Hornitzailea Orain Eraso Azalera Da
2026rako eguneratua
Hamarkada batean, segurtasun taldeek helburu bakar batean zentratu ziren: erasotzaileak saretik kanpo mantendu. Perimetroa ziurtatu. Muturrekoak blokeatu. Nor sartu daitekeen kontrolatu. Eredu zaharrak suposatu zuen erasotzaileak zuzenean joango zirela zure erakundearen kontra.
2024ko datuek eredu hori hautsita dagoela erakusten dute. SaaS hausturak %300 igo ziren 2024an, Obsidian Security 2025 SaaS Security Threat Report txostenaren arabera. Erasotzaileak ez dira zuzenean joaten erakundeen kontra. Erakundeek beren erregistroekin fidatzen diren SaaS tresnak erasotzen dituzte.
Zure hodeiko tresna erasoaren xedea denean, barne sare sendo batek ez du laguntzen. Bezero erregistroak, langile dokumentuak eta eduki sentikorra tresnaren zerbitzarietan daude. Tresnaren gakoekin blokeatuta daude. Tresna erasotzean agerian geratzen dira.
2024ko SaaS Haustura Zenbakiak
2024ko haustura guztiek arriskuaren eskala erakusten dute.
Conduent-ek 25,9 milioi erregistro agerian utzi zituen. Conduent-ek gobernuko agentzientzat eta enpresa handientzat negozio prozesuen lana egiten du. Prestazioak, ordainketak eta herritarren zerbitzuak kudeatzen ditu. Kaltetutako 25,9 milioi pertsonek ez zekiten hirugarren batek beren informazioa zeukala.
NHS Digital-ek 9 milioi paziente ukitu zituen hausturarengatik. Pazienteen erregistroak hodeiko tresna baten zerbitzarien bidez agerian geratu ziren. Pazienteek informazio hori beren osasun hornitzaileei eman zieten. Ez zuten arrazoirik jakiteko hirugarren plataforma batera iritsi zela.
Hauek ez dira gertakari arraroak. Arau berria da. Haustara handiek orain milioika pertsona ukitzen dituzte, erakunde bati fidatu zirenak baina beren informazio pertsonala sekula ezagutu ez zuten beste batek zeukan. Lege-ardura nola banatzen den kasu hauetan ikusteko, ikusi gure GDPR betetze-ikuspegian.
Zergatik Funtzionatzen Duten SaaS Haustarak Desberdin
Sare-haustara klasiko batek urrats asko behar ditu. Erasotzaileak perimetrotik pasa behar dute. Sistemen zehar mugitu behar dute. Dokumentuak atera behar dituzte. Urrats bakoitza harrapatua izateko aukera da.
SaaS haustarak desberdin funtzionatzen dute. Erasotzaileak hodeiko plataforma bat jo dutenean, plataforma hori bidez edukia bidalitako bezero guztien erregistroetara iristen dira. Haustara batek behin eta berriz dozenaka edo ehunka bezeroren dokumentuak lortzen ditu.
9 minutuko haustara leihoa -- lehen sarbidenetik erregistroen lapurretara SaaS sistemetan, Obsidian Security gertakari erregistroen arabera -- lan honetan zein azkar funtzionatzen duen erakusten du. Plataforma partekatu baten barruan, erasotzaileak bezeroen askoren edukia aurkitzen dute aldi berean. Balio kontzentrazio horrek eraso bakoitza oso eraginkorra egiten du.
Kontratuek ez dute hutsune hau ixten. GDPR 82. artikuluak erantzukizun partekatua esleitzen die prozesadoreei eragindako hausturarengatik. Baina errua frogatzeak hilabete hartzen ditu. Ordurako, erregistroak dagoeneko joan dira. Ikusi gure segurtasun eta betetze orrialdea zero-knowledge tresnetan nola aldatzen den emaitza.
DPA-k Ez Du Zure Erregistroak Babesten
GDPR 28. artikuluak dio erakundeek soilik "berme nahikoa" ematen duten prozesadoreak erabili behar dituztela. Datuak Prozesatzeko Hitzarmena berme horien idatzizko froga da.
HIPAA Negozio Lankideen Akordio baten antzera, DPA-k alderdi juridikoa estaltzen du. Ez du estaltzen hornitzailearen zerbitzarietan zure dokumentuekin zer gertatzen den.
DPA GDPR guztiz betetzeko hodeiko tresna batek oraindik ere egin dezake:
- Bezero erregistroak hornitzaileak gorde gakoekin zerbitzari aldetik enkriptatzea
- Langile informazioa beste bezero askorekin partekatutako sistema batean prozesatzea
- Erregistroak eta cacheatutako edukia adostutako erabilerak baino gehiago gordetzea
- Goian aipatutako guztia agerian uzten duen haustara bat jasatea
DPA-k betebehar legalak ezartzen ditu. Ez du eraginpeko babes teknikorik sortzen. Erasotzaileak plataforma 9 minututan urratzen dutenean, DPA-k ez ditu moteltzen.
- artikuluaren betebeharren hizkera laburrerako, ikusi GDPR glosategia.
Zergatik den Estrukturala %300eko Igoera
%300eko igoerak bi indar batera lan egiten ari direla islatzen du.
Lehenik eta behin, SaaS plataformetan informazio sentikorren bolumena nabarmen hazi zen 2024an. Erakunde gehiagok lan gehiago eraman zuten hodeiko tresnetara. Dokumentu gehiago hirugarrenen zerbitzarietan geratu ziren. Eduki gehiagok arrazoi gehiago ematen du zerbitzari horiek erasotzeko.
Bigarrenik, erasotzaileak egokitu ziren. Erakundeek orain bezero erregistroak, finantza erregistroak, GG informazioa, eduki juridikoa eta osasun erregistroak SaaS tresnen bidez bidaltzen dituzte. Plataforma bat jotzeak bezero askoren erregistroak lortzen ditu. Matematikak plataformak jo aldezten du erakunde indibidualak jo ordez.
%300eko zifra ez da krimen hazkundea. Erasoak nora joaten diren estrukturako aldaketa bat markatzen du.
Zero-Knowledge Anonimizazioa Konponbide Gisa
Konponbidea pentsaera aldaketa batean hasten da. Edozein plataforma jo badaiteke -- eta 2024ko erregistroak hori frogatzen badu -- orduan plataforma batek ez luke zure bezeroen informazio pertsonala irakurtzeko moduan jaso behar.
Kargatu aurretik zero-knowledge anonimizazioa egiteak haustara arriskua erabat aldatzen du. Zero-knowledge prozesatutako edukia duen plataforma bat erasotzen denean:
- Erasotzaileak bezeroen identifikatzaile irakurgarririk gabeko anonimizatutako erregistroetara iristen dira
- Ez da beharrezkoa gaiari jakinarazpenik, ez baita informazio pertsonal agerian utzi
- Ez da beharrezkoa GDPR 82. artikuluko erantzukizun baterako kasua
- Ez da arau jarraipenik sortzen haustararengatik
Erasoak plataforma jotzen du. Ez da zure bezeroengan iristen. Beren informazio pertsonala inoiz ez zen plataformaren zerbitzarietan forma irakurgarrian iritsi.
Hau ez da teoria. Egiazko datua da: ez dago lapurtzeko erregistrorik, ez baita bat ere forma irakurgarrian bidali. FAQ-k zero-knowledge anonimizazioaren galdera arruntak estaltzen ditu. Gure prezioen orrialdeak babes honen kostua eskalan erakusten du.
%300eko igoerak arrisku matematika aldatzen du. Hornitzailearen segurtasun jarrera eta kontratu baldintzak egiaztatzea hornitzailea hurrengo titular izango ez dela apostua egitea da. Zero-knowledge anonimizazioak apustu hori kentzen du.