Nhà cung cấp đã trở thành bề mặt tấn công
Cập nhật cho năm 2026
Trong một thập kỷ qua, các đội bảo mật chỉ có một mục tiêu duy nhất: ngăn kẻ tấn công xâm nhập vào mạng. Bảo vệ vành đai. Gia cố điểm đầu cuối. Kiểm soát quyền truy cập. Mô hình cũ giả định rằng kẻ tấn công nhắm thẳng vào tổ chức.
Dữ liệu năm 2024 chứng minh mô hình đó đã lỗi thời. Vi phạm SaaS tăng 300% trong năm 2024, theo Báo cáo Mối đe dọa Bảo mật SaaS 2025 của Obsidian Security. Kẻ tấn công không còn nhắm trực tiếp vào tổ chức nữa — chúng nhắm vào các công cụ SaaS mà những tổ chức đó tin tưởng giao phó dữ liệu.
Khi công cụ đám mây của bạn là mục tiêu, một mạng nội bộ an toàn chẳng có tác dụng gì. Dữ liệu khách hàng, tài liệu nhân viên và nội dung nhạy cảm nằm trên máy chủ của nhà cung cấp, được bảo vệ bằng khóa của nhà cung cấp — và bị lộ khi nhà cung cấp bị xâm phạm.
Các con số về vi phạm SaaS năm 2024
Dữ liệu vi phạm năm 2024 cho thấy mức độ rủi ro.
Conduent bị vi phạm khiến 25,9 triệu bản ghi bị lộ. Conduent quản lý các quy trình kinh doanh cho các cơ quan chính phủ và doanh nghiệp lớn: phúc lợi, thanh toán và dịch vụ công dân. 25,9 triệu người bị ảnh hưởng thậm chí không biết rằng một bên thứ ba đang lưu giữ thông tin của họ.
NHS Digital bị vi phạm liên quan đến 9 triệu bệnh nhân. Dữ liệu lâm sàng bị lộ qua máy chủ của một công cụ đám mây. Các bệnh nhân đã chia sẻ thông tin đó với bác sĩ của họ — họ không có lý do gì để biết rằng nó đã đến với một nền tảng bên thứ ba mà họ không quen biết.
Đây không phải là những sự kiện hiếm gặp: đây là trạng thái bình thường mới. Các vi phạm lớn ngày nay ảnh hưởng đến hàng triệu người đã tin tưởng một tổ chức, nhưng dữ liệu của họ thực sự được nắm giữ bởi một tổ chức khác mà họ không biết. Để hiểu cách GDPR phân bổ trách nhiệm trong những trường hợp này, hãy xem tổng quan tuân thủ GDPR của chúng tôi.
Tại sao vi phạm SaaS hoạt động khác biệt
Một vi phạm mạng thông thường đòi hỏi nhiều bước. Kẻ tấn công phải vượt qua vành đai, di chuyển giữa các hệ thống và trích xuất dữ liệu. Mỗi bước là một cơ hội bị phát hiện.
Vi phạm SaaS hoạt động khác. Khi kẻ tấn công tấn công một nền tảng đám mây, chúng truy cập dữ liệu của mọi khách hàng đã gửi nội dung qua nền tảng đó. Một vi phạm duy nhất tạo ra dữ liệu từ hàng chục hoặc hàng trăm khách hàng cùng một lúc.
Cửa sổ vi phạm 9 phút — thời gian từ lúc truy cập đầu tiên đến khi đánh cắp dữ liệu trong các hệ thống SaaS, theo dữ liệu sự cố của Obsidian Security — cho thấy cơ chế này nhanh như thế nào. Bên trong một nền tảng dùng chung, kẻ tấn công tìm thấy nội dung của nhiều khách hàng trong một thao tác. Sự tập trung giá trị này làm cho mỗi cuộc tấn công có hiệu quả cao.
Hợp đồng không lấp được khoảng trống này. Điều 82 GDPR gán trách nhiệm chung cho các bộ xử lý đối với các vi phạm mà họ gây ra. Nhưng việc chứng minh lỗi mất nhiều tháng — và trong thời gian đó dữ liệu đã bị mất. Xem trang bảo mật và tuân thủ của chúng tôi để hiểu cách các công cụ zero-knowledge thay đổi tình huống này.
DPA không bảo vệ dữ liệu của bạn
Điều 28 GDPR quy định rằng các tổ chức chỉ được sử dụng các bộ xử lý cung cấp "đảm bảo đủ". Thỏa thuận Xử lý Dữ liệu là bằng chứng bằng văn bản của những đảm bảo đó.
Giống như Thỏa thuận Đối tác Kinh doanh HIPAA, DPA bao gồm phía pháp lý — không phải những gì xảy ra với tài liệu của bạn trên máy chủ của nhà cung cấp.
Một công cụ đám mây với DPA hoàn toàn tuân thủ GDPR vẫn có thể:
- Lưu trữ dữ liệu khách hàng với mã hóa phía máy chủ và khóa do nhà cung cấp quản lý
- Xử lý thông tin nhân viên trong hệ thống dùng chung với nhiều khách hàng khác
- Giữ lại nhật ký và nội dung đã lưu vào bộ nhớ đệm ngoài mục đích đã thỏa thuận
- Bị vi phạm khiến tất cả những điều trên bị lộ
DPA xác định các nghĩa vụ pháp lý — nó không tạo ra rào cản kỹ thuật chống lại sự phơi lộ. Khi kẻ tấn công xâm phạm nền tảng trong 9 phút, DPA không làm chậm chúng.
Để được hướng dẫn ngôn ngữ đơn giản về nghĩa vụ Điều 28, hãy xem bảng thuật ngữ GDPR.
Tại sao +300% mang tính cấu trúc
Mức tăng 300% phản ánh hai lực lượng hoạt động đồng thời.
Lực lượng đầu tiên: khối lượng thông tin nhạy cảm trong các nền tảng SaaS đã tăng nhanh vào năm 2024. Ngày càng nhiều tổ chức đã chuyển ngày càng nhiều hoạt động lên các công cụ đám mây, đưa nhiều tài liệu hơn lên máy chủ bên thứ ba.
Lực lượng thứ hai: kẻ tấn công đã thích nghi. Các tổ chức ngày nay gửi dữ liệu khách hàng, hồ sơ tài chính, thông tin nhân sự, nội dung pháp lý và hồ sơ y tế qua các công cụ SaaS. Tấn công một nền tảng có nghĩa là nhận được dữ liệu từ nhiều khách hàng. Toán học ưu tiên việc tấn công các nền tảng thay vì các tổ chức riêng lẻ.
+300% không phải là đỉnh điểm tội phạm: đây là sự thay đổi cấu trúc trong hướng tấn công.
Giải pháp: ẩn danh hóa zero-knowledge
Giải pháp bắt đầu từ việc thay đổi quan điểm. Nếu bất kỳ nền tảng nào cũng có thể bị vi phạm — và dữ liệu năm 2024 chứng minh điều đó — thì không nền tảng nào nên nhận dữ liệu cá nhân của khách hàng của bạn ở dạng có thể đọc được.
Việc ẩn danh hóa zero-knowledge trước khi tải lên thay đổi hoàn toàn rủi ro. Khi một nền tảng chứa dữ liệu được xử lý bằng zero-knowledge bị tấn công:
- Kẻ tấn công chỉ tìm thấy các bản ghi đã ẩn danh, không có các định danh có thể đọc được
- Không cần thông báo cho chủ thể dữ liệu, vì không có dữ liệu cá nhân nào bị lộ
- Không có vụ kiện trách nhiệm chung theo Điều 82 GDPR
- Không có hậu quả pháp lý từ cuộc tấn công
Cuộc tấn công đánh vào nền tảng, nhưng không đến được với khách hàng của bạn — thông tin cá nhân của họ chưa bao giờ đến máy chủ của nhà cung cấp ở dạng có thể đọc được.
Đây không phải lý thuyết: đây là thực tế. Không có dữ liệu nào để đánh cắp vì không có gì được gửi ở dạng có thể đọc được. Câu hỏi thường gặp trả lời các câu hỏi phổ biến về ẩn danh hóa zero-knowledge. Trang giá của chúng tôi cho thấy chi phí bảo vệ này ở quy mô lớn.
Mức tăng 300% thay đổi các tính toán rủi ro. Xác minh tình trạng bảo mật của nhà cung cấp và các điều khoản hợp đồng có nghĩa là đặt cược rằng họ sẽ không phải là người tiếp theo xuất hiện trên báo. Ẩn danh hóa zero-knowledge loại bỏ cược đó.