Tiekėjas tapo atakos paviršiumi
Atnaujinta 2026 m.
Dešimtmetį saugumo komandos siekė vieno tikslo: neleisti uzpuolikams patekti į tinklą. Apsaugoti perimetrą. Užrakinti galinius įrenginius. Valdyti prisijungimų teises. Senasis modelis prezumavo, kad uzpuolikai eis tiesiai prieš jūsų organizaciją.
2024 m. skaičiai rodo, kad tas modelis nebeveikia. SaaS pažeidimai išaugo 300 % 2024 m., remiantis Obsidian Security 2025 m. SaaS saugumo gresmių ataskaita. Uzpuolikai nebepuola organizacijų tiesiogiai. Jie taikosi į SaaS įrankius, kuriems tos organizacijos patiki savo duomenis.
Kai debesijos įrankis yra atakos taikinys, stiprus vidinis tinklas nepadeda. Klientų įrašai, darbuotojų dokumentai ir slaptas turinys gyvena tiekejo serveriuose. Jie užrakinti tiekejo raktais. Jie atsiduria po atakos.
2024 m. SaaS pažeidimų skaičiai
2024 m. pažeidimų rezultatai rodo rizikos mastą.
Conduent patyrė pažeidimą, atskleidusį 25,9 mln. įrašų. Conduent vykdo verslo proceso darbus vyriausybinėms agentūroms ir didelėms įmonėms. Ji tvarko išmokas, mokėjimus ir piliečių paslaugas. Paveikti 25,9 mln. žmonių neturėjo jokio supratimo, kad trečioji šalis laiko jų informaciją.
NHS Digital patyrė pažeidimą, palietusį 9 mln. pacientų. Pacientų įrašai buvo atskleisti per debesijos įrankio serverius. Pacientai tą informaciją pateikė savo sveikatos priežiūros teikejams. Jiems nebuvo jokios priežasties žinoti, kad ji kada nors pateko į trečiosios šalies platformą.
Tai nėra retos įvykiai. Tai yra nauja norma. Dideli pažeidimai dabar paliečia milijonus žmonių, kurie pasitikėjo viena organizacija, bet jų asmeninė informacija buvo laikoma kitos, kurios jie niekada nežinojo. Dėl to, kaip įstatymai priskiria kaltę tokiose bylose, žiūrėkite mūsų BDAR atitikties apžvalgą.
Kodėl SaaS pažeidimai veikia skirtingai
Klasikinis tinklo pažeidimas reikalauja daugelio žingsnių. Uzpuolikai turi praeiti perimetrą. Jie turi judėti per sistemas. Jie turi išgauti dokumentus. Kiekvienas žingsnis yra galimybė būti sugautiems.
SaaS pažeidimai veikia kitaip. Kai uzpuolikai puola debesijos platformą, jie pasiekia kiekvieno kliento, siunčiančio turinį per tą platformą, įrašus. Vienas pažeidimas duoda dokumentus iš dešimčių ar šimtų klientų iš karto.
9 minučių pažeidimo langas - laikas nuo pirmosios prieigos iki įrašų vagystės SaaS sistemose, pagal Obsidian Security incidentų įrašus - rodo, kaip greitai tai veikia. Bendrojoje platformoje uzpuolikai randa turinį iš daugelio klientų iš karto. Ta vertės koncentracija daro kiekvieną ataką labai efektyvią.
Sutartys neužpildo šios spragos. BDAR 82 straipsnis priskiria bendrą kaltę tvarkytojams už jų sukeltus pažeidimus. Tačiau kaltės įrodymas užima mėnesius. Tuo metu įrašai jau dingo. Žiūrėkite mūsų saugumo ir atitikties puslapį apie tai, kaip nulinių žinių įrankiai keičia šį rezultatą.
DPA neapsaugo jūsų įrašų
BDAR 28 straipsnis sako, kad organizacijos turi naudoti tik tuos tvarkytojus, kurie suteikia "pakankamas garantijas". Duomenų tvarkymo sutartis yra rašytinis tų garantijų įrodymas.
Kaip HIPAA Verslo partnerio sutartis, DPA apima teisinę pusę. Ji neapima to, kas nutinka jūsų dokumentams tiekėjo serveriuose.
Debesijos įrankis su visiškai BDAR atitinkančia DPA vis tiek gali:
- Saugoti klientų įrašus naudodamas serverio pusės šifravimą su tiekėjo laikomais raktais
- Vykdyti darbuotojų informaciją per bendrą sistemą, naudojamą daugelio kitų klientų
- Saugoti žurnalus ir talpykloje laikytą turinį viršijant sutartas sritis
- Patirti pažeidimą, atskleidžiantį visa tai, kas išvardyta aukščiau
DPA nustato teisines pareigas. Ji nesukuria techninio barjero prieš atskleidimą. Kai uzpuolikai laužiasi į platformą per 9 minutes, DPA jų nesulėtina.
Dėl pagalbos paprastai kalba apie 28 straipsnio pareigas žiūrėkite BDAR žodyną.
Kodėl 300 % augimas yra struktūrinis
300 % augimas atspindi dvi vienu metu veikiančias jėgas.
Pirma, neslaptos informacijos apimtis SaaS platformose smarkiai išaugo 2024 m. Daugiau organizacijų perkėlė daugiau darbo į debesijos įrankius. Daugiau dokumentų pateko į trečiųjų šalių serverius. Daugiau turinio reiškia daugiau priežasčių pulti tuos serverius.
Antra, uzpuolikai prisitaikė. Organizacijos dabar siunčia klientų įrašus, finansinius žurnalus, personalo informaciją, teisinį turinį ir sveikatos įrašus per SaaS įrankius. Vienos platformos puolimas duoda įrašus iš daugelio klientų. Matematika skatina pulti platformas, o ne atskiras organizacijas.
300 % skaičius nėra nusikalstamumo šuolis. Tai žymi struktūrinį pokytį atakų kryptimi.
Nulinių žinių anonimizavimas kaip sprendimas
Sprendimas prasideda nuo vieno mąstymo pokyčio. Jei bet kuri platforma gali būti pulta - o 2024 m. įrašas tai įrodo - tai jokia platforma neturėtų gauti jūsų klientų asmeninės informacijos skaitomu pavidalu.
Nulinių žinių anonimizavimas prieš įkėlimą visiškai pakeičia pažeidimo riziką. Kai uzpuolikai puola platformą, laikančią nulinių žinių apdorotą turinį:
- Uzpuolikai pasiekia anonimizuotus įrašus be jokių skaitomų klientų identifikatorių
- Nereikia pranešti duomenų subjektams, nes jokia asmeninė informacija nebuvo atskleista
- Nereikia spręsti BDAR 82 straipsnio bendros atsakomybės bylos
- Pažeidimas nesukelia reguliacinių pasekmių
Ataka puola platformą. Ji nepasiekia jūsų klientų. Jų asmeninė informacija niekada nepateko į platformos serverius skaitomu pavidalu.
Tai nėra teorija. Tai paprastas faktas: nėra ką vogti, nes niekas nebuvo išsiusta skaitomu pavidalu. DUK apima dažniausius klausimus apie nulinių žinių anonimizavimą. Mūsų kainodaros puslapis rodo, kiek šis apsaugojimas kainuoja dideliuose kiekiuose.
300 % augimas keičia rizikos matematiką. Tikrinti tiekėjo saugumo poziciją ir sutarties sąlygas reiškia lažintis, kad jūsų tiekėjas nebus kitas antraštė. Nulinių žinių anonimizavimas pašalina tą lažybą.