Добавувачот е новата површина за напад
Ажурирано за 2026 година
Цела деценија, безбедносните тимови имаа една цел: да ги задржат напаѓачите надвор од мрежата. Зацврсти го периметарот. Заклучи ги крајните точки. Контролирај кој може да се најави. Старата логика претпоставуваше дека напаѓачите ќе дојдат директно кон вашата организација.
Податоците за 2024 година покажуваат дека таа логика е скршена. SaaS пробивите пораснаа за 300% во 2024 година, според Obsidian Security 2025 SaaS Security Threat Report. Напаѓачите повеќе не одат директно по организациите. Тие одат по SaaS алатките во кои тие организации имаат доверба и им ги доверуваат своите записи.
Кога вашата облак-алатка е целта на нападот, силна внатрешна мрежа не помага. Записите на клиентите, документите на вработените и чувствителната содржина живеат на серверите на алатката. Заклучени се со клучевите на алатката. Изложени се кога алатката ќе биде погодена.
SaaS пробиви во 2024 година
Вкупниот број на пробиви во 2024 ја покажува размерата на ризикот.
Conduent претрпе пробив кој изложи 25,9 милиони записи. Conduent извршува деловни процеси за владини агенции и крупни фирми. Ракува со бенефиции, плаќања и граѓански услуги. 25,9 милиони погодени луѓе немаа никаква идеја дека трета страна ги чувала нивните информации.
NHS Digital претрпе пробив кој погоди 9 милиони пациенти. Пациентски записи беа изложени преку серверите на облак-алатка. Пациентите ги дале тие информации на своите здравствени провајдери. Немале причина да знаат дека некогаш стигнале до платформа на трета страна.
Ова не се ретки настани. Тоа е новата норма. Крупните пробиви сега погодуваат милиони луѓе кои верувале во една организација, но нивните лични информации биле чувани од друга за која никогаш не знаеле. За тоа како законот го доделува товарот на вина во вакви случаи, погледнете го нашиот преглед на GDPR усогласеност.
Зошто SaaS пробивите функционираат поинаку
Класичниот мрежен пробив бара многу чекори. Напаѓачите мора да го поминат периметарот. Мора да се движат низ системите. Мора да ги извлечат документите. Секој чекор е можност да бидат фатени.
SaaS пробивите функционираат поинаку. Кога напаѓачите ќе погодат облак-платформа, ги достигнуваат записите на секој клиент кој пратил содржина преку таа платформа. Еден пробив дава документи од десетици или стотици клиенти одеднаш.
Прозорецот за пробив од 9 минути — времето од прв пристап до кражба на записи во SaaS системи, според евиденцијата на инциденти на Obsidian Security — покажува колку брзо ова функционира. Во споделена платформа, напаѓачите наоѓаат содржина од многу клиенти одеднаш. Таа концентрација на вредност го прави секој напад исклучително ефикасен.
Договорите не го затвораат овој јаз. GDPR членот 82 доделува заедничка одговорност на обработувачите за пробиви кои тие ги предизвикуваат. Но докажувањето вина трае месеци. Дотогаш, записите веќе се однесени. Погледнете ја нашата страница за безбедност и усогласеност за тоа како алатките со нула-знаење го менуваат овој резултат.
DPA не ги заштитува вашите записи
GDPR членот 28 налага организациите да користат само обработувачи кои даваат "доволни гаранции". Договорот за обработка на податоци е писмениот доказ за тие гаранции.
Како HIPAA Деловниот договор за соработка, DPA ја покрива правната страна. Не покрива што се случува со вашите документи на серверите на провајдерот.
Облак-алатка со целосно GDPR-усогласен DPA сепак може да:
- Ги складира записите на клиентите користејќи шифрирање на страна на серверот со клучеви кои ги чува провајдерот
- Ги обработува информациите на вработените преку споделен систем користен од многу други клиенти
- Да чува дневници и кеширана содржина надвор од договорените намени
- Да претрпи пробив кој го изложува сето горенаведеното
DPA ги поставува правните обврски. Не создава техничка бариера против изложеност. Кога напаѓачите ќе пробијат платформата за 9 минути, DPA не ги успорува.
За разбирлива помош за должностите од членот 28, погледнете го речникот за GDPR.
Зошто порастот од 300% е структурен
Порастот од 300% ги одразува двете сили кои делуваат истовремено.
Прво, обемот на чувствителни информации во SaaS платформите нагло пораснал во 2024 година. Повеќе организации преместиле повеќе работа на облак-алатки. Повеќе документи завршиле на сервери на трети страни. Повеќе содржина значи поголема причина за напад на тие сервери.
Второ, напаѓачите се приспособиле. Организациите сега праќаат записи на клиенти, финансиски дневници, HR информации, правна содржина и здравствени записи преку SaaS алатки. Погодувањето на една платформа дава записи од многу клиенти. Математиката го наградува нападот на платформите наспроти нападот на поединечни организации.
Бројката од 300% не е скок на криминал. Го означува структурниот пресврт во тоа каде одат нападите.
Анонимизацијата со нула-знаење како решение
Решението почнува со еден пресврт во размислувањето. Ако која било платформа може да биде погодена — а записот за 2024 година го докажува тоа — тогаш ниедна платформа не треба да прима лични информации на вашите клиенти во читлива форма.
Анонимизацијата со нула-знаење пред прикачувањето целосно го менува ризикот од пробив. Кога платформа која чува содржина обработена со нула-знаење биде нападната:
- Напаѓачите достигнуваат анонимизирани записи без читливи идентификатори на клиентите
- Не е потребно известување на субјектот бидејќи не биле изложени лични информации
- Не е потребно заедничко постапување по GDPR членот 82
- Нема регулаторни последици по пробивот
Нападот ја погодува платформата. Не ги достигнува вашите клиенти. Нивните лични информации никогаш не пристигнале на серверите на платформата во читлива форма.
Ова не е теорија. Тоа е едноставен факт: нема записи за кражба бидејќи ниту еден не бил пратен во читлива форма. FAQ ги покрива честите прашања за анонимизацијата со нула-знаење. Нашата страница за цени покажува колку чини оваа заштита во голем обем.
Порастот од 300% ја менува математиката на ризикот. Проверувањето на безбедносната положба и договорните услови на добавувачот значи обложување дека вашиот добавувач нема да биде следната насловна вест. Анонимизацијата со нула-знаење ја отстранува таа облога.