anonym.legal

By · Last updated 2026-03-11

Povratak na blogGDPR i usklađenost

SaaS proboji porasli 300%: Potrebna ZK zaštita

Conduent je izložio 25,9 miliona zapisa. NHS Digital: 9 miliona pacijenata. Napadači probijaju SaaS dobavljače za 9 minuta. Kada je vaš dobavljač meta napada.

March 11, 20269 min čitanja
SaaS securitydata breach 2024zero-knowledge architecturevendor risk managementGDPR Article 28

Dobavljač je sada površina napada

Ažurirano za 2026.

Deceniju unazad, bezbednosni timovi su se fokusirali na jedan cilj: sprečiti napadače da uđu u mrežu. Osigurati perimetar. Zaključati krajnje tačke. Kontrolisati ko se može prijaviti. Stari model je pretpostavljao da će napadači direktno ciljati vašu organizaciju.

Brojevi za 2024. pokazuju da je taj model slomljen. SaaS proboji su porasli 300% u 2024. godini, prema izveštaju Obsidian Security 2025 SaaS Security Threat Report. Napadači više ne ciljaju direktno organizacije. Oni napadaju SaaS alate kojima te organizacije poveravaju svoje podatke.

Kada je vaš cloud alat meta napada, snažna interna mreža ne pomaže. Podaci o klijentima, dokumenti zaposlenih i osetljivi sadržaj žive na serverima tog alata. Zaključani su ključevima tog alata. Izloženi su kada alat bude napadnut.

Brojevi SaaS proboja u 2024.

Ukupni rezultati proboja u 2024. pokazuju razmere rizika.

Conduent je pretrpeo proboj koji je izložio 25,9 miliona zapisa. Conduent obavlja poslove poslovnih procesa za vladine agencije i velika preduzeća. Upravlja beneficijama, plaćanjima i građanskim uslugama. 25,9 miliona pogođenih ljudi nije imalo pojma da treća strana čuva njihove informacije.

NHS Digital je imao proboj koji je pogodio 9 miliona pacijenata. Pacijentski dosijei su bili izloženi putem servera cloud alata. Pacijenti su te informacije dali svojim zdravstvenim ustanovama. Nisu imali razloga da znaju da su ikad dospele na platformu treće strane.

Ovo nisu retki događaji. To je nova norma. Veliki proboji sada pogađaju milione ljudi koji su verovali jednoj organizaciji, ali su imali lične podatke kod druge, za čije postojanje nisu ni znali. Za to kako zakon dodeljuje odgovornost u ovakvim slučajevima, pogledajte naš pregled GDPR usklađenosti.

Zašto SaaS proboji funkcionišu drugačije

Klasičan proboj mreže zahteva mnogo koraka. Napadači moraju proći kroz perimetar. Moraju se kretati kroz sisteme. Moraju izvući dokumente. Svaki korak je prilika da budu uhvaćeni.

SaaS proboji funkcionišu drugačije. Kada napadači udare na cloud platformu, dolaze do dosijea svakog klijenta koji je kroz tu platformu slao sadržaj. Jedan proboj donosi dokumente od desetina ili stotina klijenata odjednom.

Prozor od 9 minuta — vreme od prvog pristupa do krađe zapisa u SaaS sistemima, prema evidenciji incidenata Obsidian Security — pokazuje koliko je to brzo. Unutar zajedničke platforme, napadači pronalaze sadržaj od mnogih klijenata odjednom. Ta koncentracija vrednosti čini svaki napad visoko efikasnim.

Ugovori ne zatvaraju tu prazninu. GDPR član 82 dodeljuje zajedničku odgovornost obrađivačima za proboje koje prouzrokuju. Ali dokazivanje krivice traje mesecima. Do tada su dosijei već odneseni. Pogledajte našu stranicu o bezbednosti i usklađenosti za informacije o tome kako zero-knowledge alati menjaju ovaj ishod.

DPA ne štiti vaše zapise

GDPR član 28 nalaže organizacijama da koriste samo obrađivače koji pružaju dovoljna jemstva. Ugovor o obradi podataka je pisani dokaz tih jemstava.

Kao i HIPAA Business Associate Agreement, DPA pokriva pravnu stranu. Ne pokriva šta se dešava sa vašim dokumentima na serverima dobavljača.

Cloud alat sa potpuno GDPR-usklađenim DPA-om i dalje može:

  • Čuvati podatke o klijentima koristeći serversku enkripciju sa ključevima u posedu dobavljača
  • Obrađivati informacije o zaposlenima kroz zajednički sistem koji koriste mnogi drugi klijenti
  • Čuvati logove i keširani sadržaj van dogovorenih namena
  • Pretrpeti proboj koji izlaže sve navedeno

DPA postavlja pravne obaveze. Ne stvara tehnički zid protiv izloženosti. Kada napadači probiju platformu za 9 minuta, DPA ih ne usporava.

Za pomoć na razumljivom jeziku u pogledu obaveza iz člana 28, pogledajte GDPR rečnik.

Zašto je skok od 300% strukturalan

Skok od 300% odražava dve sile koje deluju istovremeno.

Prvo, obim osetljivih informacija na SaaS platformama naglo je porastao u 2024. Više organizacija je preselilo više posla na cloud alate. Više dokumenata je dospelo na servere trećih strana. Više sadržaja znači više razloga za napad na te servere.

Drugo, napadači su se prilagodili. Organizacije sada šalju podatke o klijentima, finansijske logove, HR informacije, pravni sadržaj i zdravstvene dosijee kroz SaaS alate. Udaranje na jednu platformu donosi dosijee od mnogih klijenata. Matematika nagrađuje napad na platforme umesto na pojedinačne organizacije.

Broj od 300% nije skok u kriminalu. On označava strukturalnu promenu u tome kuda napadi idu.

Zero-knowledge anonimizacija kao rešenje

Rešenje počinje jednom promenom u razmišljanju. Ako svaka platforma može biti napadnuta — a rekord iz 2024. to dokazuje — onda nijedna platforma ne bi trebalo da prima lične podatke vaših klijenata u čitljivom obliku.

Zero-knowledge anonimizacija pre otpremanja potpuno menja rizik od proboja. Kada napadači udare na platformu koja čuva sadržaj obrađen po zero-knowledge principu:

  • Napadači dobijaju anonimizovane zapise bez čitljivih identifikatora klijenata
  • Nije potrebno obaveštavanje subjekata jer nisu izloženi lični podaci
  • Ne traži se postupak zajedničke odgovornosti po GDPR članu 82
  • Iz proboja ne sledi regulatorna istraga

Napad pogađa platformu. Ne dostiže vaše klijente. Njihovi lični podaci nikada nisu stigli na servere platforme u čitljivom obliku.

Ovo nije teorija. To je jednostavna činjenica: nema zapisa za krađu jer nijedan nije poslat u čitljivom obliku. FAQ pokriva uobičajena pitanja o zero-knowledge anonimizaciji. Naša stranica o cenama pokazuje šta ova zaštita košta u većem obimu.

Skok od 300% menja računicu rizika. Provera bezbednosne pozicije dobavljača i uslova ugovora znači kladiti se da vaš dobavljač neće biti sledeći naslov u novinama. Zero-knowledge anonimizacija uklanja tu okladu.

Izvori

Povezani članci

GDPR i usklađenost

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR i usklađenost

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR i usklađenost

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Spremni da zaštitite svoje podatke?

Počnite sa anonimizacijom PII sa 285+ tipova entiteta na 48 jezika.

Započnite besplatnu probuPogledajte funkcije

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.