anonym.legal

By · Last updated 2026-03-11

Povratak na BlogGDPR & Usklađenost

SaaS proboji porasli 300%: ZK rješenje je nužno

Conduent je izložio 25,9 milijuna zapisa. NHS Digital: 9 milijuna pacijenata. Napadači probijaju SaaS dobavljače za 9 minuta. Kada vaš dobavljač postane meta napada.

March 11, 20269 min čitanja
SaaS securitydata breach 2024zero-knowledge architecturevendor risk managementGDPR Article 28

Dobavljač je sada napadnuta površina

Ažurirano za 2026.

Desetljeće su se sigurnosni timovi fokusirali na jedan cilj: spriječiti napadače da uđu u mrežu. Osigurati perimetar. Zaključati krajnje točke. Kontrolirati tko se može prijaviti. Stari model pretpostavljao je da će napadači krenuti izravno na vašu organizaciju.

Brojke iz 2024. pokazuju da je taj model slomljen. SaaS proboji su porasli 300% u 2024., prema Obsidian Security izvješću o SaaS sigurnosnim prijetnjama za 2025. Napadači više ne idu izravno na organizacije. Idu za SaaS alatima kojima te organizacije povjeravaju svoje zapise.

Kada je vaš alat u oblaku meta napada, snažna interna mreža ne pomaže. Korisnički zapisi, dokumenti zaposlenika i osjetljivi sadržaj nalaze se na poslužiteljima alata. Zaključani su ključevima alata. Izloženi su kada alat bude pogođen.

Brojke SaaS proboja u 2024.

Ukupni broj proboja u 2024. pokazuje razmjere rizika.

Conduent je pretrpio proboj koji je izložio 25,9 milijuna zapisa. Conduent obavlja poslove poslovnih procesa za vladine agencije i velike tvrtke. Upravlja naknadama, plaćanjima i uslugama za građane. 25,9 milijuna pogođenih osoba nije znalo da treća strana drži njihove podatke.

NHS Digital je pretrpio proboj koji je pogodio 9 milijuna pacijenata. Pacijentski zapisi izloženi su putem poslužitelja alata u oblaku. Pacijenti su te podatke dali svojim pružateljima zdravstvenih usluga. Nisu imali razloga znati da su ikad dospjeli na platformu treće strane.

Ovo nisu rijetki događaji. To je nova norma. Veliki proboji sada pogađaju milijune ljudi koji su vjerovali jednoj organizaciji, a njihove osobne podatke drži druga o kojoj nisu ni znali. Za pitanje pravne odgovornosti u takvim slučajevima pogledajte naš pregled usklađenosti s GDPR-om.

Zašto SaaS proboji funkcioniraju drukčije

Klasičan mrežni proboj zahtijeva mnogo koraka. Napadači moraju proći perimetar. Moraju se kretati kroz sustave. Moraju izvući dokumente. Svaki korak je prilika da budu uhvaćeni.

SaaS proboji funkcioniraju drukčije. Kada napadači udare na platformu u oblaku, dobivaju pristup zapisima svakog klijenta koji je slao sadržaj kroz tu platformu. Jedan proboj donosi dokumente od desetaka ili stotina klijenata odjednom.

Prozor proboja od 9 minuta — vrijeme od prvog pristupa do krađe zapisa u SaaS sustavima, prema podacima o incidentima Obsidian Security — pokazuje koliko je to brzo. Unutar zajedničke platforme napadači pronalaze sadržaj od mnogo klijenata odjednom. Ta koncentracija vrijednosti čini svaki napad visoko učinkovitim.

Ugovori ne zatvaraju tu prazninu. Članak 82. GDPR-a dodjeljuje zajednički dio odgovornosti obrađivačima za proboje koje prouzroče. Ali dokazivanje krivnje traje mjesecima. Do tada su zapisi već nestali. Pogledajte našu stranicu za sigurnost i usklađenost o tome kako alati s nultim znanjem mijenjaju ovaj ishod.

DPA ne štiti vaše zapise

Članak 28. GDPR-a kaže da organizacije smiju koristiti samo obrađivače koji pružaju dovoljna jamstva. Ugovor o obradi podataka pisani je dokaz tih jamstava.

Kao i HIPAA sporazum poslovnog suradnika, DPA pokriva pravnu stranu. Ne pokriva što se događa s vašim dokumentima na poslužiteljima pružatelja usluge.

Alat u oblaku s potpuno usklađenim DPA-om prema GDPR-u može i dalje:

  • Pohranjivati korisničke zapise koristeći enkripciju na strani poslužitelja s ključevima pružatelja
  • Pokretati podatke zaposlenika kroz zajednički sustav koji koriste mnogi drugi klijenti
  • Čuvati zapisnike i predmemorirani sadržaj izvan dogovorenih svrha
  • Pretrpjeti proboj koji izlaže sve navedeno

DPA postavlja pravne obveze. Ne stvara tehnički zid protiv izloženosti. Kada napadači probiju platformu za 9 minuta, DPA ih ne usporava.

Za pomoć na razumljivom jeziku o obvezama iz Članka 28. pogledajte GDPR rječnik.

Zašto je porast od 300% strukturalni

Porast od 300% odražava dvije sile koje djeluju istovremeno.

Prvo, količina osjetljivih podataka u SaaS platformama naglo je porasla u 2024. Više organizacija preselilo je više poslova u alate u oblaku. Više dokumenata dospjelo je na poslužitelje trećih strana. Više sadržaja znači više razloga za napad na te poslužitelje.

Drugo, napadači su se prilagodili. Organizacije sada šalju korisničke zapise, financijske zapisnike, HR podatke, pravni sadržaj i zdravstvene zapise putem SaaS alata. Pogoditi jednu platformu donosi zapise od mnogo klijenata. Matematika nagrađuje napade na platforme umjesto na pojedinačne organizacije.

Brojka od 300% nije skok u kriminalu. Ona označava strukturalni pomak u tome kamo idu napadi.

Anonimizacija s nultim znanjem kao rješenje

Rješenje počinje jednom promjenom u razmišljanju. Ako svaka platforma može biti pogođena — a podaci iz 2024. dokazuju da mogu — onda nijedna platforma ne bi trebala primati osobne podatke vaših klijenata u čitljivom obliku.

Anonimizacija s nultim znanjem prije prijenosa potpuno mijenja rizik od proboja. Kada napadači napadnu platformu koja drži sadržaj obrađen nultim znanjem:

  • Napadači dobivaju anonimizirane zapise bez čitljivih identifikatora klijenata
  • Nije potrebna obavijest subjektu jer nisu izloženi osobni podaci
  • Nije potreban slučaj zajedničke odgovornosti prema Članku 82. GDPR-a
  • Iz proboja ne rezultira regulatorna pratnja

Napad pogađa platformu. Ne dostiže vaše klijente. Njihovi osobni podaci nikad nisu stigli na poslužitelje platforme u čitljivom obliku.

Ovo nije teorija. To je jednostavna činjenica: nema zapisa za krađu jer nijedan nije poslan u čitljivom obliku. Česta pitanja pokrivaju uobičajena pitanja o anonimizaciji s nultim znanjem. Naša stranica s cijenama pokazuje koliko ova zaštita košta u velikom opsegu.

Porast od 300% mijenja matematiku rizika. Provjera sigurnosnog položaja i uvjeta ugovora dobavljača znači kladiti se da vaš dobavljač neće biti sljedeća vijest. Anonimizacija s nultim znanjem uklanja tu okladu.

Izvori

Povezani Članci

GDPR & Usklađenost

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Usklađenost

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Usklađenost

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Spremni za zaštitu vaših podataka?

Započnite anonimizaciju PII-a s 285+ vrsta entiteta na 48 jezika.

Započnite Besplatno SuđenjePogledajte Značajke

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.