте напада
социјалног инжењеринга и да пружи упутства о томе како да их идентификујемо и
избегнемо. Запослени такође треба да буду поучени о важности да никада не деле
осетљиве информације, као што су акредитиви за пријаву или личне идентификационе
информације, путем телефона или е-поште, осим ако нису апсолутно сигурни у
идентитет особе која тражи информације.
Организације такође могу применити техничку контроле како би спречиле нападе
социјалног инжењеринга. На пример, филтери за е-пошту могу да се користе за
откривање и блокирање фишинг порука е-поште пре него што стигну у пријемно
сандуче запослених. Вишефакторска аутентификација се такође може користити да би
отежало нападачима приступ системима или мрежама користећи украдене акредитиве.

12
Организације могу да развију и тестирају планове реаговања на инциденте како би се
уверили да су припремљени да одговори на напад социјалног инжењеринга ако до њега
дође. Ово укључује идентификацију заинтересоване стране, успостављање
комуникационих протокола и вежбање одговора процедура кроз редовне стоне вежбе.
Социјални инжењеринг је техника коју користе сајбер криминалци да експлоатишу
људске рањивости да би остварили неовлашћени приступ системима или осетљивим
информацијама.

3.1 Обука и свест

Организација заправо побољшава своју безбедност тако што се фокусира више на људе
и њихов рад, а мање на технологију. Ово може да се постигне на различите начине:
путем представљања свесности о безбедности свим запосленима, извођењем обуке,
побољшавањем безбедносне културе у организацији и константим ојачавањем и
награђивањем запослених који промовишу безбедност (Tipton et al., 2006). Обука и
свест играју кључну улогу у заштити организација од сајбер претњи. Запослени су
често прва линија одбране од сајбер напада и, као такви, кључно је да имају знања и
вештине да идентификују потенцијалне претње и одговоре на њих.

3.2 Важност обуке и подизања свести о сајбер безбедности

Један од примарних разлога зашто су обука о сајбер безбедности и подизање свести

важни је зато што може помоћи у спречавању безбедносних инцидената на првом
месту. Много кршења безбедности настају услед људске грешке или немара, као што
су запослени који постају жртве фишинг превара или непридржавање одговарајућих
смерница за лозинку. Едукацијом запослених о најбољим праксама за сајбер
безбедности, организације могу да смање вероватноћу да дође до оваквих инцидената.
Адекватним планом и програмом едукације штету можемо свести на минимум или је у
потпуности елиминисати.

3.3 Ефикасне методе обуке

13
Постоји неколико ефикасних метода обуке које организације могу да користе за
едукацију запослених о најбољим праксама сајбер безбедности:

 Модули за обуку на мрежи

Модули за обуку на мрежи могу бити ефикасан начин да се обезбеди

доследност и свеобухватну обуку запослених о сајбер безбедности. Ови модули
могу покрити широк низ тема, као што су безбедност лозинке, свест о фишинг-у
и безбедно прегледање интернета навике.

 Вежбе симулације фишинга

Симулиране вежбе фишингаг-а могу се користити за тестирање запослених;

способност да се идентификују и избегну фишинг преваре. Ове вежбе укључују
слање симулираног фишинг-а е-поруке запосленима и праћење њихове стопе
одговора. Ово може помоћи да се идентификују области у којима запосленима
може бити потребна додатна обука и образовање.

 Сесије обуке у учионици

Обуке у учионици могу бити ефикасан начин да се обезбеди практична обука

запослених о сајбер безбедности. Ове сесије могу покрити низ тема, од основне
најбоље праксе за сајбер безбедност на напредније теме, као што је планирање
реаговања на инциденте.

 Кампање подизања свести о сајбер безбедности

Кампање подизања свести о сајбер безбедности могу помоћи у одржавању

сајбер безбедности првом месту везану за запослене. Ове кампање могу
укључивати постере, билтене и друге материјале који пружају савете и
подсетнике за безбедно коришћење рачунара.

Поред ових метода обуке, важно је редовно прегледати и ажурирати сајбер

безбедносне политике и процедуре како би се осигурало да остану релевантне и
делотворне. Ово укључује спровођење редовних процена ризика да би се
идентификовале потенцијалне рањивости и ажурирање политика и процедуре за
решавање нових претњи и трендова у сајбер безбедности.

14
Обука и свест су кључне компоненте сваког ефикасног програма сајбер безбедности.
Едукација запослених о најбољим праксама за сајбер безбедност и обезбеђивање
редовне обуке и кампање подизања свести, организације могу смањити ризик од
безбедносних инцидената и боље заштитити њихове системе и податке.

Штавише, важно је напоменути да обука о сајбер безбедности и подизање свести није

једнократни догађај већ процес који је у току. Сајбер претње се стално развијају, а
запослени то морају бити опремљни знањем и вештинама да би се прилагодили и
одговорили на нове претње. Дакле, треба спровести редовну обуку и кампање
подизања свести како би се обезбедило да запослени буду у току са најновијим и
најбољим праксама за сајбер безбедност.

Такође је важно да обука о сајбер безбедности и подизање свести буду приоритет у

целом свету организација. То значи да виши менаџмент треба да буде активно укључен
у унапређење најбоље праксе сајбер безбедности и постављање примера за друге
запослене. Додатно, обуку о сајбер безбедности треба интегрисати у процес
укључивања нових запослених, као и могућности сталног професионалног развоја за
постојеће особље.

На крају, организације такође треба да обезбеде запосленима алате и ресурсе

неопходне за то подржавају њихове напоре за сајбер безбедност. Ово може укључивати
пружање приступа антивирусном софтверу, заштитне зидове и друге безбедносне
алате, као и пружање упутства о томе како да безбедно приступите и користите ресурсе
компаније када радите на даљину.

Обука о сајбер безбедности и свест су суштинска компонента сваког ефикасног

програм сајбер безбедности. Едукацијом запослених о најбољим праксама за сајбер
безбедност, организације могу смањити ризик од безбедносних инцидената и боље
заштитити своје системе и података. Ефикасне методе обуке, редовно ажурирање
политика и процедура и култура свест о сајбер безбедности и одговорност у целој
организацији могу помоћи да се обезбеди да су запослени опремљени да идентификују
и реагују на потенцијалне претње.

15
4. УНУТРАШЊЕ ПРЕТЊЕ

Унутрашње претње(инсајдери) представљају значајан ризик за организације, јер могу

проузроковати значајну штету по податке и системе из организације. Људски фактори
могу допринети унутрашњим претњама, пошто запослени који имају приступ
осетљивим подацима могу намерно или ненамерно да злоупотребе. Унутрашње
носиоце угрожавања представљају сва физичка лица која су засновала неки облик
радног односа са правним лицем и на тај начин постала његови запослени (Мандић &
Станојевић, 2021).

Људски фактори који доприносе инсајдерским претњама:

Унутрашње претње могу бити узроковане низом људских фактора, укључујући:

 Злонамерна намера: Запослени могу намерно да злоупотребе свој приступ

осетљивим подацима или системима ради личне користи или наношења штете
организацији.
 Непажња: Запослени могу нехотице изложити осетљиве информације или
оштетити системе непажњом или недостатком пажње.
 Немар: Запослени можда неће поштовати одговарајуће безбедносне протоколе,
као што је коришћење слабих лозинке или дељење акредитива за пријаву.
 Недостатак свести: Запослени можда нису свесни потенцијалних последица
својих поступака или важност заштите осетљивих података.

4.1. Ублажавање унутрашњих претњи

Организације могу предузети неколико корака како би ублажиле ризик од

инсајдерских претњи, укључујући:

 Спровођење провере прошлости: Спровођење провере прошлости запослених

пре него што буду ангажовани могу помоћи у идентификацији било каквог
претходног понашања које може указивати на потенцијални ризик.
 Приступ заснован на улози: Имплементација система контроле приступа
заснованог на улогама може помоћи да се ограничи приступ осетљиве податке и

16
 системе само оним запосленима којима су потребни за обављање радних
функција.
 Праћење и ревизија: Примена система за праћење и ревизију може помоћи да се
открије било шта сумњиве активности, као што је неовлашћени приступ или
ексфилтрација података.
 Обука и подизање свести: Пружање редовне обуке и кампања подизања свести
запослених на важност најбоље праксе за сајбер безбедност и потенцијалне
последице инсајдера претње могу помоћи у ублажавању овог ризика.
 Спровођење безбедносних контрола: Спровођење техничких безбедносних
контрола, као што су заштитни зидови, системи за откривање упада и системи
за спречавање губитка података могу помоћи у спречавању или откривању
унутрашње претње.
 Стварање културе безбедности: Стварање културе безбедности унутар
организације, где запослени се подстичу да пријаве сваку сумњиву активност и
преузму власништво над својом улогом заштита осетљивих података, може
помоћи у смањењу ризика од инсајдерских претњи. Безбедносна култура је скуп
усвојених ставова, знања, вештина и правила из области безбедности
испољених као понашање и процес, о потреби, начинима и средствима заштите
личности, друштвених и међународних вредности од свих извора, облика и
носилаца угрожавања без обзира на мести или време њиховог испољавања
(Стајић и други, 2004).

Унутрашње претње представљају значајан ризик за организације, јер могу

проузроковати значајну штету из унутар организације. Људски фактори, као што су зле
намере, немар, немар, и недостатак свести, може допринети инсајдерским претњама.
Ублажавање овог ризика захтева а комбинација техничких безбедносних контрола,
надзора и ревизије, обуке и свести, и стварање културе безбедности унутар
организације. Предузимајући ове кораке, организације могу боље да се заштите од
инсајдерских претњи и минимизирају потенцијалну штету изазване овим инцидентима.

Поред тога, важно је имати јасне политике и процедуре за пријављивање сумњиве

активности или потенцијалне инсајдерске претње. Запослени треба да знају коме да се
обрате и које кораке предузети ако примете било какво необично понашање или
активност. Ово може помоћи у откривању потенцијала претње рано и спречи их да
нанесу значајну штету организацији.
17
Редовне ревизије и процене безбедности такође могу помоћи да се идентификују
потенцијалне рањивости или слабости у безбедносном ставу организације, укључујући
оне које могу допринети инсајдерске претње. Ове ревизије могу помоћи да се осигура
да су безбедносне контроле ефикасне, а политике јесу се прате, а запослени су свесни
своје улоге у заштити осетљивих података.

Организације би такође требале да имају план за реаговање на инсајдерске претње ако

постоје настају. Овај план треба да садржи кораке за обуздавање претње, истрагу
инцидента, и обавештавање надлежних органа ако је потребно. Имати јасан и добро
дефинисан план може помоћи минимизирати утицај инсајдерске претње и смањити
могућност даљег оштећења организација.

Унутрашње претње представљају значајан ризик за организације јер запослени у

правном лицу представљају његову највећу вредност али уједно и потенцијалну
опасност. Ублажавање инсајдерских претњи захтева комбинацију техничке
безбедности контроле, надзор и ревизија, обука и свест, стварање културе безбедности,
и имају јасне политике и процедуре. Предузимајући ове кораке, организације могу
боље да се заштите од инсајдерских претњи и минимизирају потенцијалну штету коју
оне изазивају инциденти.

5. БЕЗБЕДНОСТ ЛОЗИНКЕ

Безбедност лозинке је критичан аспект сајбер безбедности, а људски фактори могу да

играју значајну улогу у одређивању снаге безбедности лозинке организације. У овом
делу ће се расправљати о утицају људских фактора на безбедност лозинки, укључујући
коришћење слабих лозинки, поновну употребу лозинке и дељење лозинки, и понудиће
стратегије за ублажавање ових ризика.

Један од најчешћих људских фактора који могу угрозити сигурност лозинки је

употреба слабих лозинки. Многи корисници бирају лозинке које је лако погодити или
које могу лако да упамте, као што су „123456“, „пассворд“ или „кверти“. Ове лозинке
су подложне нападима, у којима нападач покушава да погоди лозинку покушавајући
различите комбинације знакова док не пронађе исправну.

18
Још један уобичајени проблем је поновна употреба лозинке, где корисници користе
исту лозинку на више налога. Ово је посебно проблематично јер ако је једна лозинка
угрожена, она се може користити за приступ вишеструким налозима. Ово може
резултирати значајним кршењем података и финансијским губицима како за појединце
тако и за организације.

Такође, дељење лозинке може допринети безбедносним ризицима лозинке. Запослени

могу да деле лозинке са колегама или да их запишу и оставе на видном месту, што
олакшава неовлашћеним корисницима приступ осетљивим подацима.

Да би ублажиле ове ризике, организације би требало да примене јаке политике лозинки

које захтевају од корисника да креирају сложене лозинке које укључују мешавину
великих и малих слова, бројева и симбола. Лозинке треба да буду довољно дугачке да
спрече нападе грубом силом, а од корисника би требало захтевати да их редовно
мењају.

Организације такође могу да имплементирају вишефакторску аутентификацију, која

захтева од корисника да пруже додатни доказ идентитета, као што је отисак прста или
код послат на њихов мобилни уређај, поред лозинке. Ово може знатно отежати
нападачима приступ осетљивим подацима, чак и ако успеју да добију лозинку.

Штавише, запослени треба да буду обучени да избегавају поновну употребу и дељење

лозинки. Треба их едуковати да користе менаџере лозинки, који могу безбедно да
чувају лозинке и генеришу сложене, јединствене лозинке за сваки налог. Поред тога,
запослене треба научити да препознају фишинг преваре и друге тактике социјалног
инжењеринга, које се могу користити за добијање лозинки путем обмане.

На крају, људски фактори могу имати значајан утицај на сигурност лозинки, а

организације морају предузети кораке да ублаже ове ризике. Применом јаких политика
лозинки, коришћењем вишефакторске аутентификације и обезбеђивањем обуке и
свести за запослене, организације могу да побољшају своју безбедност лозинки и боље
заштите своје осетљиве податке.

Поред тога, организације такође могу размотрити имплементацију решења за

аутентификацију без лозинке која у потпуности уклањају потребу за лозинкама.

19
Аутентификација без лозинке користи различите факторе аутентификације као што су
биометријска аутентификација (препознавање лица, скенирање отиска прста, итд.) или
аутентификација заснована на токенима (паметне картице, УСБ кључеви, итд.) за
аутентификацију корисника. Ово може помоћи у ублажавању ризика повезаних са
слабим лозинкама, поновном употребом лозинке и дељењем лозинке.

Међутим, важно је напоменути да аутентификација без лозинке није решење за све и

захтева пажљиво разматрање и имплементацију како би се осигурало да испуњава
безбедносне потребе организације. На пример, биометријски подаци за
аутентификацију морају се безбедно чувати и преносити, а уређајима за
аутентификацију заснованим на токенима мора се пажљиво управљати како би се
спречио губитак или крађа.

Редовне ревизије безбедности лозинки и процене рањивости такође могу помоћи да се

идентификују слабости у безбедносним праксама организације. Ове процене могу да
идентификују уобичајене проблеме везане за лозинку, као што су слабе лозинке,
поновна употреба лозинке и дељење лозинке, и дају препоруке за побољшање
безбедности лозинке.

Коначно, важно је одржавати отворене канале комуникације са запосленима како би се

осигурало да разумеју важност заштите лозинки и потенцијалне последице лоше
праксе лозинке. Запослене треба подстицати да пријаве сваку сумњиву активност у
вези са сигурношћу лозинке, као што су необични покушаји пријављивања или
неовлашћени приступ осетљивим подацима.

Укратко, безбедност лозинком је критичан аспект сајбер безбедности, а људски

фактори могу значајно утицати на ефикасност безбедносних пракси организације.
Имплементацијом јаких политика лозинки, вишефакторске аутентификације,
аутентификације без лозинке, редовних процена рањивости и програма обуке и
подизања свести запослених, организације могу да побољшају своју безбедност
лозинки и боље заштите своје осетљиве податке.

5.1 Кориснички интерфејс и употребљивост

20
Кориснички интерфејси (УИ) играју кључну улогу у сајбер безбедности јер су
примарно средство помоћу којег корисници комуницирају са рачунарским системима и
апликацијама. Лоше дизајниран кориснички интерфејс може створити рањивости које
могу да искористе сајбер нападачи, док добро дизајниран кориснички интерфејс може
помоћи у ублажавању ових ризика и побољшању укупне безбедности система.

Једна уобичајена рањивост корисничког интерфејса је употреба обмањујућих или

збуњујућих језика или елемената дизајна који могу да наведу кориснике да изврше
ненамерне радње. На пример, е-пошта може да користи лажну страницу за пријаву која
изгледа идентично легитимној страници за пријаву, али са мало другачијим УРЛ-ом
или изгледом. Корисници који нису упознати са легитимном страницом могу да унесу
своје акредитиве за пријаву на лажну страницу, несвесно дајући нападачу своје
податке за пријаву.

Да би решили овај проблем, дизајнери корисничког интерфејса морају да обезбеде да

су интерфејси дизајнирани на јасан и интуитиван начин, са језиком и елементима
дизајна који тачно одражавају намеравану акцију. На пример, дугмад треба да буду
означена јасним и концизним језиком, а корисницима треба дати повратне
информације које указују да је радња успешно обављена.

Поред јасноће и једноставности, кориснички интерфејси такође морају бити

дизајнирани са безбедношћу на уму. На пример, поља за унос лозинке треба да буду
дизајнирана да спрече сурфовање по рамену, где нападач може да види лозинку док се
куца. Поред тога, интерфејси треба да буду дизајнирани тако да спрече неовлашћени
приступ, на пример имплементацијом вишефакторске аутентификације или
ограничавањем покушаја пријављивања.

Међутим, важно је уравнотежити употребљивост и сигурност у дизајну корисничког

интерфејса. Превише сложене или гломазне безбедносне мере могу довести до
фрустрације корисника и на крају смањити безбедност система јер корисници могу
покушати да заобиђу безбедносне мере. Стога, дизајнери корисничког интерфејса
морају настојати да успоставе равнотежу између безбедности и употребљивости,
примењујући мере безбедности које су и ефикасне и лаке за коришћење.

Укратко, кориснички интерфејси играју кључну улогу у сајбер безбедности и морају

бити дизајнирани имајући на уму и безбедност и употребљивост. Дизајнери

21
корисничког интерфејса морају да настоје да креирају интерфејсе који су јасни,
интуитивни и тачно одражавају намеравану акцију, док истовремено примењују
ефикасне безбедносне мере које штите кориснике и спречавају неовлашћени приступ.
Успостављањем равнотеже између употребљивости и сигурности, организације могу
побољшати укупну сигурност својих система истовремено осигуравајући позитивно
корисничко искуство.

Штавише, дизајнери корисничког интерфејса треба да узму у обзир контекст

корисника када дизајнирају мере безбедности. На пример, ако корисник приступа
систему са мобилног уређаја, кориснички интерфејс би требало да буде оптимизован за
мању величину екрана и унос додиром. Поред тога, дизајн треба да узме у обзир
потенцијалне сметње или прекиде до којих може доћи док корисник користи систем.

Још једно важно питање у дизајну корисничког интерфејса је коришћење повратних

информација. Повратне информације могу помоћи корисницима да разумеју радње
које предузимају и пруже осећај контроле над системом. Повратне информације се
такође могу користити да се назначи када су безбедносне мере на снази, на пример
када је лозинка успешно промењена или када је покушај пријављивања блокиран.

Такође је важно да дизајнери корисничког интерфејса буду у току са најновијим

најбољим безбедносним праксама и да их уграде у своје дизајне. На пример,
коришћење шеме боја за коју је тестирано да је лака за очи, као што је тамни режим,
може смањити напрезање очију и помоћи корисницима да се усредсреде на
безбедносне аспекте корисничког интерфејса.

Коначно, дизајнери корисничког интерфејса морају блиско сарађивати са

професионалцима за безбедност како би осигурали да су њихови дизајни усклађени са
укупном безбедносном стратегијом организације. Ово може укључивати спровођење
тестирања корисника како би се осигурало да су мере безбедности ефикасне и
прилагођене кориснику, или укључивање безбедносне обуке у дизајн корисничког
интерфејса.

На крају, дизајн корисничких интерфејса има значајан утицај на укупну безбедност

система. Дизајнери корисничког интерфејса морају настојати да креирају интерфејсе
који су и лаки за корисника и безбедни, успостављајући равнотежу између

22
употребљивости и безбедности. Узимајући у обзир контекст корисника, пружајући
повратне информације, уграђујући најбоље праксе и блиско сарађујући са
професионалцима за безбедност, дизајнери корисничког интерфејса могу помоћи да се
ублаже безбедносни ризици и побољша укупна безбедност система.

5.2 Утицај културе на сајбер безбедност

Култура може да игра значајну улогу у сајбер безбедности, јер различите културне
вредности, веровања и ставови могу утицати на то како појединци перципирају и
реагују на безбедносне претње. На пример, у неким културама, дељење личних
података може бити уобичајеније и прихваћеније него у другим, што може повећати
ризик да постанете жртва пхишинг-а или напада социјалног инжењеринга. Поред тога,
културолошке разлике у стиловима комуникације и хијерархијама могу утицати на то
како запослени пријављују безбедносне инциденте или комуницирају са ИТ
одељењима. Приликом осмишљавања безбедносних мера, важно је узети у обзир
културолошке факторе и прилагодити безбедносне политике и обуку тако да буду
културолошки прикладни. Ово може укључивати обезбеђивање материјала за обуку на
различитим језицима, укључивање културних референци у кампање подизања свести о
безбедности или прилагођавање политика у складу са културним нормама.
Препознавањем и бављењем културним разликама, организације могу побољшати
ефикасност својих мера сајбер безбедности и смањити ризик од безбедносних
инцидената.

Такође је важно узети у обзир културолошке факторе када спроводите мере

безбедности које се ослањају на понашање корисника. На пример, безбедносна
политика која захтева од запослених да редовно мењају своје лозинке може наићи на
отпор у културама где се стабилност и континуитет високо цене. У таквим случајевима
може бити ефикасније применити друге мере безбедности које су мање наметљиве или
које се сматрају мање оптерећујућим, као што је вишефакторска аутентификација или
биометријска идентификација.

23
Друго разматрање је потенцијални утицај културних предрасуда на моделирање
претњи и процену ризика. Стручњаци за безбедност морају бити свесни сопствених
културних предрасуда и претпоставки, јер оне могу утицати на то како идентификују и
процењују потенцијалне претње. Поред тога, културолошке разлике могу утицати на то
како се одређене врсте напада перципирају и на њих се реагује. На пример, у неким
културама може се сматрати табуом пријављивање безбедносног инцидента спољним
властима, што може довести до кашњења у времену реаговања или недовољног
пријављивања инцидената.

Такође, разумевање културних разлика је кључно за ефикасне мере сајбер безбедности.

Узимајући у обзир културолошке факторе приликом дизајнирања безбедносних
политика, програма обуке и процене ризика, организације могу да смање ризик од
безбедносних инцидената и побољшају укупну безбедносну позицију организације.
Поред тога, стручњаци за безбедност морају бити свесни сопствених културних
предрасуда и радити на ублажавању њиховог утицаја на моделирање претњи и процену
ризика.

6. БУДУЋНОСТ САЈБЕР-БЕЗБЕДНОСТИ КОЈЕ СЕ ОДНОСИ НА

ЉУДЕ

Област сајбер безбедности усмерене на човека брзо се развија, јер истраживачи настоје
да боље разумеју сложену интеракцију између технологије и људског понашања. Како
технологија наставља да напредује, претње сајбер безбедности такође постају све
софистицираније, што покреће потребу за новим и иновативним приступима
безбедности.

Један од трендова у настајању у истраживању сајбер безбедности усмерених на човека

је употреба вештачке интелигенције и машинског учења за боље разумевање и
предвиђање људског понашања. Анализом великих скупова података о понашању
корисника, стручњаци за безбедност могу да идентификују обрасце и аномалије које
могу указивати на потенцијалну безбедносну претњу. Поред тога, вештачка
интелигенција може да се користи за аутоматизацију одређених безбедносних задатака,

24
као што су откривање и блокирање покушаја крађе идентитета, ослобађање ресурса за
сложеније безбедносне изазове.

Још један тренд је употреба гамификације и понашања како би се подстакли корисници

да усвоје сигурније понашање. На пример, неке компаније користе технике
гејмификације како би подстакле запослене да заврше модуле безбедносне обуке, док
друге користе подстицаје у понашању да подстакну кориснике да бирају јаче лозинке
или омогуће вишефакторску аутентификацију.

Гледајући унапред, вероватно је да ће будућност сајбер безбедности бити све више

фокусирана на приступе усмерене на човека, јер истраживачи настављају да препознају
важност разумевања људског понашања у ублажавању претњи сајбер безбедности.
Можемо очекивати даљи напредак у вештачкој интелигенцији и машинском учењу, као
и повећан фокус на дизајнирању корисничких интерфејса који су прилагођени
корисницима и сигурни. Поред тога, како Интернет ствари наставља да расте, можемо
очекивати да ћемо видети повећан нагласак на обезбеђењу уређаја и система који чине
ову међусобно повезану мрежу.

Будућност сајбер безбедности усредсређене на човека вероватно ће карактерисати

континуиране иновације и све веће препознавање значаја разумевања људског
понашања у ублажавању безбедносних претњи. Како технологија наставља да се
развија, истраживачи и практичари ће морати да се прилагоде и развију нове стратегије
и приступе како би држали корак са новим претњама.

Још једна област новонасталих истраживања сајбер безбедности усмерене на човека је

пресек приватности и безбедности. Како појединци постају све забринутији за своју
приватност на мрежи, стручњаци за безбедност ће морати да уравнотеже потребу за
безбедношћу са потребом за приватношћу. Ово ће захтевати нијансираније разумевање
људског понашања, укључујући како појединци перципирају и вреднују сопствену
приватност и које врсте безбедносних мера су спремни да прихвате да би заштитили
своје личне податке.

Штавише, како свет постаје све више међусобно повезан, значај глобалне сарадње у
сајбер безбедности наставиће да расте. Различите културе и земље могу имати
различите ставове према сајбер безбедности и приватности, што ће захтевати
нијансираније разумевање културних разлика и начина на који оне утичу на сајбер

25
безбедност. Као такви, међународни стандарди и смернице за сајбер безбедност
постаће све важнији како би се осигурало да се глобалне безбедносне претње решавају
на координисан и ефикасан начин.

Коначно, све већа употреба мобилних уређаја и Интернета ствари (ИоТ) такође ће
представљати нове изазове и могућности за сајбер безбедност усредсређену на човека.
Како се све више уређаја повезује на интернет, тако ће се повећати и потенцијална
површина напада за сајбер криминалце. Ово ће захтевати нове приступе обезбеђењу
уређаја и система који чине ИоТ, као и нове стратегије за едукацију корисника о
ризицима и најбољим праксама у вези са овим технологијама.

Укратко, будућност сајбер безбедности усредсређене на човека ће вероватно бити

окарактерисана сталним истраживањем и иновацијама, са сталним фокусом на
разумевању и ублажавању утицаја људског понашања на сајбер безбедност. Како
технологија наставља да се развија, истраживачи и практичари ће морати да се
прилагоде и развију нове стратегије како би држали корак са новим претњама,
узимајући у обзир и променљиве ставове и очекивања корисника у све повезанијем и
глобализованијем свету.

26
7. ЗАКЉУЧАК

Људски фактор игра кључну улогу у сајбер безбедности. Како сајбер претње постају
све софистицираније и распрострањеније, јасно је да технологија сама по себи не може
да пружи потпуно решење за ове изазове. Уместо тога, потребан је приступ сајбер
безбедности усмерен на човека, који узима у обзир сложене и често непредвидиве
начине на које људско понашање може утицати на безбедност дигиталних система.

У овом раду истражили смо низ тема везаних за људски фактор у сајбер безбедности,
укључујући психологију сајбер безбедности, друштвени инжењеринг, моделирање
претњи, инсајдерске претње, безбедност лозинки, кориснички интерфејс и
употребљивост, и утицај културе на сајбер безбедност. безбедност. Свака од ових
области наглашава начине на које људско понашање може допринети и рањивости и
отпорности дигиталних система.

Ефикасна сајбер безбедност захтева вишеструки приступ који укључује и техничка

решења и стратегије усмерене на људе. Ове стратегије могу укључивати програме
обуке и подизања свести, развој безбедних интерфејса прилагођених кориснику,
усвајање најбољих пракси за безбедност лозинки и других безбедносних протокола, и
интеграцију културних разматрања у безбедносно планирање и имплементацију.

Како технологија наставља да се развија, значај сајбер безбедности усмерене на човека

ће само наставити да расте. Истраживања у овој области су у току, а све време се
појављују нови увиди и стратегије. На крају, успех било ког програма сајбер
безбедности зависиће од његове способности да се прилагоди и еволуира како би
задовољио променљиве потребе и изазове дигиталног пејзажа. Узимајући приступ
сајбер безбедности усредсређен на човека, можемо да изградимо сигурније и отпорније
дигиталне системе који могу да издрже претње будућности.

27
8. ЛИТЕРАТУРА

 Dhamija, R., Tygar, J. D., & Hearst, M. A. (2006). Why phishing works. In
Proceedings of the SIGCHI Conference on Human Factors in Computing Systems
(pp. 581-590). ACM.
 Kirlappos, I., Parkin, S., & Sasse, M. A. (2016). Not all warnings are equal: Exploring
the characteristics of computer security warnings. International Journal of Human-
Computer Studies, 93, 1-17.
 Mitnick, K. D., & Simon, W. L. (2002). The art of deception: Controlling the human
element of security. John Wiley & Sons.
 National Institute of Standards and Technology. (2017). NIST special publication
800-53: Security and privacy controls for federal information systems and
organizations.
 Nguyen, T. D., Nguyen, Q. H., & Thai, M. T. (2016). Human factors in information
security: The insider threat–a review. Journal of Information Security and
Applications, 28, 145-152.
 Sasse, M. A., Brostoff, S., & Weirich, D. (2001). Transforming the weakest link: A
human/computer interaction approach to usable and effective security. BT technology
journal, 19(3), 122-131.
 Sheng, S., Holbrook, M., Kumaraguru, P., & Cranor, L. F. (2010). Who falls for
phishng: A demographic analysis of phishing susceptibility and effectiveness of
interventions. In Proceedings of the SIGCHI Conference on Human Factors in
Computing Systems (pp. 373-382). ACM.
 Vance, A., Siponen, M., & Pahnila, S. (2012). Motivating IS security compliance:
insights from habit and protection motivation theory. Information & Management,
49(3-4), 190-198.
 Von Solms, R., & Von Solms, S. H. (2004). From information security to cyber
security. Computers & Security, 23(8), 638-643.
 Whitman, M. E., & Mattord, H. J. (2017). Management of Information Security.
Cengage Learning.
 Мандић, Г., Станојевић, П. (2021). Корпоративна безбедност. Београд:
Универзитет у Београду-Факултет безбедности.
 Стајић, Љ., (2003). Основи безбедности. Београд: Полицијска академија.

28