Dodávateľ sa stal povrchom útoku
Aktualizované pre rok 2026
Desiatky rokov sa bezpečnostné tímy sústreďovali na jediný cieľ: zabrániť útočníkom preniknúť do siete. Zabezpečiť perimeter. Zamknúť koncové body. Kontrolovať, kto sa môže prihlásiť. Starý model predpokladal, že útočníci prídu priamo na vašu organizáciu.
Čísla z roku 2024 ukazujú, že tento model je rozbitý. Narušenia SaaS vzrástli v roku 2024 o 300 %, podľa správy Obsidian Security 2025 SaaS Security Threat Report. Útočníci už nemieri priamo na organizácie. Zameriavajú sa na SaaS nástroje, ktorým tieto organizácie dôverujú so svojimi záznamami.
Keď je váš cloudový nástroj terčom útoku, silná interná sieť nepomáha. Záznamy zákazníkov, dokumenty zamestnancov a citlivý obsah sa nachádzajú na serveroch tohto nástroja. Sú uzamknuté kľúčmi tohto nástroja. Sú odhalené v okamihu, keď je nástroj zasiahnutý.
Počty narušení SaaS v roku 2024
Celkové počty narušení v roku 2024 ukazujú rozsah rizika.
Conduent utrpel narušenie, ktoré odhalilo 25,9 milióna záznamov. Conduent vykonáva prácu v oblasti obchodných procesov pre vládne agentúry a veľké firmy. Spracúva dávky, platby a služby pre občanov. 25,9 milióna dotknutých osôb netušilo, že tretia strana drží ich informácie.
NHS Digital zasiahlo narušenie, ktoré postihlo 9 miliónov pacientov. Záznamy pacientov boli odhalené prostredníctvom serverov cloudového nástroja. Pacienti poskytli tieto informácie svojim poskytovateľom zdravotnej starostlivosti. Nemali dôvod vedieť, že sa niekedy dostali na platformu tretej strany, o ktorej ani nevedeli.
Tieto udalosti nie sú zriedkavé. Sú novou normou. Rozsiahle narušenia teraz postihujú milióny ľudí, ktorí dôverovali jednej organizácii, ale ich osobné informácie boli uchované inou organizáciou, o ktorej nikdy nevedeli. Informácie o tom, ako zákon prideľuje zodpovednosť v týchto prípadoch, nájdete v našom prehľade súladu s GDPR.
Prečo narušenia SaaS fungujú inak
Klasické narušenie siete si vyžaduje mnoho krokov. Útočníci musia prekonať perimeter. Musia sa pohybovať cez systémy. Musia extrahovať dokumenty. Každý krok je príležitosťou na odhalenie.
Narušenia SaaS fungujú inak. Keď útočníci zasiahnu cloudovú platformu, dostanú sa k záznamom každého klienta, ktorý cez túto platformu posielal obsah. Jedno narušenie prináša dokumenty od desiatok alebo stoviek klientov naraz.
9-minútové okno narušenia - čas od prvého prístupu po krádež záznamov v SaaS systémoch podľa záznamov incidentov Obsidian Security - ukazuje, ako rýchlo to funguje. V rámci zdieľanej platformy útočníci naraz nájdu obsah od mnohých klientov. Táto koncentrácia hodnoty robí každý útok vysoko efektívnym.
Zmluvy túto medzeru nezakryjú. Článok 82 GDPR prideľuje spoločnú zodpovednosť spracovateľom za narušenia, ktoré spôsobia. Preukázanie viny však trvá mesiace. Vtedy sú záznamy už preč. Pozrite si našu stránku o bezpečnosti a súlade, kde sa dozviete, ako nástroje s nulovou znalosťou tento výsledok menia.
DPA nechráni vaše záznamy
Článok 28 GDPR hovorí, že organizácie smú používať iba spracovateľov, ktorí poskytujú "dostatočné záruky". Zmluva o spracovaní údajov (DPA) je písomným dôkazom týchto záruk.
Rovnako ako Dohoda obchodného partnera HIPAA, DPA pokrýva právnu stránku. Nezahŕňa to, čo sa stane s vašimi dokumentmi na serveroch poskytovateľa.
Cloudový nástroj s plne kompatibilnou DPA podľa GDPR môže stále:
- Ukladať záznamy zákazníkov pomocou šifrovania na strane servera s kľúčmi v rukách poskytovateľa
- Spracovávať informácie o zamestnancoch cez zdieľaný systém používaný mnohými ďalšími klientmi
- Uchovávať protokoly a vyrovnávaciu pamäť nad rámec dohodnutého použitia
- Utrpieť narušenie, ktoré odhalí všetko uvedené
DPA stanovuje právne povinnosti. Nevytvára technickú stenu proti odhaleniu. Keď útočníci prenikajú na platformu za 9 minút, DPA ich nespomalí.
Pre pomoc v jednoduchom jazyku o povinnostiach podľa článku 28 si pozrite glosár GDPR.
Prečo je nárast o 300 % štrukturálny
Nárast o 300 % odráža dve sily pôsobiace súčasne.
Po prvé, objem citlivých informácií na platformách SaaS v roku 2024 prudko vzrástol. Viac organizácií presunulo viac práce do cloudových nástrojov. Viac dokumentov skončilo na serveroch tretích strán. Viac obsahu znamená viac dôvodov na útok na tieto servery.
Po druhé, útočníci sa prispôsobili. Organizácie teraz posielajú záznamy zákazníkov, finančné protokoly, informácie z HR, právny obsah a zdravotné záznamy cez nástroje SaaS. Zasiahnuť jednu platformu prináša záznamy od mnohých klientov. Matematika odmeňuje útočenie na platformy namiesto útočenia na jednotlivé organizácie.
Číslo 300 % nie je nárastom kriminality. Označuje štrukturálnu zmenu v tom, kam mieri útok.
Anonymizácia s nulovou znalosťou ako riešenie
Riešenie začína jednou zmenou myslenia. Ak na akúkoľvek platformu možno zaútočiť - a záznamy z roku 2024 dokazujú, že áno - žiadna platforma by nemala prijímať osobné informácie vašich zákazníkov v čitateľnej forme.
Anonymizácia s nulovou znalosťou pred nahraním kompletne zmení riziko narušenia. Keď je napadnutá platforma uchovávajúca obsah spracovaný s nulovou znalosťou:
- Útočníci sa dostanú k anonymizovaným záznamom bez čitateľných identifikátorov zákazníkov
- Nie je potrebné oznamovanie dotknutým osobám, pretože neboli odhalené žiadne osobné informácie
- Nie je potrebný prípad spoločnej zodpovednosti podľa článku 82 GDPR
- Narušenie nevyústi do regulačného sledovania
Útok zasiahne platformu. Nedosiahne vašich zákazníkov. Ich osobné informácie sa nikdy nedostali na servery platformy v čitateľnej forme.
Toto nie je teória. Je to jednoduchý fakt: neexistujú žiadne záznamy na odcudzenie, pretože žiadne neboli odoslané v čitateľnej forme. FAQ pokrýva bežné otázky o anonymizácii s nulovou znalosťou. Naša cenová stránka ukazuje, koľko stojí táto ochrana v mierke.
Nárast o 300 % mení matematiku rizika. Kontrola bezpečnostnej pozície dodávateľa a zmluvných podmienok znamená stávkovanie na to, že váš dodávateľ nebude ďalším titulkom. Anonymizácia s nulovou znalosťou túto stávku odstraňuje.