anonym.legal
Tilbake til BloggGDPR & Overholdelse

SaaS-brudd økte med 300 % i 2024: Hvorfor...

Conduent eksponerte 25,9 millioner poster. NHS Digital: 9 millioner pasienter. Angripere bryter seg inn i SaaS-leverandører på 9 minutter.

March 11, 20269 min lesing
SaaS securitydata breach 2024zero-knowledge architecturevendor risk managementGDPR Article 28

Leverandøren er nå angrepsflaten

I et tiår har sikkerhetsteam i bedrifter fokusert på perimeterforsvar: sikre nettverket, beskytte endepunktene, kontrollere tilgang til interne systemer. Trusselmodellen antok at angripere ville prøve å trenge inn i organisasjonen direkte.

Dataene om SaaS-brudd i 2024 viser at denne modellen er foreldet. SaaS-brudd økte med 300 % i 2024, ifølge Obsidian Securitys rapport om SaaS-sikkerhetstrusler for 2025. Angripere retter seg ikke lenger direkte mot organisasjoner — de retter seg mot SaaS-leverandørene som disse organisasjonene stoler på med dataene sine.

Når leverandøren din er angrepsflaten, er det irrelevant at ditt eget nettverk er sikkert. Kundedata, ansattregistre og sensitiv forretningsinformasjon du har behandlet gjennom den leverandøren, er på deres infrastruktur, tilgjengelig med deres nøkler, og eksponert når systemene deres blir kompromittert.

Tallene for SaaS-brudd i 2024

Omfanget av SaaS-brudd i 2024 illustrerer eksponeringen:

Conduent opplevde et brudd som eksponerte 25,9 millioner poster. Conduent tilbyr tjenester for outsourcing av forretningsprosesser til offentlige etater og store bedrifter — inkludert administrasjon av ytelser, betalingsbehandling og borgerportaler. De 25,9 millioner postene inkluderte individer som interagerte med offentlige tjenester og ikke hadde noen anelse om at informasjonen deres ble holdt av en tredjepartsleverandør.

NHS Digital opplevde et brudd som påvirket 9 millioner pasienter. Bruddet i NHS eksponerte pasientdata behandlet gjennom en SaaS-leverandørs infrastruktur — klinisk informasjon som pasienter hadde gitt til helsepersonell og ikke hadde noen grunn til å tro ble overført til en tredjepartsplattform.

Dette er ikke unntak. De representerer den nye normalen for dataeksponering: storskala brudd som påvirker millioner av individer som har gitt data til organisasjoner de stolte på, som videreformidlet det til leverandører disse individene aldri visste eksisterte.

Hvorfor SaaS-brudd er strukturelt forskjellige

Tradisjonelle nettverksbrudd krever at angripere trer inn i en organisasjons perimeter, navigerer i interne systemer og eksfiltrerer data — en flertrinnsprosess med flere muligheter for oppdagelse.

SaaS-brudd fungerer annerledes. Angripere som kompromitterer en SaaS-leverandør får tilgang til dataene til hver kunde som har behandlet informasjon gjennom den leverandøren. Et enkelt brudd gir kundepostene til dusinvis eller hundrevis av bedriftskunder samtidig.

Den 9-minutters bruddvinduet — tiden mellom første tilgang og datakomprimasjon i SaaS-miljøer, ifølge Obsidian Securitys data om hendelsesrespons — reflekterer denne strukturelle forskjellen. Når angripere er inne i en leverandørs infrastruktur, møter de data fra flere organisasjoner lagret i et delt miljø. Angrepsflaten konsentrerer verdien.

For organisasjoner som har signert GDPR-kompatible databehandlingsavtaler med sine SaaS-leverandører, eliminerer ikke bruddet ansvar for overholdelse. GDPR Artikkel 82 tildeler felles ansvar til databehandlere for brudd som skyldes deres manglende overholdelse av GDPR-forpliktelser. Men felles ansvar krever bevis for at leverandøren ikke overholdt — en kompleks etterforskning som tar måneder mens dataene allerede er i hendene på trusselaktører.

DPA beskytter ikke dataene

GDPR Artikkel 28 krever at organisasjoner kun bruker behandlere som gir "tilstrekkelige garantier" for å implementere passende tekniske og organisatoriske tiltak. Databehandlingsavtalen er det kontraktsmessige beviset på disse garantiene.

Som HIPAA's BAA, adresserer DPA det kontraktsmessige forholdet. Den adresserer ikke den tekniske virkeligheten av hva som skjer med dataene dine på leverandørens infrastruktur.

En SaaS-leverandør som opererer under en GDPR-kompatibel DPA kan fortsatt:

  • Lagrer kundedataene dine ved hjelp av server-side kryptering med leverandørkontrollerte nøkler
  • Behandler informasjonen til ansatte i et flerleiet miljø delt med andre kunder
  • Beholder datalogg, behandlingsregistre og bufret innhold utover formålene spesifisert i avtalen din
  • Få sin infrastruktur kompromittert på en måte som eksponerer alt det ovennevnte

DPA skaper forpliktelser. Den skaper ikke en teknisk barriere mot dataeksponering. Når angripere bryter seg inn i leverandøren på 9 minutter, bremser ikke DPA dem.

300 % økningen er en seleksjonseffekt

Den 300 % økningen i SaaS-brudd reflekterer to trender som opererer samtidig.

For det første vokste det absolutte volumet av data i SaaS-plattformer betydelig i 2024. Etter hvert som flere organisasjoner flyttet flere prosesser til skybaserte leverandører, økte dataene tilgjengelig i leverandørmiljøer proporsjonalt. Mer data på leverandørinfrastruktur skaper mer insentiv for angripere til å målrette mot leverandørinfrastruktur.

For det andre har angripere tilpasset metodikken sin for å matche verdikonsentrasjonen. Organisasjoner behandler nå mer sensitiv data gjennom flere SaaS-leverandører enn noen gang før — kundeposter, finansielle transaksjoner, HR-data, juridiske dokumenter, helseopplysninger. SaaS-leverandører har blitt høyt verdsatte mål fordi et brudd på én leverandør gir data fra mange organisasjoner.

Tallet 300 % beskriver et strukturelt skifte i hvor angrep rettes, ikke bare en økning i generell kriminell aktivitet.

Zero-Knowledge-arkitektur som risikoredusering for leverandører

Det konseptuelle skiftet som zero-knowledge-arkitektur krever, er enkelt: hvis leverandøren din ikke kan stoles på for å holde dataene dine sikkert — ikke på grunn av noen spesifikk feil, men fordi enhver leverandør kan bli brutt — så bør dataene dine aldri nå leverandøren din i identifiserbar form.

Zero-knowledge-anonymisering før overføring til SaaS-leverandører endrer bruddseksponeringen fundamentalt. Når en leverandør som bruker zero-knowledge-behandlede data blir brutt:

  • Angripere får tilgang til anonymiserte poster uten gjenopprettbare kundekjennetegn
  • Ingen varsling til databehandlere er nødvendig fordi ingen personopplysninger ble eksponert
  • Ingen felles ansvar etter GDPR Artikkel 82-etterforskning er nødvendig
  • Ingen regulatorisk håndhevelse undersøkelser følger som resultat av bruddet

Bruddet påvirker leverandøren. Det påvirker ikke kundedataene dine fordi kundedataene dine aldri var på leverandørens servere i gjenopprettbar form.

Den 300 % økningen i SaaS-brudd endrer beregningen av leverandørens risiko. Organisasjoner som vurderer leverandører utelukkende basert på sikkerhetsstatus og kontraktsforpliktelser, stoler på at leverandøren deres ikke vil dukke opp i neste brudstatistikk. Zero-knowledge-arkitektur eliminerer den avhengigheten.

Kilder:

Relaterte Artikler

GDPR & Overholdelse

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Overholdelse

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Overholdelse

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Klar til å beskytte dataene dine?

Begynn å anonymisere PII med 285+ enhetstyper på 48 språk.

Start Gratis PrøveperiodeSe Funksjoner