anonym.legal
Tillbaka till BloggenGDPR & Efterlevnad

SaaS-brott ökade med 300 % 2024: Varför...

Conduent exponerade 25,9 miljoner poster. NHS Digital: 9 miljoner patienter. Angripare bryter sig in i SaaS-leverantörer på 9 minuter.

March 11, 20269 min läsning
SaaS securitydata breach 2024zero-knowledge architecturevendor risk managementGDPR Article 28

Leverantören är nu angreppsyta

Under ett decennium har säkerhetsteam inom företag fokuserat på perimeterförsvar: säkra nätverket, skydda slutpunkterna, kontrollera åtkomst till interna system. Hotmodellen antog att angripare skulle försöka penetrera organisationen direkt.

Data om SaaS-brott från 2024 visar att denna modell är föråldrad. SaaS-brott ökade med 300 % 2024, enligt Obsidian Securitys rapport om SaaS-säkerhetshot för 2025. Angripare riktar sig inte längre direkt mot organisationer — de riktar sig mot de SaaS-leverantörer som dessa organisationer litar på med sina data.

När din leverantör är angreppsyta är det irrelevant att ditt eget nätverk är säkert. Kunddata, anställdas register och känslig affärsinformation som du bearbetade genom den leverantören finns på deras infrastruktur, tillgänglig med deras nycklar och exponerad när deras system komprometteras.

2024:s SaaS-brottsnummer

Skalan av SaaS-brott 2024 illustrerar exponeringen:

Conduent upplevde ett brott som exponerade 25,9 miljoner poster. Conduent tillhandahåller tjänster för affärsprocessoutsourcing till myndigheter och stora företag — inklusive förmånsadministration, betalningshantering och medborgartjänstportaler. De 25,9 miljoner posterna inkluderade individer som interagerade med myndighetstjänster och som inte visste att deras information hölls av en tredje part.

NHS Digital upplevde ett brott som påverkade 9 miljoner patienter. NHS-brottet exponerade patientdata som bearbetades genom en SaaS-leverantörs infrastruktur — klinisk information som patienter hade lämnat till sina vårdgivare och som de inte hade någon anledning att tro hade överförts till en tredjepartsplattform.

Dessa är inte avvikelser. De representerar den nya normen för dataexponering: storskaliga brott som påverkar miljontals individer som har lämnat data till organisationer de litade på, som överförde det till leverantörer som dessa individer aldrig visste fanns.

Varför SaaS-brott är strukturellt olika

Traditionella nätverksbrott kräver att angripare penetrerar en organisations perimeter, navigerar interna system och exfiltrerar data — en flertrapsprocess med flera möjligheter till upptäckter.

SaaS-brott fungerar annorlunda. Angripare som komprometterar en SaaS-leverantör får tillgång till data från varje kund som har bearbetat information genom den leverantören. En enda kompromiss ger kundregister från dussintals eller hundratals företagskunder samtidigt.

9-minuters brottsvind — tiden mellan första åtkomst och datakompetens i SaaS-miljöer, enligt Obsidian Securitys incidentresponsdata — återspeglar denna strukturella skillnad. När angripare väl är inne i en leverantörs infrastruktur, stöter de på data från flera organisationer som lagras i en delad miljö. Angreppsyta koncentrerar värdet.

För organisationer som har undertecknat GDPR-kompatibla databehandlingsavtal med sina SaaS-leverantörer, eliminerar inte brottet efterlevnadsansvaret. GDPR Artikel 82 tilldelar gemensamt ansvar till databehandlare för brott som beror på deras bristande efterlevnad av GDPR-åtaganden. Men gemensamt ansvar kräver att bevisa att leverantören var icke-kompatibel — en komplex utredning som tar månader medan datan redan är i händerna på hotaktörer.

DPA skyddar inte datan

GDPR Artikel 28 kräver att organisationer endast använder behandlare som ger "tillräckliga garantier" för att genomföra lämpliga tekniska och organisatoriska åtgärder. Databehandlingsavtalet är det avtalsenliga beviset på dessa garantier.

Liksom HIPAA:s BAA, adresserar DPA den avtalsenliga relationen. Det adresserar inte den tekniska verkligheten av vad som händer med dina data på leverantörens infrastruktur.

En SaaS-leverantör som verkar under ett GDPR-kompatibelt DPA kan fortfarande:

  • Lagra dina kunders data med server-sidans kryptering med leverantörskontrollerade nycklar
  • Bearbeta dina anställdas information i en fleranvändarmiljö som delas med andra kunder
  • Behålla dataloggar, bearbetningsregister och cache-innehåll bortom de syften som anges i ditt avtal
  • Få sin infrastruktur komprometterad på ett sätt som exponerar allt ovan

DPA skapar skyldigheter. Det skapar inte ett tekniskt hinder för dataexponering. När angripare bryter sig in i leverantören på 9 minuter, saktar DPA inte ner dem.

300 % ökningen är en urvals effekt

Den 300 % ökningen av SaaS-brott återspeglar två trender som verkar samtidigt.

För det första, den absoluta volymen av data i SaaS-plattformar växte avsevärt 2024. När fler organisationer flyttade fler processer till molnbaserade leverantörer, ökade datan som var tillgänglig i leverantörsmiljöer proportionellt. Mer data på leverantörens infrastruktur skapar mer incitament för angripare att rikta sig mot leverantörens infrastruktur.

För det andra har angripare anpassat sin metodik för att matcha värdekoncentrationen. Organisationer bearbetar nu mer känslig data genom fler SaaS-leverantörer än någonsin tidigare — kundregister, finansiella transaktioner, HR-data, juridiska dokument, hälsoinformation. SaaS-leverantörer har blivit högvärdesmål eftersom ett intrång i en leverantör ger data från många organisationer.

Siffran 300 % beskriver en strukturell förändring i riktningen för angrepp, inte bara en ökning av generell brottslig aktivitet.

Zero-Knowledge-arkitektur som riskminimering för leverantörer

Den konceptuella förändring som zero-knowledge-arkitektur kräver är enkel: om din leverantör inte kan litas på att hålla dina data säkert — inte på grund av något specifikt misslyckande, utan för att vilken leverantör som helst kan bli komprometterad — då bör dina data aldrig nå din leverantör i identifierbar form.

Zero-knowledge-anonymisering före överföring till SaaS-leverantörer förändrar brottsexponeringen fundamentalt. När en leverantör som använder zero-knowledge-behandlad data blir komprometterad:

  • Angripare får tillgång till anonymiserade register utan återvinningsbara kundidentifierare
  • Ingen dataskyddsmeddelande krävs eftersom ingen personlig data exponerades
  • Ingen gemensam ansvarighetsutredning enligt GDPR Artikel 82 är nödvändig
  • Ingen regulatorisk utredning resulterar från brottet

Brottet påverkar leverantören. Det påverkar inte dina kunders data eftersom dina kunders data aldrig var på leverantörens servrar i återvinningsbar form.

Den 300 % ökningen av SaaS-brott förändrar beräkningen av leverantörens risk. Organisationer som utvärderar leverantörer enbart baserat på säkerhetsställning och avtalsåtaganden litar på att deras leverantör inte kommer att dyka upp i nästa brottsstatistik. Zero-knowledge-arkitektur eliminerar det beroendet.

Källor:

Relaterade Artiklar

GDPR & Efterlevnad

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Efterlevnad

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Efterlevnad

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Redo att skydda din data?

Börja anonymisera PII med 285+ entitetstyper på 48 språk.

Börja Gratis ProvperiodVisa Funktioner