Постачальник став поверхнею атаки
Протягом десятиліття корпоративні служби безпеки зосереджувалися на захисті периметра: убезпечити мережу, захистити кінцеві точки, контролювати доступ до внутрішніх систем. Модель загроз передбачала, що зловмисники намагатимуться проникнути в організацію безпосередньо.
Дані щодо зломів SaaS у 2024 році свідчать: ця модель застаріла. Кількість зломів SaaS зросла на 300% у 2024 році, відповідно до Звіту про загрози безпеки SaaS від Obsidian Security за 2025 рік. Зловмисники більше не атакують організації напряму — вони атакують SaaS-постачальників, яким ці організації довіряють свої дані.
Коли ваш постачальник стає поверхнею атаки, власна безпека мережі вже не має значення. Дані клієнтів, записи про співробітників і конфіденційна ділова інформація, що оброблялася через цього постачальника, зберігаються на його інфраструктурі, доступні за його ключами та стають відкритими під час компрометації його систем.
Цифри зломів SaaS у 2024 році
Масштаб зломів SaaS у 2024 році ілюструє рівень ризику:
Conduent зазнав злому, внаслідок якого було розкрито 25,9 млн записів. Conduent надає послуги аутсорсингу бізнес-процесів для державних органів і великих підприємств — зокрема адміністрування пільг, обробку платежів і портали державних послуг. 25,9 млн записів стосувалися осіб, що взаємодіяли з державними сервісами і навіть не підозрювали, що їхні дані зберігаються у стороннього постачальника.
NHS Digital зазнав злому, який торкнувся 9 млн пацієнтів. У результаті цього інциденту були розкриті дані пацієнтів, що оброблялися через інфраструктуру SaaS-постачальника, — клінічна інформація, яку пацієнти надавали своїм лікарям, навіть не підозрюючи, що вона потрапляє на стороннє підприємство.
Це не поодинокі випадки. Вони демонструють нову норму розкриття даних: масштабні зломи, що торкаються мільйонів людей, які передавали дані організаціям, яким довіряли, а ті — постачальникам, про існування яких ці люди навіть не здогадувалися.
Чому зломи SaaS принципово інші
Традиційні мережеві зломи потребують від зловмисників подолання периметра організації, навігації у внутрішніх системах і вилучення даних — це багатоетапний процес із кількома точками виявлення.
Зломи SaaS відбуваються інакше. Зловмисники, які компрометують SaaS-постачальника, отримують доступ до даних усіх клієнтів, що обробляли інформацію через цього постачальника. Одна компрометація дає доступ до записів клієнтів десятків або сотень підприємств одночасно.
Вікно злому в 9 хвилин — час між початковим доступом і компрометацією даних у SaaS-середовищах за даними Obsidian Security — відображає цю структурну відмінність. Потрапивши до інфраструктури постачальника, зловмисники знаходять дані кількох організацій у спільному середовищі. Поверхня атаки концентрує цінність.
Для організацій, що підписали GDPR-сумісні угоди про обробку даних зі своїми SaaS-постачальниками, злом не скасовує відповідальності за дотримання вимог. Стаття 82 GDPR передбачає солідарну відповідальність операторів обробки даних за зломи, що виникають внаслідок недотримання ними вимог GDPR. Але для встановлення такої відповідальності потрібно довести порушення з боку постачальника — складне розслідування, що тривати місяцями, поки дані вже перебувають у руках зловмисників.
DPA не захищає дані
Стаття 28 GDPR вимагає, щоб організації залучали лише тих операторів обробки, які надають «достатні гарантії» впровадження належних технічних і організаційних заходів. Угода про обробку даних є договірним підтвердженням цих гарантій.
Як і BAA за HIPAA, DPA регулює договірні відносини. Вона не відображає технічну реальність того, що відбувається з вашими даними на інфраструктурі постачальника.
SaaS-постачальник, що діє згідно з GDPR-сумісним DPA, може при цьому:
- Зберігати дані ваших клієнтів із шифруванням на стороні сервера за ключами під контролем постачальника
- Обробляти інформацію ваших співробітників у мультиорендному середовищі, спільному з іншими клієнтами
- Зберігати журнали обробки, записи про операції та кешований вміст поза межами цілей, зазначених в угоді
- Зазнати компрометації інфраструктури, яка розкриє все вищезазначене
DPA створює зобов'язання. Але технічного бар'єра від розкриття даних вона не забезпечує. Коли зловмисники зламують постачальника за 9 хвилин, DPA їх не сповільнює.
Зростання на 300% — це ефект відбору
Зростання кількості зломів SaaS на 300% відображає два одночасних тренди.
По-перше, загальний обсяг даних у SaaS-платформах суттєво зріс у 2024 році. Чим більше організацій переносили більше процесів до хмарних постачальників, тим більше даних накопичувалося в середовищах цих постачальників. Більше даних на інфраструктурі постачальника — більше стимулів атакувати цю інфраструктуру.
По-друге, зловмисники адаптували свою методологію під концентрацію цінностей. Організації тепер обробляють більше конфіденційних даних через більше SaaS-постачальників, ніж будь-коли раніше — записи клієнтів, фінансові транзакції, кадрові дані, юридичні документи, медичну інформацію. SaaS-постачальники стали ціллю з високою цінністю, тому що злом одного постачальника дає доступ до даних багатьох організацій.
Цифра 300% описує структурний зсув у напрямку атак, а не просто зростання загальної кримінальної активності.
ZK-архітектура як засіб управління ризиками постачальника
Концептуальний зсув, який вимагає ZK-архітектура, простий: якщо постачальнику не можна довіряти зберігання ваших даних у безпеці — не через конкретну помилку, а тому що будь-якого постачальника можна зламати — тоді ваші дані ніколи не повинні потрапляти до постачальника в ідентифікованому вигляді.
Анонімізація з нульовим знанням перед передачею до SaaS-постачальників кардинально змінює рівень ризику при зломі. Якщо постачальник, що використовує дані, оброблені за принципом нульового знання, зазнає злому:
- Зловмисники отримують анонімізовані записи без відновлюваних ідентифікаторів суб'єктів даних
- Повідомлення суб'єктів даних не потрібне, оскільки персональних даних розкрито не було
- Розслідування солідарної відповідальності за статтею 82 GDPR не потрібне
- Регуляторного розслідування у зв'язку зі зломом не виникає
Злом стосується постачальника. Дані ваших клієнтів він не зачіпає, тому що ці дані ніколи не зберігалися на серверах постачальника у відновлюваному вигляді.
Зростання кількості зломів SaaS на 300% змінює розрахунок ризиків, пов'язаних з постачальниками. Організації, що оцінюють постачальників виключно за рівнем безпеки та договірними зобов'язаннями, фактично покладаються на те, що їхній постачальник не опиниться у наступній статистиці зломів. ZK-архітектура виключає цю залежність.
Джерела: