Eugen Antić
Sve češći 'tihi upadi' u blindirana vozila u Hrvatskoj pokazuju jasan trend: kriminalne skupine stalno mijenjaju taktiku, ciljajući na proceduralne slabosti i ljudske pogreške, a ne samo na snagu oklopa. Da bi ostale korak ispred, zaštitarske tvrtke moraju uvesti sustavne i rigorozne provjere svojih procedura, opreme i ljudi. Dva ključna, ali kod nas zanemarena alata u tome su stres-testovi i sigurnosni auditi. To su metode koje u razvijenim sigurnosnim sustavima već godinama otkrivaju ranjivosti prije nego što ih kriminalci iskoriste.
No, o ovim se pojmovima u Hrvatskoj rijetko govori – ne samo izvan, već i unutar stručnih krugova. Zašto? Vjerojatno zato što se uvođenja stres-testova i audita mnogi pribojavaju – i među niže i više rangiranim zaposlenicima pa čak i u upravama sigurnosnih poduzeća. Takvi postupci nužno razotkrivaju propuste, odgovornost i ponekad neugodne istine o sustavu, a to zahtijeva i djelovanje. A djelovati znači mijenjati ustaljene navike, procedure i odnose moći, što nerijetko dovodi do napetosti i narušavanja međuljudskih odnosa. Često je, nažalost, lakše održavati privid sigurnosti nego se suočiti s njezinim stvarnim stanjem.
Javnost često svjedoči pljačkama i propustima na naslovnicama, ali rijetko čuje da postoje proaktivni načini za predviđanje i sprječavanje takvih rizika. Stres-testovi i auditi u osnovi su isto što i temeljit liječnički pregled za čovjeka – preventivna dijagnostika koja pokazuje zdravlje ili bolest sustava. U svijetu sigurnosti vrijedi pravilo: bolje je pronaći slabost na kontroliranom testiranju nego je vidjeti iskorištenu na naslovnicama novina.
Što su stres-testovi?
Stres-testovi su simulacije stvarnih prijetnji. Njihova svrha nije samo provjeriti što sustav zna, nego izvući na površinu sve slabosti pod pritiskom. U praksi to znači lažne pokušaje upada u vozila ili objekte, provjeru reakcijskog vremena te pridržavanja protokola u izvanrednim situacijama. Dio testiranja uključuje i „Red Team“ vježbe (napadne simulacije op.a.), u kojima posebno obučeni timovi pokušavaju prevariti cjelokupni sigurnosni sustav koristeći fizičke, proceduralne i metode socijalnog inženjeringa.
Cilj nije diskreditirati ljude na terenu, nego osigurati da se pogreške isprave u kontroliranim uvjetima — prije nego što postanu skupi, opasni ili čak fatalni incidenti.
Što su sigurnosni auditi?
Za razliku od stres-testova, koji simuliraju napad, sigurnosni auditi su detaljna, sustavna i dokumentirana provjera cijelog sigurnosnog lanca. Obuhvaćaju tehničke mjere poput provjere brava, alarma, GPS nadzora te stanja i ispravnosti elektrokemijske opreme u vozilima za transport novca.
Istodobno se provjeravaju organizacijske procedure, uključujući planiranje ruta, protokole za distribuciju novca i sustav komunikacije. Ključan dio je i procjena ljudskog faktora, što obuhvaća obuku, disciplinu i, realno, zadovoljstvo zaposlenika — uključujući plaće — jer bez motiviranih i pošteno plaćenih ljudi i najbolje procedure padaju u vodu.
Konačno, audit provjerava i dokumentaciju te usklađenost s nacionalnim i EU-standardima i internim pravilima. Može se reći da je audit „rendgensko snimanje“ sustava koje pokazuje gdje su proceduralne rupe, koje mjere funkcioniraju samo na papiru te gdje je nužno ulagati u bolju opremu ili educiranu radnu snagu.
Zašto su potrebni baš sada?
Nacionalni signal u obliku porasta 'tihih upada' u Hrvatskoj jasan je dokaz da kriminalci već koriste ljudske pogreške i proceduralne slabosti. Istodobno, regionalni rizik raste jer Italija i druge države EU bilježe niz brutalnih prepada s eksplozivom i dugim cijevima. Ako kriminalne mreže osjete pritisak u jednoj državi, lako će se prebaciti u drugu — čime Hrvatska, sa slabije testiranim zaštitarskim sustavom, postaje očita meta.
S obzirom na to, EU-standardni koje Europol i CEPOL promiču godinama upozoravaju da su zajedničke obuke, razmjena podataka i usklađivanje tehničkih standarda jedini način obrane od prekograničnih kriminalnih mreža.
Najavljeni i nenajavljeni stres-testovi
Stres-testovi se provode u dvije ključne varijante, koje imaju različitu svrhu. Najavljeni testovi prvenstveno služe edukaciji i uvježbavanju procedura; posada zna da će biti testirana, ali ne i točan scenarij. Njihova je prednost što omogućuju uvježbavanje i ispravljanje grešaka u kontroliranim uvjetima, ali s druge strane, posada je u „modu testiranja“, pa reakcija nije realna.
Nenajavljeni testovi, pak, pružaju najrealniju sliku stvarne ranjivosti sustava jer im je cilj otkrivanje stvarnog ponašanja i proceduralnih rupa. Upravo zato nose i veći rizik: moguća je panika ili opasnost od nasilne reakcije, jer zaštitari mogu pomisliti da se radi o pravom napadu. Kako bi se taj rizik smanjio, presudno je da se nenajavljeni testovi provode uz strogu kontrolu i sudjelovanje nadređenih koje zaštitari osobno poznaju. Zaposlenici moraju unaprijed znati da tvrtka ima praksu provođenja takvih provjera, a scenariji moraju biti apsolutno bez upotrebe oružja ili fizičkog nasilja.
Kombinacija ova dva pristupa daje najbolji rezultat: s jedne strane educira ljude, a s druge otkriva kritične sistemske ranjivosti.
Stres-testovi i sigurnosni auditi nisu luksuz, već investicija u opstanak. Njihov cilj nije, i ne bi smio biti, kažnjavanje zaposlenika, nego lociranje i uklanjanje rupa u sustavu prije nego što ih kriminalne mreže iskoriste. Hrvatska je već suočena s „tihim upadima“. Ako želimo da zaštitarski sektor bude spreman za moguće prelijevanje brutalnijih scenarija iz EU-a i zaštitu od tihih upada, uvođenje redovitih, profesionalno vođenih i neovisnih provjera sigurnosti imperativ je. U suprotnom, pitanje je samo kada, a ne hoće li se propusti skupo platiti — a tada će za preventivu biti prekasno.