anonym.legal
ब्लॉग पर वापस जाएँGDPR और अनुपालन

2024 में SaaS उल्लंघनों में 300% की वृद्धि...

Conduent ने 25.9 मिलियन रिकॉर्ड उजागर किए। NHS Digital: 9 मिलियन मरीज। हमलावर 9 मिनट में SaaS विक्रेताओं में सेंध लगाते हैं। जब आपका विक्रेता हमले...

March 11, 20269 मिनट पढ़ें
SaaS securitydata breach 2024zero-knowledge architecturevendor risk managementGDPR Article 28

विक्रेता अब हमले की सतह है

एक दशक तक, उद्यम सुरक्षा टीमों ने परिधीय रक्षा पर ध्यान केंद्रित किया: नेटवर्क को सुरक्षित करना, एंडपॉइंट्स की सुरक्षा करना, आंतरिक सिस्टम तक पहुंच को नियंत्रित करना। खतरे का मॉडल मानता था कि हमलावर सीधे संगठन में घुसने की कोशिश करेंगे।

2024 के SaaS उल्लंघन डेटा से पता चलता है कि यह मॉडल अप्रचलित है। Obsidian Security की 2025 SaaS सुरक्षा खतरा रिपोर्ट के अनुसार, 2024 में SaaS उल्लंघनों में 300% की वृद्धि हुई। हमलावर अब संगठनों को सीधे निशाना नहीं बना रहे हैं - वे उन SaaS विक्रेताओं को निशाना बना रहे हैं जिन पर संगठन अपने डेटा के लिए भरोसा करते हैं।

जब आपका विक्रेता हमले की सतह है, तो यह तथ्य कि आपका अपना नेटवर्क सुरक्षित है, अप्रासंगिक है। ग्राहक डेटा, कर्मचारी रिकॉर्ड, और संवेदनशील व्यावसायिक जानकारी जो आपने उस विक्रेता के माध्यम से प्रोसेस की है, उनके बुनियादी ढांचे पर है, उनके कुंजियों के साथ सुलभ है, और जब उनके सिस्टम से समझौता किया जाता है तो उजागर हो जाती है।

2024 के SaaS उल्लंघन के आंकड़े

2024 के SaaS उल्लंघनों के पैमाने से उजागर होता है:

Conduent ने एक उल्लंघन का अनुभव किया जिसने 25.9 मिलियन रिकॉर्ड उजागर किए। Conduent सरकारी एजेंसियों और बड़े उद्यमों को व्यावसायिक प्रक्रिया आउटसोर्सिंग सेवाएं प्रदान करता है - जिसमें लाभ प्रशासन, भुगतान प्रोसेसिंग, और नागरिक सेवा पोर्टल शामिल हैं। 25.9 मिलियन रिकॉर्ड में वे व्यक्ति शामिल थे जिन्होंने सरकारी सेवाओं के साथ बातचीत की और उन्हें यह नहीं पता था कि उनकी जानकारी एक तीसरे पक्ष के विक्रेता द्वारा रखी गई थी।

NHS Digital ने 9 मिलियन मरीजों को प्रभावित करने वाले उल्लंघन का अनुभव किया। NHS उल्लंघन ने मरीजों के डेटा को उजागर किया जो एक SaaS विक्रेता के बुनियादी ढांचे के माध्यम से प्रोसेस किया गया था - नैदानिक जानकारी जो मरीजों ने अपने स्वास्थ्य सेवा प्रदाताओं को प्रदान की थी और उन्हें विश्वास नहीं था कि इसे एक तीसरे पक्ष के प्लेटफॉर्म पर भेजा गया था।

ये अपवाद नहीं हैं। ये डेटा उजागर करने के लिए नए सामान्य का प्रतिनिधित्व करते हैं: बड़े पैमाने पर उल्लंघन जो लाखों व्यक्तियों को प्रभावित करते हैं जिन्होंने उन संगठनों को डेटा प्रदान किया जिन पर उन्होंने भरोसा किया, जो इसे उन विक्रेताओं को पास कर देते हैं जिनके अस्तित्व के बारे में उन व्यक्तियों को कभी पता नहीं था।

क्यों SaaS उल्लंघन संरचनात्मक रूप से भिन्न हैं

पारंपरिक नेटवर्क उल्लंघनों के लिए हमलावरों को एक संगठन की परिधि में घुसने, आंतरिक सिस्टम को नेविगेट करने, और डेटा को निकालने की आवश्यकता होती है - एक बहु-चरण प्रक्रिया जिसमें कई पहचान के अवसर होते हैं।

SaaS उल्लंघन अलग तरीके से काम करते हैं। जो हमलावर एक SaaS विक्रेता को समझौता करते हैं, वे उस विक्रेता के माध्यम से जानकारी प्रोसेस करने वाले हर ग्राहक के डेटा तक पहुंच प्राप्त करते हैं। एक ही समझौता दर्जनों या सैकड़ों उद्यम ग्राहकों के ग्राहक रिकॉर्ड को एक साथ लाता है।

9-मिनट का उल्लंघन विंडो - प्रारंभिक पहुंच और SaaS वातावरण में डेटा समझौता के बीच का समय, Obsidian Security के घटना प्रतिक्रिया डेटा के अनुसार - इस संरचनात्मक भिन्नता को दर्शाता है। एक विक्रेता के बुनियादी ढांचे के अंदर, हमलावरों को कई संगठनों से डेटा मिलता है जो एक साझा वातावरण में संग्रहीत होता है। हमले की सतह मूल्य को संकेंद्रित करती है।

उन संगठनों के लिए जिन्होंने अपने SaaS विक्रेताओं के साथ GDPR-अनुरूप डेटा प्रोसेसिंग समझौतों पर हस्ताक्षर किए हैं, उल्लंघन अनुपालन देनदारी को समाप्त नहीं करता है। GDPR अनुच्छेद 82 डेटा प्रोसेसर्स को उनके GDPR दायित्वों के अनुपालन में विफलता के कारण होने वाले उल्लंघनों के लिए संयुक्त देनदारी सौंपता है। लेकिन संयुक्त देनदारी को साबित करने की आवश्यकता होती है कि विक्रेता अनुपालन में नहीं था - एक जटिल जांच जो महीनों लगती है जबकि डेटा पहले से ही खतरे के तत्वों के हाथों में होता है।

DPA डेटा की रक्षा नहीं करता

GDPR अनुच्छेद 28 संगठनों को केवल उन प्रोसेसर्स का उपयोग करने की आवश्यकता है जो "पर्याप्त गारंटी" प्रदान करते हैं ताकि उचित तकनीकी और संगठनात्मक उपायों को लागू किया जा सके। डेटा प्रोसेसिंग समझौता उन गारंटियों का संविदात्मक प्रमाण है।

HIPAA के BAA की तरह, DPA संविदात्मक संबंध को संबोधित करता है। यह विक्रेता के बुनियादी ढांचे पर आपके डेटा के साथ क्या होता है, इसकी तकनीकी वास्तविकता को संबोधित नहीं करता।

एक GDPR-अनुरूप DPA के तहत काम करने वाला SaaS विक्रेता अभी भी:

  • विक्रेता-नियंत्रित कुंजियों के साथ सर्वर-साइड एन्क्रिप्शन का उपयोग करके आपके ग्राहकों का डेटा स्टोर कर सकता है
  • अन्य ग्राहकों के साथ साझा किए गए मल्टी-टेनेंट वातावरण में आपके कर्मचारियों की जानकारी प्रोसेस कर सकता है
  • आपके समझौते में निर्दिष्ट उद्देश्यों से परे डेटा लॉग, प्रोसेसिंग रिकॉर्ड, और कैश की गई सामग्री को बनाए रख सकता है
  • इस तरह से समझौता किया जा सकता है कि उपरोक्त सभी को उजागर करता है

DPA दायित्व उत्पन्न करता है। यह डेटा उजागर होने के लिए तकनीकी बाधा नहीं बनाता। जब हमलावर 9 मिनट में विक्रेता में सेंध लगाते हैं, तो DPA उन्हें धीमा नहीं करता।

300% की वृद्धि एक चयन प्रभाव है

SaaS उल्लंघनों में 300% की वृद्धि दो प्रवृत्तियों को एक साथ संचालित करती है।

पहला, SaaS प्लेटफार्मों में डेटा की कुल मात्रा 2024 में काफी बढ़ गई। जैसे-जैसे अधिक संगठन अधिक प्रक्रियाओं को क्लाउड-आधारित विक्रेताओं पर ले जाते हैं, विक्रेता के वातावरण में उपलब्ध डेटा अनुपात में बढ़ता है। विक्रेता के बुनियादी ढांचे पर अधिक डेटा हमलावरों को विक्रेता के बुनियादी ढांचे को लक्षित करने के लिए अधिक प्रोत्साहन देता है।

दूसरा, हमलावरों ने मूल्य संकेंद्रण के साथ मेल खाने के लिए अपनी कार्यप्रणाली को अनुकूलित किया है। संगठन अब पहले से कहीं अधिक संवेदनशील डेटा को अधिक SaaS विक्रेताओं के माध्यम से प्रोसेस करते हैं - ग्राहक रिकॉर्ड, वित्तीय लेनदेन, HR डेटा, कानूनी दस्तावेज, स्वास्थ्य सेवा की जानकारी। SaaS विक्रेता उच्च-मूल्य लक्ष्यों में बदल गए हैं क्योंकि एक विक्रेता को समझौता करने से कई संगठनों का डेटा मिलता है।

300% का आंकड़ा यह दर्शाता है कि हमले कहां निर्देशित हैं, न कि केवल सामान्य आपराधिक गतिविधि में वृद्धि।

विक्रेता जोखिम न्यूनीकरण के रूप में शून्य-ज्ञान आर्किटेक्चर

शून्य-ज्ञान आर्किटेक्चर की अवधारणात्मक परिवर्तन सरल है: यदि आपके विक्रेता पर आपके डेटा को सुरक्षित रखने के लिए भरोसा नहीं किया जा सकता - किसी विशेष विफलता के कारण नहीं, बल्कि इसलिए कि कोई भी विक्रेता समझौता किया जा सकता है - तो आपका डेटा कभी भी पहचान योग्य रूप में आपके विक्रेता तक नहीं पहुंचना चाहिए।

SaaS विक्रेताओं को भेजने से पहले शून्य-ज्ञान एनोनिमाइजेशन उल्लंघन के उजागर होने को मौलिक रूप से बदलता है। जब एक विक्रेता जो शून्य-ज्ञान-प्रोसेस किए गए डेटा का उपयोग करता है, वह समझौता किया जाता है:

  • हमलावरों को अनाम रिकॉर्ड तक पहुंच मिलती है जिनमें कोई पुनर्प्राप्त करने योग्य ग्राहक पहचानकर्ता नहीं होते
  • कोई डेटा विषय अधिसूचना आवश्यक नहीं है क्योंकि कोई व्यक्तिगत डेटा उजागर नहीं हुआ
  • कोई GDPR अनुच्छेद 82 संयुक्त देनदारी जांच आवश्यक नहीं है
  • उल्लंघन के परिणामस्वरूप कोई नियामक प्रवर्तन जांच नहीं होती

उल्लंघन विक्रेता को प्रभावित करता है। यह आपके ग्राहकों के डेटा को प्रभावित नहीं करता क्योंकि आपके ग्राहकों का डेटा कभी भी विक्रेता के सर्वरों पर पुनर्प्राप्त करने योग्य रूप में नहीं था।

SaaS उल्लंघनों में 300% की वृद्धि विक्रेता जोखिम की गणना को बदल देती है। संगठन जो केवल सुरक्षा स्थिति और संविदात्मक प्रतिबद्धताओं के आधार पर विक्रेताओं का मूल्यांकन करते हैं, वे इस पर भरोसा कर रहे हैं कि उनका विक्रेता अगले उल्लंघन के आंकड़े में नहीं आएगा। शून्य-ज्ञान आर्किटेक्चर उस निर्भरता को समाप्त करता है।

स्रोत:

संबंधित लेख

GDPR और अनुपालन

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR और अनुपालन

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR और अनुपालन

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

क्या आप अपने डेटा की सुरक्षा के लिए तैयार हैं?

48 भाषाओं में 285+ संस्थाओं के प्रकारों के साथ PII अनामकरण शुरू करें।

फ्री ट्रायल शुरू करेंविशेषताएँ देखें