“Харесахме си нова платформа. Регистрирахме се за безплатен акаунт. И вече качихме първите клиентски данни.”
Така започват много пробиви — с добри намерения, но без никаква проверка.
Ще използваме опит от реални ситуации и ще включим съвети от Atlant Security, където често разследват инциденти, започнали от “облака”.
SaaS: най-лесният вход за пробив
SaaS е удобен. Но също така и рисков. Не инсталирате нищо, но изпращате данни в нечия инфраструктура. Давате права. Отваряте канали.
📌 Пример: служител свързва Zapier със служебния Google Drive. Автоматизацията е чудесна… докато не се окаже, че е споделил цели папки с външни хора – без парола.
📌 Друг пример: маркетинг отделът започва да използва нов CRM без съгласуване. Вкарват се реални клиентски данни. Оказва се, че доставчикът съхранява всичко в облак извън ЕС – без криптиране.
Кои SaaS платформи задължително минават през одит
📍 Услуги, които:
- Имат достъп до лични данни (имена, имейли, телефони)
- Обработват документи, договори или вътрешни файлове
- Получават достъп до служебни имейли или inbox-и
- Използват API ключове или OAuth свързване с други системи
- Се използват от над 1 екип във фирмата (маркетинг, HR, продажби)
Какво трябва да проверите преди да ги внедрите
✅ Имат ли SOC 2, ISO 27001 или поне прозрачна security страница?
✅ Държат ли данните в ЕС или в друга сигурна юрисдикция?
✅ Поддържат ли MFA, SSO и ограничение по IP?
✅ Имат ли logging, администраторски контрол и възможност за изтриване? ✅ Поддържат ли Data Processing Agreement (DPA)?
📌 Ако липсват – бъдете внимателни. Ако фирмата Ви попада под обхвата на GDPR или NIS2 – това може да доведе до глоби.
Чести грешки според Atlant Security
🚫 Използват се SaaS услуги без подписан DPA (особено от маркетинг екипи) 🚫 Активира се интеграция с корпоративен Google Workspace без контрол
🚫 Няма одитен дневник – не знаете кой какво е споделил, кога и с кого
🚫 Изтичащ trial акаунт остава с права над реални данни
Как да направите одит дори без екип по сигурност
- Проверете security страницата на сайта на доставчика
- Потърсете името на услугата + “data breach” или “security incident”
- Изискайте DPA и погледнете какво поема доставчикът
- Прочетете Terms of Service и Privacy Policy – търсете думите “data ownership” и “transfer”
- Ограничете правата: дайте само това, което е необходимо
- Задайте напомняне за ревю на услугата след 3 или 6 месеца
Инструменти, които да Ви помогнат
🧰 SecurityScorecard – оценка на SaaS доставчици
🧰 HaveIBeenPwned – проверка дали имейли от доставчика са били изложени
🧰 Cloudflare Zero Trust / Zscaler – за ограничаване на достъпа по IP
🧰 DoControl / AppOmni – видимост и контрол над SaaS използването (по-напреднали)
SaaS е лесен. И точно затова е опасен.
🚀 Изградете прост процес за одобрение: провеждайте мини-одит на всяка нова услуга. Дори 15 минути проверка могат да Ви спестят пробив, глоба и скандал.
Ако се чудите откъде да започнете – направете списък с всички SaaS, които използвате. Бройката ще Ви изненада. А следващата стъпка? Одит, контрол, съгласуване.
