Vendor Kini Menjadi Permukaan Serangan
Selama satu dekade, tim keamanan perusahaan berfokus pada pertahanan perimeter: amankan jaringan, lindungi endpoint, kendalikan akses ke sistem internal. Model ancaman mengasumsikan bahwa penyerang akan mencoba menembus organisasi secara langsung.
Data pelanggaran SaaS tahun 2024 membuktikan model ini sudah usang. Pelanggaran SaaS melonjak 300% pada 2024, menurut Laporan Ancaman Keamanan SaaS 2025 dari Obsidian Security. Penyerang tidak lagi menargetkan organisasi secara langsung — mereka menargetkan vendor SaaS yang dipercaya organisasi tersebut untuk menyimpan datanya.
Ketika vendor Anda menjadi permukaan serangan, fakta bahwa jaringan internal Anda aman sudah tidak relevan. Data pelanggan, catatan karyawan, dan informasi bisnis sensitif yang Anda proses melalui vendor tersebut berada di infrastruktur mereka, dapat diakses dengan kunci mereka, dan terekspos ketika sistem mereka dibobol.
Angka Pelanggaran SaaS 2024
Skala pelanggaran SaaS 2024 menggambarkan besarnya paparan risiko:
Conduent mengalami pelanggaran yang mengekspos 25,9 juta rekaman. Conduent menyediakan layanan alih daya proses bisnis kepada lembaga pemerintah dan perusahaan besar — termasuk administrasi tunjangan, pemrosesan pembayaran, dan portal layanan warga. 25,9 juta rekaman tersebut mencakup individu yang berinteraksi dengan layanan pemerintah dan tidak mengetahui bahwa informasi mereka disimpan oleh vendor pihak ketiga.
NHS Digital mengalami pelanggaran yang berdampak pada 9 juta pasien. Pelanggaran NHS mengekspos data pasien yang diproses melalui infrastruktur vendor SaaS — informasi klinis yang diberikan pasien kepada penyedia layanan kesehatan mereka, tanpa sepengetahuan bahwa data tersebut diteruskan ke platform pihak ketiga.
Ini bukan kejadian luar biasa. Ini adalah kondisi normal baru untuk paparan data: pelanggaran skala besar yang berdampak pada jutaan individu yang memberikan data kepada organisasi yang mereka percaya, yang kemudian meneruskannya ke vendor yang tidak pernah mereka ketahui keberadaannya.
Mengapa Pelanggaran SaaS Secara Struktural Berbeda
Pelanggaran jaringan tradisional mengharuskan penyerang menembus perimeter organisasi, menavigasi sistem internal, dan mengekstrak data — proses multi-tahap dengan berbagai kesempatan deteksi.
Pelanggaran SaaS beroperasi secara berbeda. Penyerang yang berhasil mengkompromikan vendor SaaS mendapatkan akses ke data setiap pelanggan yang telah memproses informasi melalui vendor tersebut. Satu kompromi menghasilkan catatan pelanggan dari puluhan atau ratusan klien perusahaan sekaligus.
Jendela pelanggaran 9 menit — waktu antara akses awal dan kompromi data di lingkungan SaaS, berdasarkan data respons insiden Obsidian Security — mencerminkan perbedaan struktural ini. Begitu masuk ke infrastruktur vendor, penyerang menemukan data dari berbagai organisasi yang disimpan dalam lingkungan bersama. Permukaan serangan mengkonsentrasikan nilai.
Bagi organisasi yang telah menandatangani Perjanjian Pemrosesan Data (DPA) yang sesuai GDPR dengan vendor SaaS mereka, pelanggaran tidak menghilangkan kewajiban kepatuhan. GDPR Pasal 82 menetapkan kewajiban bersama kepada pemroses data atas pelanggaran yang diakibatkan oleh ketidakpatuhan mereka terhadap kewajiban GDPR. Namun kewajiban bersama mengharuskan pembuktian bahwa vendor tidak patuh — investigasi kompleks yang membutuhkan berbulan-bulan sementara data sudah berada di tangan pelaku ancaman.
DPA Tidak Melindungi Data
GDPR Pasal 28 mengharuskan organisasi hanya menggunakan pemroses yang memberikan "jaminan yang memadai" untuk menerapkan langkah-langkah teknis dan organisasi yang sesuai. Perjanjian Pemrosesan Data adalah bukti kontraktual dari jaminan tersebut.
Seperti BAA dalam HIPAA, DPA mengatur hubungan kontraktual. DPA tidak mengatur realitas teknis tentang apa yang terjadi pada data Anda di infrastruktur vendor.
Vendor SaaS yang beroperasi di bawah DPA yang sesuai GDPR mungkin masih:
- Menyimpan data pelanggan Anda menggunakan enkripsi sisi server dengan kunci yang dikendalikan vendor
- Memproses informasi karyawan Anda dalam lingkungan multi-tenant yang dibagi dengan pelanggan lain
- Menyimpan log data, catatan pemrosesan, dan konten cache melebihi tujuan yang ditetapkan dalam perjanjian Anda
- Mengalami kompromi infrastruktur yang mengekspos semua hal di atas
DPA menciptakan kewajiban. DPA tidak menciptakan hambatan teknis terhadap paparan data. Ketika penyerang membobol vendor dalam 9 menit, DPA tidak memperlambat mereka.
Lonjakan 300% Adalah Efek Seleksi
Lonjakan 300% dalam pelanggaran SaaS mencerminkan dua tren yang berjalan bersamaan.
Pertama, volume absolut data di platform SaaS tumbuh substansial pada 2024. Ketika lebih banyak organisasi memindahkan lebih banyak proses ke vendor berbasis cloud, data yang tersedia di lingkungan vendor meningkat secara proporsional. Lebih banyak data di infrastruktur vendor menciptakan lebih banyak insentif bagi penyerang untuk menargetkan infrastruktur vendor.
Kedua, penyerang telah mengadaptasi metodologi mereka untuk mencocokkan konsentrasi nilai. Organisasi kini memproses lebih banyak data sensitif melalui lebih banyak vendor SaaS dari sebelumnya — catatan pelanggan, transaksi keuangan, data SDM, dokumen hukum, informasi kesehatan. Vendor SaaS telah menjadi target bernilai tinggi karena membobol satu vendor menghasilkan data dari banyak organisasi.
Angka 300% menggambarkan pergeseran struktural ke mana serangan diarahkan, bukan sekadar peningkatan aktivitas kriminal generik.
Arsitektur Zero-Knowledge sebagai Mitigasi Risiko Vendor
Pergeseran konseptual yang diperlukan arsitektur zero-knowledge cukup sederhana: jika vendor Anda tidak dapat dipercaya untuk menyimpan data Anda dengan aman — bukan karena kegagalan spesifik apa pun, tetapi karena vendor mana pun dapat dibobol — maka data Anda tidak seharusnya sampai ke vendor Anda dalam bentuk yang dapat diidentifikasi.
Anonymisasi zero-knowledge sebelum transmisi ke vendor SaaS mengubah paparan pelanggaran secara fundamental. Ketika vendor yang menggunakan data yang diproses dengan zero-knowledge dibobol:
- Penyerang mengakses rekaman yang telah dianonimkan tanpa pengidentifikasi pelanggan yang dapat dipulihkan
- Tidak diperlukan pemberitahuan kepada subjek data karena tidak ada data pribadi yang terekspos
- Tidak diperlukan investigasi kewajiban bersama GDPR Pasal 82
- Tidak ada penyelidikan penegakan regulasi yang timbul dari pelanggaran
Pelanggaran berdampak pada vendor. Pelanggaran tidak berdampak pada data pelanggan Anda karena data pelanggan Anda tidak pernah berada di server vendor dalam bentuk yang dapat dipulihkan.
Lonjakan 300% dalam pelanggaran SaaS mengubah perhitungan risiko vendor. Organisasi yang mengevaluasi vendor hanya berdasarkan postur keamanan dan komitmen kontraktual mempercayakan bahwa vendor mereka tidak akan muncul dalam statistik pelanggaran berikutnya. Arsitektur zero-knowledge menghilangkan ketergantungan tersebut.
Sumber: