Поставщик теперь является атакующей поверхностью
На протяжении десятилетия команды по безопасности предприятий сосредоточились на защите периметра: защита сети, защита конечных устройств, контроль доступа к внутренним системам. Модель угроз предполагала, что злоумышленники будут пытаться проникнуть в организацию напрямую.
Данные о нарушениях SaaS в 2024 году показывают, что эта модель устарела. Нарушения SaaS увеличились на 300% в 2024 году, согласно отчету Obsidian Security о угрозах безопасности SaaS за 2025 год. Злоумышленники больше не нацеливаются на организации напрямую — они нацеливаются на SaaS-поставщиков, которым эти организации доверяют свои данные.
Когда ваш поставщик является атакующей поверхностью, тот факт, что ваша собственная сеть защищена, не имеет значения. Данные клиентов, записи сотрудников и конфиденциальная бизнес-информация, которые вы обрабатывали через этого поставщика, находятся на их инфраструктуре, доступны с их ключами и подвержены риску, когда их системы скомпрометированы.
Цифры нарушений SaaS в 2024 году
Масштаб нарушений SaaS в 2024 году иллюстрирует степень подверженности:
Conduent столкнулась с нарушением, которое раскрыло 25,9 миллиона записей. Conduent предоставляет услуги аутсорсинга бизнес-процессов государственным учреждениям и крупным предприятиям — включая администрирование льгот, обработку платежей и порталы обслуживания граждан. 25,9 миллиона записей включали людей, которые взаимодействовали с государственными услугами и не знали, что их информация хранится у стороннего поставщика.
NHS Digital столкнулась с нарушением, затронувшим 9 миллионов пациентов. Нарушение NHS раскрыло данные пациентов, обработанные через инфраструктуру SaaS-поставщика — клиническую информацию, которую пациенты предоставили своим поставщикам медицинских услуг и не имели оснований полагать, что она передана на стороннюю платформу.
Это не исключения. Они представляют собой новую норму для подверженности данным: крупномасштабные нарушения, затрагивающие миллионы людей, которые предоставили данные организациям, которым они доверяли, которые передали их поставщикам, о существовании которых эти люди никогда не знали.
Почему нарушения SaaS структурно отличаются
Традиционные сетевые нарушения требуют от злоумышленников проникновения в периметр организации, навигации по внутренним системам и эксфильтрации данных — многоступенчатый процесс с множеством возможностей для обнаружения.
Нарушения SaaS работают иначе. Злоумышленники, которые скомпрометировали SaaS-поставщика, получают доступ к данным каждого клиента, который обрабатывал информацию через этого поставщика. Одно нарушение приводит к получению записей клиентов десятков или сотен корпоративных клиентов одновременно.
9-минутное окно нарушения — время между первоначальным доступом и компрометацией данных в средах SaaS, согласно данным реагирования на инциденты Obsidian Security — отражает эту структурную разницу. Оказавшись внутри инфраструктуры поставщика, злоумышленники сталкиваются с данными нескольких организаций, хранящимися в общем окружении. Атакующая поверхность концентрирует ценность.
Для организаций, которые подписали соглашения о обработке данных, соответствующие требованиям GDPR, нарушение не исключает ответственность за соблюдение. Статья 82 GDPR возлагает совместную ответственность на обработчиков данных за нарушения, которые являются результатом их несоответствия обязательствам GDPR. Но совместная ответственность требует доказательства того, что поставщик не соблюдал требования — сложное расследование, которое занимает месяцы, в то время как данные уже находятся в руках злоумышленников.
DPA не защищает данные
Статья 28 GDPR требует от организаций использовать только обработчиков, которые предоставляют "достаточные гарантии" для внедрения соответствующих технических и организационных мер. Соглашение о обработке данных является контрактным доказательством этих гарантий.
Как и BAA HIPAA, DPA касается контрактных отношений. Оно не касается технической реальности того, что происходит с вашими данными на инфраструктуре поставщика.
SaaS-поставщик, работающий по DPA, соответствующему требованиям GDPR, все еще может:
- Хранить данные ваших клиентов, используя шифрование на стороне сервера с ключами, контролируемыми поставщиком
- Обрабатывать информацию ваших сотрудников в многопользовательской среде, общей с другими клиентами
- Сохранять журналы данных, записи обработки и кэшированный контент сверх целей, указанных в вашем соглашении
- Иметь свою инфраструктуру скомпрометированной таким образом, что это раскрывает все вышеперечисленное
DPA создает обязательства. Он не создает технический барьер для подверженности данным. Когда злоумышленники нарушают безопасность поставщика за 9 минут, DPA не замедляет их.
Увеличение на 300% является эффектом отбора
Увеличение на 300% в нарушениях SaaS отражает две тенденции, действующие одновременно.
Во-первых, абсолютный объем данных в SaaS-платформах значительно увеличился в 2024 году. Поскольку все больше организаций переносили больше процессов к облачным поставщикам, объем данных, доступных в средах поставщиков, увеличивался пропорционально. Большее количество данных на инфраструктуре поставщика создает больше стимулов для злоумышленников нацеливаться на инфраструктуру поставщика.
Во-вторых, злоумышленники адаптировали свою методологию, чтобы соответствовать концентрации ценности. Организации теперь обрабатывают более чувствительные данные через большее количество SaaS-поставщиков, чем когда-либо прежде — записи клиентов, финансовые транзакции, данные HR, юридические документы, медицинскую информацию. SaaS-поставщики стали высокоценными целями, поскольку нарушение одного поставщика приносит данные от многих организаций.
Цифра 300% описывает структурный сдвиг в том, куда направлены атаки, а не просто рост общей преступной активности.
Архитектура нулевого знания как средство снижения рисков поставщика
Концептуальный сдвиг, требуемый архитектурой нулевого знания, прост: если вашему поставщику нельзя доверять хранить ваши данные безопасно — не из-за какой-либо конкретной ошибки, а потому что любой поставщик может быть скомпрометирован — тогда ваши данные никогда не должны достигать вашего поставщика в идентифицируемой форме.
Анонимизация нулевого знания перед передачей SaaS-поставщикам кардинально меняет подверженность нарушениям. Когда поставщик, использующий данные, обработанные с нулевым знанием, подвергается нарушению:
- Злоумышленники получают доступ к анонимизированным записям без восстанавливаемых идентификаторов клиентов
- Уведомление субъектов данных не требуется, потому что никакие персональные данные не были раскрыты
- Не требуется расследование совместной ответственности по статье 82 GDPR
- Никакие регуляторные проверки не возникают в результате нарушения
Нарушение затрагивает поставщика. Оно не затрагивает данные ваших клиентов, потому что данные ваших клиентов никогда не находились на серверах поставщика в восстанавливаемой форме.
Увеличение на 300% в нарушениях SaaS меняет расчет рисков поставщика. Организации, которые оценивают поставщиков исключительно по уровню безопасности и контрактным обязательствам, доверяют, что их поставщик не появится в следующей статистике нарушений. Архитектура нулевого знания устраняет эту зависимость.
Источники: