Cısa, Yapay Zekâ Kaynaklı Açıklar için Yeni Yama Direktifi Yayımladı

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), federal sivil kurumların yazılım yamalarını daha hızlı uygulamasını zorunlu kılan yeni bir direktif yayımladı. Çarşamba günü duyurulan bağlayıcı operasyonel direktif, kritik açıkların üç gün içinde kapatılmasını öngörüyor.

Karar, yapay zekâ modellerinin hem güvenlik açığı bulma hem de kötüye kullanım süreçlerini hızlandırdığı bir dönemde geldi. CISA, yeni çerçevenin kurumların en riskli açıkları önce kapatmasına yardımcı olacağını belirtiyor.

Kritik açıklar için üç günlük süre

CISA Başkan Vekili Chris Butera, direktifin amacının kurumların önceliklendirme yapmasını sağlamak olduğunu söyledi. Buna göre en ciddi risk taşıyan açıklar önce ele alınacak, daha düşük riskli hatalar için ise daha fazla süre tanınacak.

Yeni değerlendirme sisteminde bir açığın aciliyeti dört ölçüte göre belirleniyor. Açığın kamuya açık bir sistemde bulunup bulunmadığı, CISA’nın Known Exploited Vulnerabilities Catalog Listesinde yer alıp almadığı, saldırganın istismarı otomatikleştirip otomatikleştiremeyeceği ve istismar halinde ne kadar erişim elde edileceği dikkate alınıyor.

Dört kriterin tamamı karşılanıyorsa açık üç gün içinde kapatılmak zorunda olacak. Ajans ayrıca sistemlerin daha önce ele geçirilip geçirilmediğini anlamak için adli ön inceleme süreci de yürütecek.

2019 ve 2021 kurallarının yerini aldı

Yeni direktif, CISA’nın 2019 ve 2021 tarihli önceki yama süreleri düzenlemelerinin yerini alıyor. Önceki çerçevede en kritik açıklar 15 gün içinde, yüksek öncelikli başka bir açık grubu ise 30 gün içinde giderilmek zorundaydı.

CISA, daha önce de tehdit aktörlerinin açıkları çok hızlı kullandığını vurgulamıştı. Kurumun 2021’de paylaştığı verilere göre, bilinen istismar edilen açıkların yüzde 42’si duyurunun ilk gününde, yüzde 50’si iki gün içinde, yüzde 75’i ise 28 gün içinde kullanılıyordu.

Yapay zekâ güvenlik baskısını artırıyor

Butera, üç günlük sürenin 24 saat gibi daha kısa bir takvim olmamasının nedeninin bunun çoğu kurum için uygulanabilir olmaması olduğunu söyledi. CISA, yeni değerlendirme sistemini ve direktifi, bütçe kısıtları ile farklı öncelikleri de dikkate alarak hazırladı.

Öte yandan uzmanlar, yalnızca yamalamanın yeterli olmayabileceğine dikkat çekiyor. Edera CEO’su Emily Long, saldırganın ihlal sonrası erişebileceği alanı sınırlamayan mimarilerin sorunu tam çözmeyeceğini, “containment by design” Yaklaşımının daha fazla konuşulması gerektiğini söyledi.

Butera da yeni direktifin, ortaya çıkan yapay zekâ modellerinin artan kapasitesine karşı ilk adım olduğunu belirterek, “Yapılacak daha çok iş var” Dedi.