anonym.legal
Bloga DönGDPR & Uyumluluk

SaaS İhlalleri 2024'te %300 Arttı: Neden Sıfır Bilgi...

Conduent 25.9 milyon kaydı ifşa etti. NHS Digital: 9 milyon hasta. Saldırganlar SaaS tedarikçilerini 9 dakikada ihlal ediyor.

March 11, 20269 dk okuma
SaaS securitydata breach 2024zero-knowledge architecturevendor risk managementGDPR Article 28

Tedarikçi Artık Saldırı Yüzeyi

Bir on yıldır, kurumsal güvenlik ekipleri çevre savunmasına odaklandı: ağı güvenli hale getirmek, uç noktaları korumak, iç sistemlere erişimi kontrol etmek. Tehdit modeli, saldırganların doğrudan organizasyona girmeye çalışacağını varsayıyordu.

2024 SaaS ihlal verileri bu modelin geçersiz olduğunu gösteriyor. Obsidian Security'nin 2025 SaaS Güvenlik Tehdit Raporu'na göre, SaaS ihlalleri 2024'te %300 arttı. Saldırganlar artık organizasyonları doğrudan hedef almıyor — bu organizasyonların verilerini güvendikleri SaaS tedarikçilerini hedef alıyorlar.

Tedarikçiniz saldırı yüzeyi olduğunda, kendi ağınızın güvenli olması önemsiz hale gelir. O tedarikçi aracılığıyla işlediğiniz müşteri verileri, çalışan kayıtları ve hassas iş bilgileri onların altyapısında, onların anahtarlarıyla erişilebilir durumda ve sistemleri ihlal edildiğinde açığa çıkar.

2024'ün SaaS İhlal Sayıları

2024 SaaS ihlallerinin ölçeği, maruziyeti göstermektedir:

Conduent, 25.9 milyon kaydı ifşa eden bir ihlal yaşadı. Conduent, devlet kurumlarına ve büyük işletmelere iş süreçleri dış kaynak hizmetleri sunmaktadır — bunlar arasında fayda yönetimi, ödeme işleme ve vatandaş hizmet portalları bulunmaktadır. 25.9 milyon kayıt, hükümet hizmetleriyle etkileşime giren ve bilgilerinin bir üçüncü taraf tedarikçi tarafından tutulduğundan habersiz olan bireyleri içermektedir.

NHS Digital, 9 milyon hastayı etkileyen bir ihlal yaşadı. NHS ihlali, bir SaaS tedarikçisinin altyapısı aracılığıyla işlenen hasta verilerini açığa çıkardı — hastaların sağlık hizmeti sağlayıcılarına sağladığı klinik bilgileri ve bu bilgilerin üçüncü taraf bir platforma iletildiğine dair hiçbir nedenleri yoktu.

Bunlar istisna değildir. Bu durum, güvenilir oldukları organizasyonlara veri sağlayan milyonlarca bireyi etkileyen büyük ölçekli ihlaller için yeni bir normu temsil etmektedir; bu organizasyonlar, bu bireylerin asla var olduğunu bilmediği tedarikçilere verileri iletmiştir.

Neden SaaS İhlalleri Yapısal Olarak Farklıdır

Geleneksel ağ ihlalleri, saldırganların bir organizasyonun çevresine girmesini, iç sistemlerde gezinmesini ve verileri dışarı çıkarmasını gerektirir — çok aşamalı bir süreçtir ve birden fazla tespit fırsatı sunar.

SaaS ihalleri farklı çalışır. Bir SaaS tedarikçisini ihlal eden saldırganlar, o tedarikçi aracılığıyla bilgi işleyen her müşterinin verilerine erişim kazanır. Tek bir ihlal, aynı anda onlarca veya yüzlerce kurumsal müşterinin kayıtlarını açığa çıkarır.

9 dakikalık ihlal penceresi — Obsidian Security'nin olay yanıt verilerine göre, SaaS ortamlarında ilk erişim ile veri ihlali arasındaki süre — bu yapısal farkı yansıtır. Bir tedarikçinin altyapısına girdikten sonra, saldırganlar paylaşılan bir ortamda depolanan çok sayıda organizasyondan gelen verilerle karşılaşır. Saldırı yüzeyi değeri yoğunlaştırır.

GDPR ile uyumlu Veri İşleme Anlaşmaları imzalayan organizasyonlar için, ihlal uyum sorumluluğunu ortadan kaldırmaz. GDPR Madde 82, GDPR yükümlülüklerine uymadıkları için veri işleyicilerine ortak sorumluluk atfeder. Ancak ortak sorumluluk, tedarikçinin uyumsuz olduğunu kanıtlamayı gerektirir — bu, verilerin tehdit aktörlerinin elinde olduğu bir süreçte aylar süren karmaşık bir soruşturmadır.

DPA Veriyi Koruma Altına Almaz

GDPR Madde 28, organizasyonların yalnızca "yeterli garantiler" sunan işlemcileri kullanmasını gerektirir. Veri İşleme Anlaşması, bu garantilerin sözleşmesel kanıtıdır.

HIPAA'nın BAA'sı gibi, DPA sözleşmesel ilişkiyi ele alır. Tedarikçinin altyapısında verilerinize ne olacağına dair teknik gerçeği ele almaz.

GDPR uyumlu bir DPA altında faaliyet gösteren bir SaaS tedarikçisi hala:

  • Müşterilerinizin verilerini tedarikçi kontrolündeki anahtarlarla sunucu tarafı şifrelemesi kullanarak depolayabilir
  • Çalışanlarınızın bilgilerini diğer müşterilerle paylaşılan çok kiracılı bir ortamda işleyebilir
  • Anlaşmanızda belirtilen amaçların ötesinde veri günlüklerini, işleme kayıtlarını ve önbelleğe alınmış içeriği saklayabilir
  • Tüm bunları açığa çıkaracak şekilde altyapısı ihlal edilebilir

DPA yükümlülükler oluşturur. Verilerin açığa çıkmasına karşı teknik bir engel oluşturmaz. Saldırganlar 9 dakikada tedarikçiyi ihlal ettiğinde, DPA onları yavaşlatmaz.

%300 Artış Bir Seçim Etkisi

SaaS ihlallerindeki %300'lük artış, aynı anda işleyen iki eğilimi yansıtır.

İlk olarak, SaaS platformlarındaki veri hacmi 2024'te önemli ölçüde arttı. Daha fazla organizasyon, daha fazla süreci bulut tabanlı tedarikçilere taşıdıkça, tedarikçi ortamlarındaki veri oranı orantılı olarak arttı. Tedarikçi altyapısındaki daha fazla veri, saldırganların tedarikçi altyapısını hedef alma isteğini artırır.

İkincisi, saldırganlar, değer yoğunluğuna uyacak şekilde metodolojilerini uyarladılar. Organizasyonlar artık daha önce hiç olmadığı kadar daha fazla SaaS tedarikçisi aracılığıyla daha hassas veriler işlemektedir — müşteri kayıtları, finansal işlemler, İK verileri, hukuki belgeler, sağlık bilgileri. SaaS tedarikçileri, bir tedarikçinin ihlal edilmesinin birçok organizasyondan veri elde etmesi nedeniyle yüksek değerli hedefler haline gelmiştir.

%300 rakamı, saldırıların yönlendirildiği yerlerdeki yapısal bir değişimi tanımlar, yalnızca genel suç faaliyetlerindeki bir artışı değil.

Sıfır Bilgi Mimarisi Tedarikçi Riskini Azaltma Olarak

Sıfır bilgi mimarisinin gerektirdiği kavramsal değişim basittir: eğer tedarikçiniz verilerinizi güvenli bir şekilde tutma konusunda güvenilir değilse — herhangi bir spesifik başarısızlık nedeniyle değil, çünkü herhangi bir tedarikçi ihlal edilebilir — o zaman verileriniz asla tedarikçinize tanınabilir bir biçimde ulaşmamalıdır.

SaaS tedarikçilerine iletim öncesinde sıfır bilgi ile anonimleştirme, ihlal maruziyetini temelden değiştirir. Sıfır bilgi işlenmiş verileri kullanan bir tedarikçi ihlal edildiğinde:

  • Saldırganlar, kurtarılabilir müşteri tanımlayıcıları olmayan anonimleştirilmiş kayıtlara erişir
  • Hiçbir veri konusu bildirimi gerektirilmez çünkü hiçbir kişisel veri açığa çıkmamıştır
  • Hiçbir GDPR Madde 82 ortak sorumluluk soruşturması gerekli değildir
  • İhlalden dolayı hiçbir düzenleyici yaptırım sorgulaması gerçekleşmez

İhlal tedarikçiyi etkiler. Müşterilerinizin verilerini etkilemez çünkü müşterilerinizin verileri asla tedarikçinin sunucularında kurtarılabilir biçimde bulunmamıştır.

SaaS ihlallerindeki %300'lük artış, tedarikçi risk hesaplamasını değiştirir. Tedarikçileri yalnızca güvenlik durumu ve sözleşmesel taahhütler açısından değerlendiren organizasyonlar, tedarikçilerinin bir sonraki ihlal istatistiğinde görünmeyeceğine güvenmektedir. Sıfır bilgi mimarisi bu bağımlılığı ortadan kaldırır.

Kaynaklar:

İlgili Makaleler

GDPR & Uyumluluk

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Uyumluluk

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Uyumluluk

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Verilerinizi korumaya hazır mısınız?

48 dilde 285+ varlık türü ile PII anonimleştirmeye başlayın.

Ücretsiz Deneme BaşlatÖzellikleri Görüntüle