Yeni bir rapor, siber güvenlik liderlerinin (CISO) büyük çoğunluğunun iş baskısı nedeniyle güvenlik açıklarını görmezden gelmek veya ertelemek zorunda kaldığını ortaya koyuyor. Checkmarx tarafından yayınlanan araştırmaya göre, CISO'ların %95'i diğer departmanların baskısıyla güvenlik sorunlarını raporlamayı geciktirdiğini veya öncelik sırasında düşürdüğünü belirtti. Bu baskının bir sonucu olarak, anket katılımcılarının %75'i kuruluşlarının bilerek güvenlik açığı bulunan kodları üretim ortamına gönderdiğini itiraf etti.
Zafiyetli kodların neden yayınlandığı sorulduğunda, %30'u telafi edici kontrollerin riski yeterince azalttığına inandıklarını, %27'si ise iş, özellik veya güvenlikle ilgili bir teslim tarihine yetişmek için kodun yayınlandığını söyledi. Ayrıca %27'lik bir kesim, güvenlik açığının dağıtımdan sonra fark edildiğini belirtti. Katılımcıların %30'u ise açığın keşfedilmemesini umduklarını, %27'si ise düzeltmenin çok zor veya zaman alıcı olduğunu ifade etti.
Bu durum, kuruluşların yapay zeka tarafından oluşturulan kodları giderek daha fazla kullanmaya başladığı bir dönemde yaşanıyor. Yapay zeka kodları verimliliği artırsa da hata ve güvenlik açığı riski taşıyor. Checkmarx CEO'su Sandeep Johri, "Bu rapor, kuruluşların karşı karşıya olduğu güvenlik krizi ile bu krizi çözmek için attıkları adımlar arasında büyük bir uçurum olduğunu gösteriyor. Tamamen yeni bir model gerekiyor" dedi. Johri, yapay zekanın tek başına kod güvenliğini sağlayamayacağını ve hatta risk eklediğini vurguladı.
Teknik Analiz
Rapor ayrıca güvenlik açıklarının düzeltilmesinde de sorunlar olduğunu ortaya koyuyor. Kuruluşların sadece %9'u güvenlik açıklarının %90'ından fazlasını 90 gün içinde düzeltebiliyor. Neredeyse üçte biri ise aynı sürede açıkların yarısından azını giderebiliyor. Bu durum, özellikle yeni zafiyetlerin her zamankinden daha hızlı keşfedildiği bir çağda kuruluşları siber tehditlere karşı savunmasız bırakıyor. Rapora göre, "Bilinen bir güvenlik açığının yamalanmadığı her gün, kapının açık kaldığı bir gündür." Yine de araştırma, kuruluşların yapay zeka çağında güvenlik süreçlerinin zorlukların üstesinden geleceği konusunda iyimser olduğunu gösteriyor.