البائع هو الآن سطح الهجوم
على مدار عقد من الزمان، ركزت فرق الأمن المؤسسي على الدفاع عن المحيط: تأمين الشبكة، حماية النقاط النهائية، التحكم في الوصول إلى الأنظمة الداخلية. كان نموذج التهديد يفترض أن المهاجمين سيحاولون اختراق المنظمة مباشرة.
تظهر بيانات انتهاكات SaaS لعام 2024 أن هذا النموذج قد عفا عليه الزمن. تزايدت انتهاكات SaaS بنسبة 300% في عام 2024، وفقًا لتقرير تهديد أمان SaaS لعام 2025 من Obsidian Security. لم يعد المهاجمون يستهدفون المنظمات مباشرة - بل يستهدفون بائعي SaaS الذين تثق بهم تلك المنظمات ببياناتها.
عندما يكون بائعك هو سطح الهجوم، فإن حقيقة أن شبكتك الخاصة آمنة تصبح غير ذات صلة. بيانات العملاء، سجلات الموظفين، والمعلومات الحساسة للأعمال التي تمت معالجتها من خلال ذلك البائع موجودة على بنيتهم التحتية، ويمكن الوصول إليها بمفاتيحهم، ومكشوفة عندما تتعرض أنظمتهم للاختراق.
أرقام انتهاكات SaaS لعام 2024
توضح مقياس انتهاكات SaaS لعام 2024 التعرض:
كونديونت تعرضت للاختراق الذي كشف عن 25.9 مليون سجل. تقدم كونديونت خدمات التعهيد لعمليات الأعمال للوكالات الحكومية والشركات الكبيرة - بما في ذلك إدارة المزايا، معالجة المدفوعات، وبوابات خدمات المواطنين. تضمنت السجلات البالغ عددها 25.9 مليون سجلاً أفرادًا تفاعلوا مع الخدمات الحكومية ولم يكن لديهم علم بأن معلوماتهم كانت محفوظة من قبل بائع طرف ثالث.
NHS Digital تعرضت للاختراق الذي أثر على 9 ملايين مريض. كشفت انتهاكات NHS عن بيانات المرضى التي تمت معالجتها من خلال بنية تحتية لبائع SaaS - معلومات سريرية قدمها المرضى لمقدمي الرعاية الصحية ولم يكن لديهم سبب للاعتقاد بأنها تم نقلها إلى منصة طرف ثالث.
هذه ليست حالات شاذة. إنها تمثل الوضع الطبيعي الجديد لتعرض البيانات: انتهاكات واسعة النطاق تؤثر على ملايين الأفراد الذين قدموا بيانات لمنظمات وثقوا بها، والتي نقلتها إلى بائعين لم يعرفهم هؤلاء الأفراد أبدًا.
لماذا تختلف انتهاكات SaaS هيكليًا
تتطلب انتهاكات الشبكة التقليدية من المهاجمين اختراق محيط المنظمة، والتنقل عبر الأنظمة الداخلية، واستخراج البيانات - وهي عملية متعددة المراحل مع العديد من فرص الكشف.
تعمل انتهاكات SaaS بشكل مختلف. المهاجمون الذين يخترقون بائع SaaS يحصلون على الوصول إلى بيانات كل عميل قام بمعالجة المعلومات من خلال ذلك البائع. يؤدي الاختراق الواحد إلى الحصول على سجلات العملاء لعشرات أو مئات من العملاء المؤسسيين في وقت واحد.
تظهر نافذة الاختراق التي تستغرق 9 دقائق - الوقت بين الوصول الأولي واختراق البيانات في بيئات SaaS، وفقًا لبيانات استجابة الحوادث من Obsidian Security - هذا الاختلاف الهيكلي. بمجرد الدخول إلى بنية تحتية للبائع، يواجه المهاجمون بيانات من عدة منظمات مخزنة في بيئة مشتركة. يركز سطح الهجوم القيمة.
بالنسبة للمنظمات التي وقعت اتفاقيات معالجة بيانات متوافقة مع GDPR مع بائعي SaaS، فإن الاختراق لا يلغي المسؤولية عن الامتثال. ينص المادة 82 من GDPR على المسؤولية المشتركة لمعالجي البيانات عن الانتهاكات التي تنتج عن عدم امتثالهم لالتزامات GDPR. لكن المسؤولية المشتركة تتطلب إثبات أن البائع كان غير متوافق - وهو تحقيق معقد يستغرق شهورًا بينما تكون البيانات بالفعل في أيدي المهاجمين.
اتفاقية معالجة البيانات لا تحمي البيانات
يتطلب المادة 28 من GDPR من المنظمات استخدام معالجات تقدم "ضمانات كافية" لتنفيذ تدابير تقنية وتنظيمية مناسبة. اتفاقية معالجة البيانات هي الدليل التعاقدي على تلك الضمانات.
مثل BAA الخاص بـ HIPAA، تتناول DPA العلاقة التعاقدية. إنها لا تتناول الواقع الفني لما يحدث لبياناتك على بنية تحتية للبائع.
قد يقوم بائع SaaS الذي يعمل بموجب DPA متوافق مع GDPR بما يلي:
- تخزين بيانات عملائك باستخدام تشفير من جانب الخادم مع مفاتيح يتحكم بها البائع
- معالجة معلومات موظفيك في بيئة متعددة المستأجرين مشتركة مع عملاء آخرين
- الاحتفاظ بسجلات البيانات، وسجلات المعالجة، والمحتوى المخزن مؤقتًا لفترة أطول من الأغراض المحددة في اتفاقيتك
- تعرض بنيتهم التحتية للاختراق بطريقة تكشف عن كل ما سبق
تخلق DPA التزامات. لكنها لا تخلق حاجزًا تقنيًا لتعرض البيانات. عندما يخترق المهاجمون البائع في 9 دقائق، فإن DPA لا تبطئهم.
الزيادة بنسبة 300% هي تأثير اختيار
تعكس الزيادة بنسبة 300% في انتهاكات SaaS اتجاهين يعملان في وقت واحد.
أولاً، زاد الحجم المطلق للبيانات في منصات SaaS بشكل كبير في عام 2024. مع انتقال المزيد من المنظمات إلى المزيد من العمليات إلى بائعين قائمين على السحابة، زادت البيانات المتاحة في بيئات البائعين بشكل متناسب. المزيد من البيانات على بنية تحتية للبائعين يخلق حافزًا أكبر للمهاجمين لاستهداف بنية تحتية للبائعين.
ثانيًا، تكيف المهاجمون منهجيتهم لتتناسب مع تركيز القيمة. الآن تعالج المنظمات بيانات أكثر حساسية من خلال المزيد من بائعي SaaS أكثر من أي وقت مضى - سجلات العملاء، المعاملات المالية، بيانات الموارد البشرية، الوثائق القانونية، معلومات الرعاية الصحية. أصبحت بائعي SaaS أهدافًا عالية القيمة لأن اختراق بائع واحد ينتج بيانات من العديد من المنظمات.
تصف الرقم 300% تحولًا هيكليًا في الاتجاه الذي تُوجه فيه الهجمات، وليس مجرد زيادة في النشاط الإجرامي العام.
هيكل عدم المعرفة كوسيلة لتخفيف مخاطر البائع
يتطلب التحول المفاهيمي الذي يتطلبه هيكل عدم المعرفة أمرًا بسيطًا: إذا لم يكن بإمكان بائعك أن يُوثق به لحفظ بياناتك بأمان - ليس بسبب أي فشل محدد، ولكن لأن أي بائع يمكن أن يتعرض للاختراق - فإن بياناتك يجب ألا تصل إلى بائعك في شكل يمكن التعرف عليه.
تغير إخفاء الهوية بعدم المعرفة قبل النقل إلى بائعي SaaS تعرض الاختراق بشكل أساسي. عندما يتعرض بائع يستخدم بيانات تمت معالجتها بعدم المعرفة للاختراق:
- يصل المهاجمون إلى سجلات مجهولة الهوية بدون معرفات عملاء قابلة للاسترداد
- لا يتطلب الأمر إشعار موضوع البيانات لأنه لم يتم الكشف عن أي بيانات شخصية
- لا حاجة لتحقيق المسؤولية المشتركة بموجب المادة 82 من GDPR
- لا تسفر أي تحقيقات إنفاذ تنظيمية عن الاختراق
يؤثر الاختراق على البائع. لا يؤثر على بيانات عملائك لأن بيانات عملائك لم تكن أبدًا على خوادم البائع في شكل قابل للاسترداد.
تغير الزيادة بنسبة 300% في انتهاكات SaaS حساب مخاطر البائع. المنظمات التي تقيم البائعين بناءً على وضع الأمان والالتزامات التعاقدية فقط تثق بأن بائعها لن يظهر في إحصائية الاختراق التالية. يلغي هيكل عدم المعرفة هذه الاعتماد.
المصادر: