Il fornitore è ora la superficie d'attacco
Per un decennio, i team di sicurezza aziendale si sono concentrati sulla difesa perimetrale: proteggere la rete, proteggere i punti finali, controllare l'accesso ai sistemi interni. Il modello di minaccia assumeva che gli attaccanti cercassero di penetrare direttamente nell'organizzazione.
I dati sulle violazioni SaaS del 2024 mostrano che questo modello è obsoleto. Le violazioni SaaS sono aumentate del 300% nel 2024, secondo il rapporto sulle minacce alla sicurezza SaaS 2025 di Obsidian Security. Gli attaccanti non stanno più mirando direttamente alle organizzazioni — stanno mirando ai fornitori SaaS di cui quelle organizzazioni si fidano per i loro dati.
Quando il tuo fornitore è la superficie d'attacco, il fatto che la tua rete sia sicura è irrilevante. I dati dei clienti, i record dei dipendenti e le informazioni aziendali sensibili che hai elaborato attraverso quel fornitore sono sulla loro infrastruttura, accessibili con le loro chiavi e esposti quando i loro sistemi sono compromessi.
I numeri delle violazioni SaaS del 2024
La scala delle violazioni SaaS del 2024 illustra l'esposizione:
Conduent ha subito una violazione che ha esposto 25,9 milioni di record. Conduent fornisce servizi di outsourcing dei processi aziendali a enti governativi e grandi imprese — inclusa l'amministrazione dei benefici, l'elaborazione dei pagamenti e i portali di servizio ai cittadini. I 25,9 milioni di record includevano individui che hanno interagito con i servizi governativi e non sapevano che le loro informazioni erano detenute da un fornitore terzo.
NHS Digital ha subito una violazione che ha colpito 9 milioni di pazienti. La violazione dell'NHS ha esposto i dati dei pazienti elaborati attraverso l'infrastruttura di un fornitore SaaS — informazioni cliniche che i pazienti avevano fornito ai loro fornitori di assistenza sanitaria e non avevano motivo di credere fossero trasmesse a una piattaforma di terzi.
Questi non sono casi isolati. Rappresentano la nuova normalità per l'esposizione dei dati: violazioni su larga scala che colpiscono milioni di individui che hanno fornito dati a organizzazioni di cui si fidavano, che li hanno passati a fornitori di cui quegli individui non hanno mai saputo dell'esistenza.
Perché le violazioni SaaS sono strutturalmente diverse
Le violazioni di rete tradizionali richiedono agli attaccanti di penetrare il perimetro di un'organizzazione, navigare nei sistemi interni ed esfiltrare dati — un processo a più fasi con molteplici opportunità di rilevamento.
Le violazioni SaaS operano in modo diverso. Gli attaccanti che compromettono un fornitore SaaS ottengono accesso ai dati di ogni cliente che ha elaborato informazioni attraverso quel fornitore. Una singola compromissione produce i record dei clienti di decine o centinaia di clienti aziendali simultaneamente.
La finestra di violazione di 9 minuti — il tempo tra l'accesso iniziale e la compromissione dei dati negli ambienti SaaS, secondo i dati di risposta agli incidenti di Obsidian Security — riflette questa differenza strutturale. Una volta all'interno dell'infrastruttura di un fornitore, gli attaccanti si trovano di fronte a dati di più organizzazioni memorizzati in un ambiente condiviso. La superficie d'attacco concentra il valore.
Per le organizzazioni che hanno firmato accordi di elaborazione dei dati conformi al GDPR con i loro fornitori SaaS, la violazione non elimina la responsabilità di conformità. L'articolo 82 del GDPR assegna la responsabilità congiunta ai responsabili del trattamento per le violazioni che derivano dalla loro non conformità agli obblighi del GDPR. Ma la responsabilità congiunta richiede di dimostrare che il fornitore non era conforme — un'indagine complessa che richiede mesi mentre i dati sono già nelle mani degli attori delle minacce.
L'Accordo di Elaborazione dei Dati non protegge i dati
L'articolo 28 del GDPR richiede alle organizzazioni di utilizzare solo responsabili che forniscano "garanzie sufficienti" per implementare misure tecniche e organizzative appropriate. L'Accordo di Elaborazione dei Dati è la prova contrattuale di quelle garanzie.
Come il BAA dell'HIPAA, l'Accordo di Elaborazione dei Dati affronta la relazione contrattuale. Non affronta la realtà tecnica di ciò che accade ai tuoi dati sull'infrastruttura del fornitore.
Un fornitore SaaS che opera sotto un Accordo di Elaborazione dei Dati conforme al GDPR può comunque:
- Memorizzare i dati dei tuoi clienti utilizzando la crittografia lato server con chiavi controllate dal fornitore
- Elaborare le informazioni dei tuoi dipendenti in un ambiente multi-tenant condiviso con altri clienti
- Conservare registri dei dati, registrazioni di elaborazione e contenuti memorizzati oltre gli scopi specificati nel tuo accordo
- Avere la propria infrastruttura compromessa in un modo che espone tutto quanto sopra
L'Accordo di Elaborazione dei Dati crea obblighi. Non crea una barriera tecnica all'esposizione dei dati. Quando gli attaccanti violano il fornitore in 9 minuti, l'Accordo di Elaborazione dei Dati non li rallenta.
L'aumento del 300% è un effetto di selezione
L'aumento del 300% nelle violazioni SaaS riflette due tendenze che operano simultaneamente.
In primo luogo, il volume assoluto di dati nelle piattaforme SaaS è cresciuto sostanzialmente nel 2024. Man mano che più organizzazioni spostano più processi verso fornitori basati su cloud, i dati disponibili negli ambienti dei fornitori sono aumentati proporzionalmente. Maggiore è la quantità di dati sull'infrastruttura del fornitore, maggiore è l'incentivo per gli attaccanti a mirare all'infrastruttura del fornitore.
In secondo luogo, gli attaccanti hanno adattato la loro metodologia per corrispondere alla concentrazione di valore. Le organizzazioni ora elaborano più dati sensibili attraverso più fornitori SaaS che mai — record dei clienti, transazioni finanziarie, dati HR, documenti legali, informazioni sanitarie. I fornitori SaaS sono diventati obiettivi di alto valore perché violare un fornitore produce dati da molte organizzazioni.
La cifra del 300% descrive un cambiamento strutturale in cui sono diretti gli attacchi, non semplicemente un aumento dell'attività criminale generica.
Architettura a Zero Conoscenza come Mitigazione del Rischio del Fornitore
Il cambiamento concettuale richiesto dall'architettura a zero conoscenza è semplice: se il tuo fornitore non può essere fidato per mantenere i tuoi dati in modo sicuro — non a causa di un fallimento specifico, ma perché qualsiasi fornitore può essere violato — allora i tuoi dati non dovrebbero mai raggiungere il tuo fornitore in forma identificabile.
L'anonimizzazione a zero conoscenza prima della trasmissione ai fornitori SaaS cambia fondamentalmente l'esposizione alla violazione. Quando un fornitore che utilizza dati elaborati a zero conoscenza viene violato:
- Gli attaccanti accedono a record anonimizzati senza identificatori di clienti recuperabili
- Non è necessaria alcuna notifica ai soggetti dei dati perché non sono stati esposti dati personali
- Non è necessaria alcuna indagine sulla responsabilità congiunta ai sensi dell'articolo 82 del GDPR
- Non risultano indagini di enforcement normativo dalla violazione
La violazione colpisce il fornitore. Non colpisce i dati dei tuoi clienti perché i dati dei tuoi clienti non sono mai stati sui server del fornitore in forma recuperabile.
L'aumento del 300% nelle violazioni SaaS cambia il calcolo del rischio del fornitore. Le organizzazioni che valutano i fornitori esclusivamente sulla postura di sicurezza e sugli impegni contrattuali si fidano che il loro fornitore non apparirà nella prossima statistica sulle violazioni. L'architettura a zero conoscenza elimina quella dipendenza.
Fonti: