Доставчикът вече е повърхността за атака
В продължение на десетилетие екипите за корпоративна сигурност се фокусираха върху защитата на периметъра: защита на мрежата, защита на крайните точки, контрол на достъпа до вътрешни системи. Моделът на заплахата предполага, че нападателите ще се опитат да проникнат директно в организацията.
Данните за нарушения на SaaS за 2024 г. показват, че този модел е остарял. Пробивите в SaaS са се увеличили с 300% през 2024 г., според доклада за заплахите за сигурността на Obsidian Security за 2025 г. Нападателите вече не се насочват директно към организации – те се насочват към доставчиците на SaaS, на които тези организации имат доверие с данните си.
Когато вашият доставчик е повърхността за атака, фактът, че собствената ви мрежа е защитена, е без значение. Клиентските данни, записите на служителите и чувствителната бизнес информация, която сте обработили чрез този доставчик, се намират в тяхната инфраструктура, достъпни с техните ключове и изложени, когато системите им са компрометирани.
Числа за нарушения на SaaS на ## 2024
Мащабът на нарушенията на SaaS през 2024 г. илюстрира излагането:
Conduent претърпя пробив, който разкри 25,9 милиона записа. Conduent предоставя услуги за аутсорсинг на бизнес процеси на правителствени агенции и големи предприятия — включително администриране на ползи, обработка на плащания и портали за граждански услуги. 25,9 милиона записа включват лица, които са взаимодействали с правителствени служби и не са знаели, че тяхната информация се държи от доставчик трета страна.
NHS Digital претърпя пробив, засягащ 9 милиона пациенти. Пробивът в NHS разкрива данни за пациенти, обработени чрез инфраструктура на доставчик на SaaS – клинична информация, която пациентите са предоставили на своите доставчици на здравни услуги и не са имали причина да смятат, че е предадена на платформа на трета страна.
Това не са отклонения. Те представляват новото нормално за излагане на данни: широкомащабни пробиви, засягащи милиони хора, които са предоставили данни на организации, на които имат доверие, които са ги предали на доставчици, за чието съществуване тези лица никога не са знаели.
Защо нарушенията на SaaS са структурно различни
Традиционните мрежови пробиви изискват от нападателите да проникнат в периметъра на организацията, да навигират във вътрешните системи и да ексфилтрират данни – многоетапен процес с множество възможности за откриване.
Нарушенията на SaaS работят по различен начин. Нападателите, които компрометират SaaS доставчик, получават достъп до данните на всеки клиент, който е обработил информация чрез този доставчик. Един единствен компромис дава клиентските записи на десетки или стотици корпоративни клиенти едновременно.
9-минутният прозорец за пробиви — времето между първоначалния достъп и компрометирането на данните в SaaS среди, според данните за реакция при инцидент на Obsidian Security — отразява тази структурна разлика. След като влязат в инфраструктурата на доставчика, нападателите се натъкват на данни от множество организации, съхранявани в споделена среда. Атакуващата повърхност концентрира стойността.
За организации, които са подписали съвместими със GDPR споразумения за обработка на данни със своите доставчици на SaaS, нарушението не премахва отговорността за съответствие. Член 82 от GDPR възлага солидарна отговорност на обработващите данни за нарушения, произтичащи от тяхното неспазване на задълженията по GDPR. Но солидарната отговорност изисква да се докаже, че продавачът не е спазил изискванията – сложно разследване, което отнема месеци, докато данните вече са в ръцете на участници в заплахата.
DPA не защитава данните
GDPR Член 28 изисква от организациите да използват само процесори, които предоставят „достатъчни гаранции“ за прилагане на подходящи технически и организационни мерки. Споразумението за обработка на данни е договорното доказателство за тези гаранции.
Подобно на BAA на HIPAA, DPA се отнася до договорните отношения. Той не разглежда техническата реалност на това, което се случва с вашите данни в инфраструктурата на доставчика.
Доставчик на SaaS, работещ съгласно GDPR-съвместимо DPA, все още може:
- Съхранявайте данните на вашите клиенти, като използвате криптиране от страна на сървъра с ключове, контролирани от доставчика
- Обработвайте информацията на вашите служители в среда с множество наематели, споделена с други клиенти
- Съхранявайте регистрационни файлове с данни, записи за обработка и кеширано съдържание извън целите, посочени във вашето споразумение
- Инфраструктурата им да бъде компрометирана по начин, който разкрива всичко изброено по-горе
DPA създава задължения. Това не създава техническа бариера за излагане на данни. Когато нападателите пробият доставчика за 9 минути, DPA не ги забавя.
300% скок е ефект на подбор
Увеличението от 300% на нарушенията на SaaS отразява две тенденции, действащи едновременно.
Първо, абсолютният обем данни в SaaS платформите нарасна значително през 2024 г. Тъй като все повече организации преместиха повече процеси към базирани в облак доставчици, наличните данни в среди на доставчици се увеличиха пропорционално. Повече данни за инфраструктурата на доставчиците създава повече стимул за нападателите да се насочат към инфраструктурата на доставчиците.
Второ, нападателите са адаптирали методологията си, за да съответстват на концентрацията на стойност. Организациите сега обработват по-чувствителни данни чрез повече доставчици на SaaS от всякога — клиентски записи, финансови транзакции, данни за човешките ресурси, правни документи, информация за здравеопазването. Доставчиците на SaaS се превърнаха в цели с висока стойност, защото нарушаването на един доставчик дава данни от много организации.
Цифрата от 300% описва структурна промяна в това къде са насочени атаките, а не просто подем в общата престъпна дейност.
Архитектура с нулево знание като намаляване на риска от доставчика
Концептуалната промяна, изисквана от архитектурата с нулево знание, е ясна: ако на вашия доставчик не може да се има доверие, че ще пази вашите данни сигурно – не поради някакъв конкретен отказ, а защото всеки доставчик може да бъде пробит – тогава вашите данни никога не трябва да достигат до вашия доставчик в разпознаваема форма.
Анонимизирането с нулево знание преди предаване към доставчици на SaaS променя фундаментално излагането на пробив. Когато доставчик, използващ обработени с нулево знание данни, бъде нарушен:
- Нападателите имат достъп до анонимни записи без възстановими клиентски идентификатори
- Не се изисква уведомяване на субекта на данни, тъй като не са били разкрити лични данни
- Не GDPR Необходимо е разследване на съвместна отговорност по член 82
- От нарушението не произтича разследване за регулаторно прилагане
Пробивът засяга продавача. Това не засяга данните на вашите клиенти, защото данните на вашите клиенти никога не са били на сървърите на доставчика във възстановима форма.
Увеличението от 300% на нарушенията на SaaS променя изчислението на риска на доставчика. Организациите, които оценяват доставчиците единствено въз основа на положението на сигурността и договорните ангажименти, вярват, че техният доставчик няма да се появи в следващата статистика за пробив. Архитектурата с нулево знание елиминира тази зависимост.
Източници:
- [Доклад за заплахи за сигурността на Obsidian Security 2025 SaaS — 300% скок в нарушенията на SaaS] (https://www.obsidiansecurity.com/saas-security-threat-report)
- [Съобщение за пресата за сигурността на Obsidian — скок от 300% спрямо предходната година] (https://www.businesswire.com/news/home/20250127824236/en/Obsidian-Security-Launches-2025-SaaS-Security-Threat-Report-Revealing-300-Year-Over-Year-Surge-in-SaaS-Breaches)
- GDPR Член 28: Процесор
- [GDPR Член 82: Право на обезщетение] (https://gdpr.eu/article-82-right-to-compensation/)