De Leverancier Is Nu Het Aanvalspunt
Gedurende een decennium hebben beveiligingsteams van ondernemingen zich gericht op perimeterbeveiliging: beveilig het netwerk, bescherm de eindpunten, controleer de toegang tot interne systemen. Het dreigingsmodel ging ervan uit dat aanvallers zouden proberen de organisatie rechtstreeks binnen te dringen.
De gegevens over SaaS-inbreuken in 2024 tonen aan dat dit model verouderd is. SaaS-inbreuken stegen met 300% in 2024, volgens het 2025 SaaS Security Threat Report van Obsidian Security. Aanvallers richten zich niet langer rechtstreeks op organisaties — ze richten zich op de SaaS-leveranciers die die organisaties vertrouwen met hun gegevens.
Wanneer uw leverancier het aanvalspunt is, is het feit dat uw eigen netwerk veilig is irrelevant. De klantgegevens, werknemersrecords en gevoelige bedrijfsinformatie die u via die leverancier heeft verwerkt, bevinden zich op hun infrastructuur, toegankelijk met hun sleutels, en blootgesteld wanneer hun systemen worden gecompromitteerd.
De Cijfers van SaaS-inbreuken in 2024
De schaal van de SaaS-inbreuken in 2024 illustreert de blootstelling:
Conduent heeft een inbreuk ervaren die 25,9 miljoen records blootlegde. Conduent biedt diensten voor bedrijfsprocesuitbesteding aan overheidsinstanties en grote ondernemingen — inclusief voordelenbeheer, betalingsverwerking en burgerportalen. De 25,9 miljoen records omvatten individuen die interactie hadden met overheidsdiensten en geen weet hadden dat hun informatie door een derde partij werd vastgehouden.
NHS Digital heeft een inbreuk ervaren die 9 miljoen patiënten betreft. De inbreuk bij de NHS blootlegde patiëntgegevens die via de infrastructuur van een SaaS-leverancier werden verwerkt — klinische informatie die patiënten aan hun zorgverleners hadden verstrekt en waarvan ze geen reden hadden om te geloven dat deze naar een derde platform was verzonden.
Dit zijn geen uitschieters. Ze vertegenwoordigen de nieuwe norm voor gegevensblootstelling: grootschalige inbreuken die miljoenen individuen treffen die gegevens hebben verstrekt aan organisaties die ze vertrouwden, die het doorgaven aan leveranciers waarvan die individuen nooit wisten dat ze bestonden.
Waarom SaaS-inbreuken Structureel Anders Zijn
Traditionele netwerk-inbreuken vereisen dat aanvallers de perimeter van een organisatie doorbreken, interne systemen navigeren en gegevens exfiltreren — een meerfasenproces met meerdere detectiemogelijkheden.
SaaS-inbreuken werken anders. Aanvallers die een SaaS-leverancier compromitteren, krijgen toegang tot de gegevens van elke klant die informatie via die leverancier heeft verwerkt. Een enkele inbreuk levert de klantrecords van tientallen of honderden bedrijfscliënten tegelijkertijd op.
Het 9-minuten inbraakvenster — de tijd tussen de eerste toegang en gegevenscompromittering in SaaS-omgevingen, volgens de incidentresponsgegevens van Obsidian Security — weerspiegelt dit structurele verschil. Eenmaal binnen de infrastructuur van een leverancier, komen aanvallers gegevens tegen van meerdere organisaties die zijn opgeslagen in een gedeelde omgeving. Het aanvalspunt concentreert de waarde.
Voor organisaties die GDPR-conforme Data Processing Agreements met hun SaaS-leveranciers hebben ondertekend, elimineert de inbreuk de aansprakelijkheid voor naleving niet. Artikel 82 van de GDPR wijst gezamenlijke aansprakelijkheid toe aan gegevensverwerkers voor inbreuken die voortvloeien uit hun niet-naleving van GDPR-verplichtingen. Maar gezamenlijke aansprakelijkheid vereist bewijs dat de leverancier niet-nalevend was — een complexe onderzoek dat maanden duurt terwijl de gegevens al in handen zijn van bedreigingsactoren.
De DPA Beschermt De Gegevens Niet
Artikel 28 van de GDPR vereist dat organisaties alleen verwerkers gebruiken die "voldoende garanties" bieden om passende technische en organisatorische maatregelen te implementeren. De Data Processing Agreement is het contractuele bewijs van die garanties.
Net als de BAA van HIPAA, behandelt de DPA de contractuele relatie. Het behandelt niet de technische realiteit van wat er met uw gegevens gebeurt op de infrastructuur van de leverancier.
Een SaaS-leverancier die opereert onder een GDPR-conforme DPA kan nog steeds:
- De gegevens van uw klanten opslaan met behulp van server-side encryptie met door de leverancier gecontroleerde sleutels
- De informatie van uw werknemers verwerken in een multi-tenant omgeving die wordt gedeeld met andere klanten
- Gegevenslogs, verwerkingsrecords en gecachte inhoud behouden buiten de doeleinden die in uw overeenkomst zijn gespecificeerd
- Gecompromitteerd worden op een manier die al het bovenstaande blootlegt
De DPA creëert verplichtingen. Het creëert geen technische barrière voor gegevensblootstelling. Wanneer aanvallers de leverancier binnen 9 minuten binnendringen, vertraagt de DPA hen niet.
De 300% Stijging Is Een Selectie-effect
De 300% stijging in SaaS-inbreuken weerspiegelt twee trends die gelijktijdig plaatsvinden.
Ten eerste is het absolute volume aan gegevens in SaaS-platforms in 2024 aanzienlijk gegroeid. Naarmate meer organisaties meer processen naar cloud-gebaseerde leveranciers verplaatsten, nam de beschikbare data in de omgevingen van leveranciers proportioneel toe. Meer gegevens op de infrastructuur van de leverancier creëert meer prikkels voor aanvallers om de infrastructuur van de leverancier te targeten.
Ten tweede hebben aanvallers hun methodologie aangepast om overeen te komen met de waardeconcentratie. Organisaties verwerken nu meer gevoelige gegevens via meer SaaS-leveranciers dan ooit tevoren — klantrecords, financiële transacties, HR-gegevens, juridische documenten, gezondheidsinformatie. SaaS-leveranciers zijn hoge waarde doelwitten geworden omdat het inbreken van één leverancier gegevens van veel organisaties oplevert.
Het cijfer van 300% beschrijft een structurele verschuiving in waar aanvallen op gericht zijn, niet slechts een stijging in algemene criminele activiteit.
Zero-Knowledge Architectuur als Risicobeperking voor Leveranciers
De conceptuele verschuiving die zero-knowledge architectuur vereist, is eenvoudig: als uw leverancier niet te vertrouwen is om uw gegevens veilig te houden — niet vanwege een specifieke fout, maar omdat elke leverancier kan worden gecompromitteerd — dan zouden uw gegevens nooit in identificeerbare vorm bij uw leverancier moeten komen.
Zero-knowledge anonimisering vóór verzending naar SaaS-leveranciers verandert de blootstelling aan inbreuken fundamenteel. Wanneer een leverancier die zero-knowledge-verwerkte gegevens gebruikt, wordt gecompromitteerd:
- Aanvallers krijgen toegang tot geanonimiseerde records zonder terughaalbare klantidentificatoren
- Er is geen melding aan de betrokkene vereist omdat er geen persoonlijke gegevens zijn blootgesteld
- Er is geen onderzoek naar gezamenlijke aansprakelijkheid op basis van Artikel 82 van de GDPR nodig
- Er zijn geen handhavingsonderzoeken van regelgevende instanties als gevolg van de inbreuk
De inbreuk heeft invloed op de leverancier. Het heeft geen invloed op de gegevens van uw klanten omdat de gegevens van uw klanten nooit in terughaalbare vorm op de servers van de leverancier stonden.
De 300% stijging in SaaS-inbreuken verandert de risicobeoordeling van leveranciers. Organisaties die leveranciers uitsluitend beoordelen op beveiligingshouding en contractuele verplichtingen, vertrouwen erop dat hun leverancier niet in de volgende inbreukstatistiek zal verschijnen. Zero-knowledge architectuur elimineert die afhankelijkheid.
Bronnen: