Yapay Zeka Çağında Yamalama Krizi: CERT-In 12 Saat Süre Verirken AB ve ABD Farklı Yollar İzliyor Yazılım

Yapay Zeka Çağında Yamalama Krizi: CERT-In 12 Saat Süre Verirken AB ve ABD Farklı Yollar İzliyor

Infosecurity Europe'da konuşan uzmanlar, yapay zekanın güvenlik açıklarını otonom bulup kapatmasıyla yama süreçlerinin hızlandığını ancak düzenleyici

OpenAI ve Anthropic gibi yapay zeka liderleri, Claude Mythos ve GPT-5.5 gibi büyük dil modellerine erişimi genişletirken, bu modellerin güvenlik açıklarını otonom olarak bulup yamalama yeteneği, kurumların yama stratejilerini kökten değiştiriyor. Infosecurity Europe etkinliğinde konuşan Bayer Grup CISO'su Kevin Jones, bulut sağlayıcıları da dahil olmak üzere görüştüğü BT satıcılarının, bir güvenlik açığının istismar edilme süresinin günlerden saatlere düştüğünü değerlendirdiğini aktardı. Jones, "Normalde, herhangi bir kamuya açık istismar olmadan yayınlanan bir yamanın ölçeklenmesi için 7-10 günümüz vardı. Artık saldırganların yamayı tersine mühendislikle analiz edip istismar yazması 6 saat 40 dakikaya kadar düştü," dedi.

Hindistan Bilgisayar Acil Müdahale Ekibi (CERT-In), bu tehdit ortamına yanıt olarak iddialı bir adım attı: İnternete açık sistemlerde aktif olarak istismar edilen güvenlik açıklarının 12 saat içinde yamalanmasını zorunlu kıldı. Kritik açıklar için 1 gün, yüksek önem dereceli hatalar için ise 5 gün süre tanındı. Vulners gelir başkanı Andrey Lukashekov, bu tür bir zorunluluğun "kararlı göründüğünü" ancak büyük küresel şirketlerde zaman dilimleri, onay zincirleri ve değişiklik kontrolleri nedeniyle "lojistik bir kabusa" dönüşebileceğini söyledi. Ona göre bu tür katı süreler, aceleyle yapılan yamalamalara veya koordinasyon eksikliği nedeniyle değişiklik süreçlerinin aksamasına yol açabilir.

Avrupa Birliği ise farklı bir yol izliyor. Siber Dayanıklılık Yasası (CRA) ile üretici odaklı bir yaklaşım benimseyen AB, yazılım geliştiricilerine ürün güvenliği konusunda yasal yükümlülükler getiriyor. Lukashekov, CRA'nın "üreticileri ürün güvenliğine sahip çıkmaya zorladığını" ve güvenli geliştirme, açıklama ve kullanıcı bildirimi gibi yükümlülükler getirdiğini belirtti. Ancak uyumluluğun, istismar pencerelerini kısaltmak için yeterli olmadığını, "sağlam mimari ve dayanıklı operasyonların yerini alamayacağını" vurguladı.

ABD'de ise daha çok piyasa odaklı ve kullanıcı merkezli bir yaklaşım benimseniyor. VulnCheck ürün mühendisliği başkan yardımcısı Michael Price, ABD'de düzenlemeden kaçınma eğilimi olduğunu, bunun da şirketlerin güvenlikten önce pazara çıkış hızına odaklanmasına yol açtığını söyledi. Price, "ABD'de düzenleyicilerin büyümeyi yavaşlatabileceği endişesi var, bu nedenle birçok şirket güvenlikten önce zamanında pazara çıkmayı optimize ediyor," dedi. Bu durum, son kullanıcıların güvenli olmayan varsayılan ayarları düzeltmek, yamalamak ve önceliklendirmek gibi zor işleri üstlenmesine neden oluyor.

Lukashekov, ABD uygulamasının tek tip bir düzenleme yerine piyasa baskısı, sorumluluk değerlendirmeleri ve gönüllü standartların bir karışımı olduğunu belirtti. "ABD'de bir yama işi beklentiler mozaiği var: alıcılar düzeltme talep ediyor, sigortacılar riski fiyatlandırıyor ve satıcılar yanıt veriyor, ancak herkese uyan tek bir çözüm yok," dedi. Bu parçalı yapı, özellikle küresel şirketlerde tutarlı bir yama politikası oluşturmayı zorlaştırıyor.

Teknik Analiz

Sonuç olarak, yapay zeka destekli otonom yamalama yetenekleri yama döngülerini hızlandırırken, düzenleyici otoritelerin farklı yaklaşımları kurumlar için kafa karışıklığı yaratıyor. Hindistan'ın katı süreleri hızlı yamalamayı teşvik ederken, AB üretici sorumluluğunu, ABD ise piyasa dinamiklerini ön plana çıkarıyor. Uzmanlar, teknolojinin hızına yetişmek için daha uyumlu ve esnek düzenlemelerin gerektiği konusunda hemfikir. Bu süreçte kurumların, hem yapay zekanın sunduğu hızdan yararlanması hem de farklı düzenlemelere uyum sağlaması kritik önem taşıyor.

Kaynak: infosecurity-magazine.com

Paylaş: