Furnizorul este acum suprafața de atac
Durante o decadă, echipele de securitate din întreprinderi s-au concentrat pe apărarea perimetrului: securizarea rețelei, protejarea punctelor finale, controlul accesului la sistemele interne. Modelul de amenințare presupunea că atacatorii vor încerca să penetreze organizația direct.
Datele privind breșele SaaS din 2024 arată că acest model este depășit. Breșele SaaS au crescut cu 300% în 2024, conform Raportului de amenințări la securitate SaaS 2025 al Obsidian Security. Atacatorii nu mai vizează organizațiile direct — ei vizează furnizorii SaaS cărora acele organizații le încredințează datele.
Când furnizorul dvs. este suprafața de atac, faptul că propria dvs. rețea este sigură este irelevant. Datele clienților, înregistrările angajaților și informațiile sensibile ale afacerii pe care le-ați procesat prin acel furnizor se află pe infrastructura lor, accesibile cu cheile lor, și expuse atunci când sistemele lor sunt compromise.
Cifrele breșelor SaaS din 2024
Scara breșelor SaaS din 2024 ilustrează expunerea:
Conduent a suferit o breșă care a expus 25,9 milioane de înregistrări. Conduent oferă servicii de externalizare a proceselor de afaceri pentru agențiile guvernamentale și întreprinderile mari — inclusiv administrarea beneficiilor, procesarea plăților și portaluri de servicii pentru cetățeni. Cele 25,9 milioane de înregistrări includeau persoane care au interacționat cu serviciile guvernamentale și nu știau că informațiile lor erau deținute de un furnizor terț.
NHS Digital a suferit o breșă care a afectat 9 milioane de pacienți. Breșa NHS a expus datele pacienților procesate prin infrastructura unui furnizor SaaS — informații clinice pe care pacienții le furnizaseră furnizorilor lor de servicii medicale și nu aveau niciun motiv să creadă că au fost transmise unei platforme terțe.
Acestea nu sunt cazuri izolate. Ele reprezintă noua normalitate pentru expunerea datelor: breșe la scară largă care afectează milioane de persoane care au furnizat date organizațiilor în care aveau încredere, care le-au transmis furnizorilor pe care acele persoane nu știau că există.
De ce breșele SaaS sunt structural diferite
Breșele tradiționale ale rețelei necesită ca atacatorii să penetreze perimetrul unei organizații, să navigheze prin sistemele interne și să exfiltreze datele — un proces cu mai multe etape cu mai multe oportunități de detectare.
Breșele SaaS funcționează diferit. Atacatorii care compromit un furnizor SaaS obțin acces la datele fiecărui client care a procesat informații prin acel furnizor. O singură compromitere produce înregistrări de clienți din zeci sau sute de clienți enterprise simultan.
Fereastra de breșă de 9 minute — timpul dintre accesul inițial și compromiterea datelor în mediile SaaS, conform datelor de răspuns la incidente ale Obsidian Security — reflectă această diferență structurală. Odată ce se află în infrastructura unui furnizor, atacatorii întâlnesc date din mai multe organizații stocate într-un mediu partajat. Suprafața de atac concentrează valoarea.
Pentru organizațiile care au semnat Acorduri de prelucrare a datelor conforme cu GDPR cu furnizorii lor SaaS, breșa nu elimină răspunderea de conformitate. Articolul 82 GDPR atribuie răspundere comună prelucratorilor de date pentru breșele care rezultă din nerespectarea obligațiilor GDPR. Dar răspunderea comună necesită dovedirea că furnizorul nu a respectat — o investigație complexă care durează luni în timp ce datele sunt deja în mâinile actorilor amenințători.
DPA nu protejează datele
Articolul 28 GDPR necesită ca organizațiile să utilizeze doar procesatori care oferă "garanții suficiente" pentru a implementa măsuri tehnice și organizatorice adecvate. Acordul de prelucrare a datelor este dovada contractuală a acestor garanții.
Ca și BAA-ul HIPAA, DPA abordează relația contractuală. Nu abordează realitatea tehnică a ceea ce se întâmplă cu datele dvs. pe infrastructura furnizorului.
Un furnizor SaaS care operează sub un DPA conform GDPR poate totuși:
- Stoca datele clienților dvs. folosind criptare la nivel de server cu chei controlate de furnizor
- Procesa informații despre angajații dvs. într-un mediu multi-tenant partajat cu alți clienți
- Reține jurnale de date, înregistrări de prelucrare și conținut în cache dincolo de scopurile specificate în acordul dvs.
- Să aibă infrastructura lor compromisă într-un mod care expune toate cele de mai sus
DPA creează obligații. Nu creează o barieră tehnică la expunerea datelor. Când atacatorii compromit furnizorul în 9 minute, DPA nu îi încetinește.
Creșterea de 300% este un efect de selecție
Creșterea de 300% a breșelor SaaS reflectă două tendințe care funcționează simultan.
În primul rând, volumul absolut de date în platformele SaaS a crescut substanțial în 2024. Pe măsură ce mai multe organizații au mutat mai multe procese la furnizori bazați pe cloud, datele disponibile în mediile furnizorilor au crescut proporțional. Mai multe date pe infrastructura furnizorului creează mai mult stimulent pentru atacatori să vizeze infrastructura furnizorului.
În al doilea rând, atacatorii și-au adaptat metodologia pentru a se potrivi concentrării valorii. Organizațiile acum procesează mai multe date sensibile prin mai mulți furnizori SaaS decât oricând — înregistrări de clienți, tranzacții financiare, date HR, documente juridice, informații medicale. Furnizorii SaaS au devenit ținte cu valoare ridicată deoarece breșa unui furnizor produce date din multe organizații.
Cifra de 300% descrie o schimbare structurală în locul în care sunt direcționate atacurile, nu doar o creștere a activității criminale generice.
Arhitectura Zero-Knowledge ca atenuare a riscului furnizorului
Schimbarea conceptuală pe care o necesită arhitectura zero-knowledge este simplă: dacă furnizorul dvs. nu poate fi de încredere să dețină datele dvs. în siguranță — nu din cauza vreunei defecțiuni specifice, ci pentru că orice furnizor poate fi compromis — atunci datele dvs. nu ar trebui să ajungă niciodată la furnizorul dvs. în formă identificabilă.
Anonimizarea zero-knowledge înainte de transmiterea la furnizorii SaaS schimbă expunerea breșei fundamental. Când un furnizor care utilizează date procesate zero-knowledge este compromis:
- Atacatorii accesează înregistrări anonimizate fără identificatori de clienți recuperabili
- Nu este necesară notificarea subiectului datelor deoarece nu au fost expuse date personale
- Nu este necesară investigația de răspundere comună conform articolului 82 GDPR
- Nicio investigație de aplicare a reglementărilor nu rezultă din breșă
Breșa afectează furnizorul. Nu afectează datele clienților dvs. deoarece datele clienților dvs. nu au fost niciodată pe serverele furnizorului în formă recuperabilă.
Creșterea de 300% a breșelor SaaS schimbă calculul riscului furnizorului. Organizațiile care evaluează furnizorii doar pe baza poziției de securitate și a angajamentelor contractuale se bazează pe faptul că furnizorul lor nu va apărea în următoarea statistică de breșă. Arhitectura zero-knowledge elimină această dependență.
Surse: