Siber güvenlik dünyasında yama süreçleri, yapay zekanın güvenlik açıklarını otonom olarak bulup düzeltme yeteneğiyle köklü bir değişime uğruyor. OpenAI ve Anthropic gibi öncü yapay zeka laboratuvarları, en gelişmiş büyük dil modelleri olan Claude Mythos ve GPT5.5'e erişimi genişletirken, bu modellerin yıllardır var olan güvenlik açıklarını keşfetme ve onarma kapasitesi dikkat çekiyor. Infosecurity Europe etkinliğinde konuşan Bayer Grubu CISO'su Kevin Jones, bulut sağlayıcıları dahil IT satıcılarının kendisine bir güvenlik açığının istismar edilme süresinin günlerden saatlere düştüğünü söylediğini aktardı. Jones, daha önce yamaların yayınlanması ile istismar arasında 7-10 günlük bir pencere varken, artık tehdit aktörlerinin 6 saat 40 dakika içinde açığı tersine mühendislikle çözüp istismar yazabildiğini belirtti.
Bu hızlı istismar sürelerine karşı Hindistan Bilgisayar Acil Durum Müdahale Ekibi (CERT-In), internet üzerinden erişilebilen aktif olarak istismar edilen güvenlik açıklarının 12 saat içinde, kritik açıkların bir gün içinde ve yüksek önem dereceli hataların beş gün içinde yamalanmasını zorunlu kıldı. Vulners gelir başkanı Andrey Lukashekov, bu zorunluluğu "kararlı" olarak nitelendirse de, büyük küresel organizasyonlarda sıkı teslim sürelerinin zaman dilimleri, onay zincirleri ve değişiklik kontrolleriyle çakıştığını, bunun da iyi niyetli bir kuralı "lojistik bir kabusa" dönüştürerek güvenli düzeltmeyi engelleyebileceğini söyledi. Lukashekov, bu tür zorunlulukların üreticileri hızlı yama dağıtımına ittiğini, ancak koordinasyonun mümkün olmadığı durumlarda acele düzeltmelere veya değişiklik süreçlerinin bozulmasına yol açabileceğini vurguladı.
AB ve ABD'nin yama politikaları arasındaki fark da etkinlikte öne çıktı. Lukashekov, AB'nin Siber Dayanıklılık Yasası (CRA) kapsamındaki yaklaşımını daha belirgin şekilde üretici merkezli olarak tanımladı. CRA'nın satıcıları ürün güvenliğinden sorumlu kıldığını, güvenli geliştirme, açıklama ve kullanıcı bildirimi yükümlülükleri getirdiğini belirtti. Bu yaklaşımı politika açısından mantıklı bulan Lukashekov, yasal sorumluluğu kodu yazan tarafla uyumlu hale getirdiğini ancak uyumun otomatik olarak istismar sürelerini kısaltmadığını söyledi: "Düzenleme hesap verebilirliği artırabilir, ancak sağlam mimari ve dayanıklı operasyonların yerini alamaz." VulnCheck ürün mühendisliği başkan yardımcısı Michael Price ise ABD'deki daha pazar odaklı, kullanıcı merkezli yaklaşımı vurguladı. ABD'de düzenlemeden kaçınma eğilimi olduğunu, çünkü düzenleyicilerin büyümeyi yavaşlatabileceğini, bu nedenle birçok şirketin güvenlik yerine pazara çıkış süresini optimize ettiğini belirtti. Bu durumun, son kullanıcılara yama yapma, önceliklendirme ve güvenli olmayan varsayılanları telafi etme yükünü bıraktığı uyarısında bulundu.
Uzmanların Görüşleri
Sonuç olarak, yapay zeka destekli güvenlik açığı keşfi ve düzeltme yetenekleri geliştikçe, yama sorumluluğunun kime ait olduğu sorusu daha da karmaşık hale geliyor. Hindistan'ın katı süreleri, AB'nin üretici odaklı düzenlemeleri ve ABD'nin pazar odaklı yaklaşımı arasında, küresel şirketler farklı beklentilerle başa çıkmak zorunda. Uzmanlar, düzenlemelerin hesap verebilirliği artırabileceğini ancak tek başına yeterli olmadığını, sağlam mimari ve dayanıklı operasyonların önemini koruduğunu vurguluyor. Yama süreçlerinin hızlanması, güvenlik ekiplerinin hem hızlı hem de güvenli bir şekilde yanıt vermesini gerektiriyor. Gelecekte, yapay zeka araçlarının bu süreci daha da otomatikleştirmesi beklenirken, sorumluluk ve uyumluluk dengesi siber güvenlik stratejilerinin merkezinde yer almaya devam edecek.