anonym.legal

By · Last updated 2026-03-11

Վերադառնալ բլոգինGDPR & Համապատասխանություն

SaaS-ի խախտումները աճեցին 300%-ով. պահանջվում է ZK

Conduent-ը բացահայտեց 25,9 մլն գրառում: NHS Digital՝ 9 մլն հիվանդ: Հարձակվողները SaaS-մատակարարներին ներթափանցում են 9 րոպեում: Երբ ձեր մատակարարն ինքն է հարձակման թիրախ:

March 11, 20269 րոպե կարդալ
SaaS securitydata breach 2024zero-knowledge architecturevendor risk managementGDPR Article 28

Մատակարարն այժմ հարձակման մակերես է

Թարմացվել է 2026-ի համար

Մի տասնամյակ շարունակ անվտանգության թիմերն ուղղված էին մեկ նպատակի. հեռու պահել հարձակվողներին ցանցից: Ապահովել պարագիծը: Կողպել վերջնական կետերը: Վերահսկել, թե ով կարող է մուտք գործել: Հին մոդելը ենթադրում էր, որ հարձակվողները կգան ուղղակիորեն ձեր կազմակերպությանը:

2024-ի թվերը ցույց են տալիս, որ այդ մոդելը կոտրված է: SaaS-ի խախտումները 300%-ով աճեցին 2024-ին՝ ըստ Obsidian Security 2025 SaaS Security Threat Report-ի: Հարձակվողներն այլևս ուղղակիորեն կազմակերպությունների դեմ չեն գնում: Նրանք հարձակվում են այն SaaS-գործիքների վրա, որոնց կազմակերպությունները վստահում են իրենց գրառումներով:

Երբ ձեր cloud-գործիքը հարձակման թիրախ է, ուժեղ ներքին ցանցն օգնություն չի տալիս: Հաճախորդների գրառումները, աշխատողների փաստաթղթերը և զգայուն բովանդակությունը ապրում են գործիքի սերվերներում: Նրանք կողպված են գործիքի բանալիներով: Նրանք ի հայտ են գալիս, երբ գործիքը հարվածի է ենթարկվում:

2024-ի SaaS-խախտումների թվեր

2024-ի խախտումների ընդհանուր ցուցանիշները ցույց են տալիս ռիսկի մասշտաբը:

Conduent-ը կրեց խախտում, որը բացահայտեց 25,9 մլն գրառում: Conduent-ը բիզնես-գործընթացային աշխատանք է կատարում կառավարական կառույցների և խոշոր ֆիրմաների համար: Այն կառավարում է նպաստները, վճարումները և քաղաքացիական ծառայությունները: Տուժած 25,9 մլն մարդ չգիտեր, որ երրորդ կողմն ուներ իրենց տեղեկությունը:

NHS Digital-ն ունեցավ խախտում, որը հարվածեց 9 մլն հիվանդի: Հիվանդների գրառումները ի հայտ եկան cloud-գործիքի սերվերների միջոցով: Հիվանդները տվեցին այդ տեղեկությունը բժիշկներին: Նրանք պատճառ չունեին գիտենալ, որ այն երբևէ հասնի երրորդ կողմի հարթակ:

Այս դեպքերը հազվագյուտ չեն: Դրանք նոր նորմն են: Խոշոր խախտումները այժմ հարվածում են միլիոնավոր մարդկանց, ովքեր վստահել են մի կազմակերպության, բայց ունեն իրենց անձնական տեղեկությունը մեկ այլ կողմի մոտ, որն երբեք չեն ճանաչել: Ինչ վերաբերում է օրենքի կողմից մեղքի բաշխմանը, տե՛ս մեր GDPR-ի համապատասխանության ամփոփումը:

Ինչու SaaS-խախտումներն ունեն տարբեր բնույթ

Դասական ցանցային խախտումը ներառում է բազում քայլ: Հարձակվողները պետք է անցնեն պարագծի վրայով: Նրանք պետք է տեղաշարժվեն համակարգերում: Նրանք պետք է հանեն փաստաթղթերը: Յուրաքանչյուր քայլ կարողանա է բռնվելու հնարավորություն:

SaaS-խախտումներն այլ կերպ են աշխատում: Երբ հարձակվողներն ուղղվում են cloud-հարթակ, նրանք հասնում են այդ հարթակի միջոցով բովանդակություն ուղարկած յուրաքանչյուր հաճախորդի գրառումներին: Մեկ խախտումը տասնյակ կամ հարյուրավոր հաճախորդներից փաստաթղթեր է բերում:

9-րոպե անոց խախտման պատուհանը — ժամանակ առաջին մուտքից մինչև SaaS-համակարգերում գրառումների գողություն, ըստ Obsidian Security-ի դեպքի նկարագրությունների — ցույց է տալիս, թե որքան արագ է դա աշխատում: Ընդհանուր հարթակում հարձակվողները գտնում են բազմաթիվ հաճախորդների բովանդակություն: Արժեքի այդ կենտրոնացումը յուրաքանչյուր հարձակում դարձնում է բարձր արդյունավետ:

Պայմանագրերը չեն կարող փակել այս բացը: GDPR 82-րդ հոդվածը մշակողներին ընդհանուր մեղք է վերագրում նրանց պատճառած խախտումների համար: Բայց մեղքը ապացուցելը ամիսներ է պահանջում: Այդ ժամանակ գրառումները արդեն կորած են: Տե՛ս մեր անվտանգության և համապատասխանության էջը՝ zero-knowledge գործիքների ազդեցության մասին:

DPA-ն չի պաշտպանում ձեր գրառումները

GDPR 28-րդ հոդվածն ասում է, որ կազմակերպությունները պետք է օգտագործեն միայն այն մշակողներին, ովքեր տալիս են "բավարար երաշխիքներ": Տվյալների մշակման պայմանագիրն այդ երաշխիքների գրավոր ապացույցն է:

Նման HIPAA-ի բիզնես-գործընկերի համաձայնագրի, DPA-ն ծածկում է իրավական կողմը: Այն չի ծածկում, թե ինչ է կատարվում ձեր փաստաթղթերի հետ պրովայդերի սերվերներում:

Մի cloud-գործիք, որն ունի լիովին GDPR-ին համապատասխան DPA, կարող է:

  • Պահել հաճախորդների գրառումները՝ օգտագործելով սերվերի կողմի կոդավորում պրովայդերի բանալիներով
  • Կատարել աշխատողների տեղեկատվությունը ընդհանուր համակարգում, որն օգտագործվում է շատ այլ հաճախորդների կողմից
  • Պահել մատյաններ և կեշ-բովանդակություն համաձայնեցված օգտագործումից դուրս
  • Ենթարկվել խախտման, որը բացում է վերոնշյալ ամենը

DPA-ն սահմանում է իրավական պարտքեր: Այն տեխնիկական պատ չի ստեղծում ի հայտ գալու դեմ: Երբ հարձակվողները 9 րոպեում ներթափանցում են հարթակ, DPA-ն չի դանդաղեցնում նրանց:

Տե՛ս GDPR-ի բառարանը՝ 28-րդ հոդվածի պարտքերի հասկանալի բացատրության համար:

Ինչու 300%-անոց աճն կառուցվածքային է

300%-անոց աճն արտացոլում է երկու ուժ, որոնք գործում են միաժամանակ:

Նախ, SaaS-հարթակներում զգայուն տեղեկատվության ծավալը 2024-ին կտրուկ աճեց: Ավելի շատ կազմակերպություններ ավելի շատ աշխատանք տեղափոխեցին cloud-գործիքներ: Ավելի շատ փաստաթղթ հայտնվեց երրորդ կողմի սերվերներում: Ավելի շատ բովանդակություն՝ ավելի մեծ հիմք այն սերվերներն ուղղված պահելու:

Երկրորդ, հարձակվողները հարմարվեցին: Կազմակերպություններն այժմ SaaS-գործիքների միջոցով ուղարկում են հաճախորդների գրառումներ, ֆինանսական տեղեկամատյաններ, HR-տեղեկություններ, իրավական բովանդակություն և առողջապահական գրառումներ: Մի հարթակ հարվածելը բազմաթիվ հաճախորդների գրառումներ է տալիս: Մաթեմատիկան ձեռնտու է հարթակների հետևից գնալ՝ ի տարբերություն առանձին կազմակերպությունների:

300%-անոց ցուցանիշը հանցավոր աճ չէ: Այն նշում է կառուցվածքային տեղաշարժ, թե ուր են ուղղված հարձակումները:

Zero-Knowledge անանունացումը՝ լուծում

Լուծումն սկսվում է մտածողության մի տեղաշարժից: Եթե ցանկացած հարթակ կարելի է հարվածել — և 2024-ի արձանագրությունն ապացուցում է, որ կարելի է — ուրեմն ոչ մի հարթակ չպետք է ձեր հաճախորդների անձնական տեղեկությունը ստանա ընթերցելի ձևով:

Վերբեռնելուց առաջ Zero-knowledge անանունացումն ամբողջությամբ փոխում է խախտման ռիսկը: Երբ Zero-knowledge-մշակված բովանդակություն ունեցող հարթակ հարձակման է ենթարկվում:

  • Հարձակվողները հայտնաբերում են անանունացված գրառումներ՝ ոչ մի ընթերցելի հաճախորդ-նույնիչ
  • Ծանուցման կարիք չկա, քանի որ ոչ մի անձնական տեղեկություն ի հայտ չի եկել
  • GDPR 82-րդ հոդվածի ընդհանուր պատասխանատվության գործ չի պահանջվում
  • Խախտումից կարգավորիչ հետևություններ չեն ծագում

Հարձակումը հարվածում է հարթակին: Այն չի հասնում ձեր հաճախորդներին: Նրանց անձնական տեղեկությունը երբեք ընթերցելի ձևով հարթակի սերվերներ չի հասել:

Այս տեսություն չէ: Պարզ փաստ է. գողանալու գրառումներ չկան, քանի որ ոչ մի ընթերցելի ձևով ուղարկված չի եղել: Հաճախ տրվող հարցեր-ն ծածկում է zero-knowledge անանունացման ընդհանուր հարցերը: Մեր գնագոյացման էջ-ն ցույց է տալիս, թե ինչ արժե այս պաշտպանությունը մասշտաբում:

300%-անոց աճը փոխում է ռիսկի մաթեմատիկան: Մատակարարի անվտանգության վիճակն ու պայմանագրային պայմանները ստուգելը նշանակում է խաղ անել, որ ձեր մատакарারը հաջորդ վերնագիրը չի դառնա: Zero-knowledge անանունացումը հեռացնում է այդ խաղը:

Աղբյուրներ

Հոդվածներ, որոնք կապված են

GDPR & Համապատասխանություն

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Համապատասխանություն

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Համապատասխանություն

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Պատրաստ եք պաշտպանելու ձեր տվյալները?

Սկսեք PII անանոնիմացնել 285+ կազմակերպության տեսակներով 48 լեզուներով:

Սկսեք անվճար փորձաշրջանԴիտել առանձնահատկությունները

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.