Toimittaja on nyt hyökkäyspinta
Kymmenen vuoden ajan yritysten tietoturvatiimit ovat keskittyneet ympäristön puolustamiseen: suojaa verkko, suojaa päätepisteet, hallitse pääsyä sisäisiin järjestelmiin. Uhkamalli oletti, että hyökkääjät yrittäisivät tunkeutua organisaatioon suoraan.
Vuoden 2024 SaaS-tietomurtotiedot osoittavat, että tämä malli on vanhentunut. SaaS-tietomurrot kasvoivat 300 % vuonna 2024, kertoo Obsidian Securityn vuoden 2025 SaaS-tietoturvauhkien raportti. Hyökkääjät eivät enää kohdistu suoraan organisaatioihin — he kohdistavat SaaS-toimittajiin, joihin nämä organisaatiot luottavat tietojensa kanssa.
Kun toimittajasi on hyökkäyspinta, se, että oma verkkoasi on suojattu, on merkityksetöntä. Asiakastiedot, työntekijätiedot ja arkaluonteinen liiketoimintatieto, jota käsittelit tuon toimittajan kautta, on heidän infrastruktuurissaan, heidän avaimillaan saavutettavissa ja alttiina, kun heidän järjestelmänsä on vaarantunut.
Vuoden 2024 SaaS-tietomurtoluvut
Vuoden 2024 SaaS-tietomurtojen laajuus havainnollistaa altistumista:
Conduent koki tietomurron, joka paljasti 25,9 miljoonaa tietuetta. Conduent tarjoaa liiketoimintaprosessien ulkoistamispalveluja valtion virastoille ja suurille yrityksille — mukaan lukien etuuksien hallinta, maksujen käsittely ja kansalaispalveluportaalit. Nämä 25,9 miljoonaa tietuetta sisälsivät henkilöitä, jotka olivat vuorovaikutuksessa valtion palveluiden kanssa eivätkä tienneet, että heidän tietonsa olivat kolmannen osapuolen toimittajan hallussa.
NHS Digital koki tietomurron, joka vaikutti 9 miljoonaan potilaaseen. NHS-tietomurto paljasti potilastietoja, joita käsiteltiin SaaS-toimittajan infrastruktuurin kautta — kliinisiä tietoja, joita potilaat olivat antaneet terveydenhuollon tarjoajilleen ja joista heillä ei ollut syytä uskoa, että ne olisi siirretty kolmannen osapuolen alustalle.
Nämä eivät ole poikkeuksia. Ne edustavat uutta normaalia tietojen altistumisessa: laajamittaiset tietomurrot, jotka vaikuttavat miljooniin yksilöihin, jotka ovat antaneet tietoja organisaatioille, joihin he luottivat, ja jotka siirsivät sen toimittajille, joista nämä yksilöt eivät koskaan tienneet.
Miksi SaaS-tietomurrot ovat rakenteellisesti erilaisia
Perinteiset verkkotietomurrot edellyttävät hyökkääjiltä organisaation ympäristön tunkeutumista, sisäisten järjestelmien navigointia ja tietojen poistamista — monivaiheinen prosessi, jossa on useita havaitsemismahdollisuuksia.
SaaS-tietomurrot toimivat eri tavalla. Hyökkääjät, jotka vaarantavat SaaS-toimittajan, saavat pääsyn jokaisen asiakkaan tietoihin, joka on käsitellyt tietoja tuon toimittajan kautta. Yksi vaarantuminen tuottaa asiakastietoja kymmeniltä tai sadoilta yritysasiakkailta samanaikaisesti.
9 minuutin tietomurtoväli — aika ensimmäisen pääsyn ja tietojen vaarantumisen välillä SaaS-ympäristöissä, Obsidian Securityn tapahtumavastauksen tietojen mukaan — heijastaa tätä rakenteellista eroa. Kun hyökkääjät ovat päässeet toimittajan infrastruktuuriin, he kohtaavat tietoja useista organisaatioista, jotka on tallennettu yhteiseen ympäristöön. Hyökkäyspinta keskittyy arvoon.
Organisaatioille, jotka ovat allekirjoittaneet GDPR-yhteensopivia tietojenkäsittelysopimuksia SaaS-toimittajiensa kanssa, tietomurto ei poista vaatimustenmukaisuusvastuuta. GDPR:n artikla 82 määrää yhteisvastuun tietojenkäsittelijöille tietomurroista, jotka johtuvat heidän vaatimustenmukaisuuden puutteestaan GDPR-velvoitteiden suhteen. Mutta yhteisvastuu edellyttää todistamista siitä, että toimittaja ei ollut vaatimustenmukainen — monimutkainen tutkimus, joka vie kuukausia, kun tiedot ovat jo uhkaajien käsissä.
Tietojenkäsittelysopimus ei suojaa tietoja
GDPR:n artikla 28 edellyttää organisaatioita käyttämään vain käsittelijöitä, jotka tarjoavat "riittävät takeet" asianmukaisten teknisten ja organisatoristen toimenpiteiden toteuttamiseksi. Tietojenkäsittelysopimus on näiden takeiden sopimusperusteinen todiste.
Kuten HIPAA:n BAA, DPA käsittelee sopimussuhdetta. Se ei käsittele teknistä todellisuutta siitä, mitä tapahtuu tiedoillesi toimittajan infrastruktuurissa.
GDPR-yhteensopivalla DPA:lla toimiva SaaS-toimittaja voi silti:
- Tallentaa asiakkaidesi tietoja käyttäen palvelinpuolen salausta, jossa on toimittajan hallitsemat avaimet
- Käsitellä työntekijöidesi tietoja monikäyttäjäympäristössä, jota jaetaan muiden asiakkaiden kanssa
- Säilyttää tietopäiväkirjoja, käsittelytietoja ja välimuistisisältöä yli sopimuksessa määriteltyjen tarkoitusten
- Olla vaarantunut tavalla, joka paljastaa kaiken edellä mainitun
DPA luo velvoitteita. Se ei luo teknistä estettä tietojen altistumiselle. Kun hyökkääjät murtautuvat toimittajaan 9 minuutissa, DPA ei hidasta heitä.
300 %:n kasvu on valintavaikutus
300 %:n kasvu SaaS-tietomurroissa heijastaa kahta samanaikaisesti toimivaa suuntausta.
Ensinnäkin, SaaS-alustojen tietomäärä kasvoi huomattavasti vuonna 2024. Kun yhä useammat organisaatiot siirsivät enemmän prosesseja pilvipohjaisille toimittajille, toimittajien ympäristöissä käytettävissä oleva tieto kasvoi suhteellisesti. Enemmän tietoa toimittajan infrastruktuurissa luo enemmän kannustimia hyökkääjille kohdistaa toimittajan infrastruktuuriin.
Toiseksi, hyökkääjät ovat mukauttaneet menetelmiään vastaamaan arvon keskittymistä. Organisaatiot käsittelevät nyt enemmän arkaluonteisia tietoja useiden SaaS-toimittajien kautta kuin koskaan ennen — asiakastietoja, taloudellisia tapahtumia, henkilöstötietoja, oikeudellisia asiakirjoja, terveydenhuoltotietoja. SaaS-toimittajista on tullut korkean arvon kohteita, koska yhden toimittajan murtautuminen tuottaa tietoja monista organisaatioista.
300 %:n luku kuvaa rakenteellista muutosta siinä, mihin hyökkäykset kohdistuvat, ei pelkästään yleisen rikollisen toiminnan lisääntymistä.
Nollatietorakenne toimittajariskin vähentämiseksi
Konseptuaalinen muutos, jota nollatietorakenne vaatii, on yksinkertainen: jos toimittajaasi ei voida luottaa pitämään tietojasi turvallisesti — ei minkään erityisen epäonnistumisen vuoksi, vaan koska mikä tahansa toimittaja voi olla vaarantunut — niin tietosi eivät koskaan saisi saavuttaa toimittajaasi tunnistettavassa muodossa.
Nollatietojen anonymisointi ennen siirtoa SaaS-toimittajille muuttaa tietomurtoaltistumista perustavanlaatuisesti. Kun toimittaja, joka käyttää nollatietojen käsiteltyjä tietoja, on vaarantunut:
- Hyökkääjät pääsevät käsiksi anonymisoituihin tietoihin, joissa ei ole palautettavia asiakastunnisteita
- Ei tarvita tietosubjektin ilmoitusta, koska mitään henkilötietoja ei ole paljastettu
- Ei tarvita GDPR:n artikla 82:n yhteisvastuuseen liittyvää tutkimusta
- Ei tule sääntelyvalvontakyselyä tietomurrosta
Tietomurto vaikuttaa toimittajaan. Se ei vaikuta asiakkaidesi tietoihin, koska asiakkaidesi tietoja ei koskaan ollut toimittajan palvelimilla palautettavassa muodossa.
300 %:n kasvu SaaS-tietomurroissa muuttaa toimittajariskin laskentaa. Organisaatiot, jotka arvioivat toimittajia pelkästään turvallisuusaseman ja sopimusvelvoitteiden perusteella, luottavat siihen, että heidän toimittajansa ei ilmesty seuraaviin tietomurtilastoihin. Nollatietorakenne poistaa tämän riippuvuuden.
Lähteet: