Yapay Zeka ile Güvenlik Açığı Avcılığı: Yama Süreleri Saatlere Düşerken Sorumluluk Kime Ait? Yazılım

Yapay Zeka ile Güvenlik Açığı Avcılığı: Yama Süreleri Saatlere Düşerken Sorumluluk Kime Ait?

Yapay zeka, güvenlik açıklarını saatler içinde bulup kapatabiliyor. Peki bu hızlı döngüde yama sorumluluğu kime ait? AB, ABD ve Hindistan'ın farklı ya

OpenAI ve Anthropic gibi öncü yapay zeka laboratuvarları, en gelişmiş dil modelleri Claude Mythos ve GPT-5.5’i yaygınlaştırdıkça, güvenlik açıklarını otonom olarak bulma ve kapatma yeteneği kurumsal dünyada devrim yaratıyor. Bu teknoloji, geçmişte haftalar süren yama döngülerini saatlere indirirken, beraberinde kritik bir soruyu da getiriyor: Artık makineler kusurları insanlardan daha hızlı kapatabiliyorsa, yamanın sorumluluğu kime ait? Infosecurity Europe 2025’te konuşan sektör liderleri, bu sorunun cevabının ülkeden ülkeye değiştiğini ve düzenlemelerin teknolojinin gerisinde kaldığını vurguladı.

Bayer’in Küresel CISO’su Kevin Jones, Infosecurity Europe’da yaptığı konuşmada, bulut devleri de dahil olmak üzere görüştüğü BT tedarikçilerinin ortalama sömürü süresinin günlerden saatlere düştüğünü aktardı. Eskiden bir yamanın yayımlanmasından sonra kuruluşların yamayı izole sistemlerde test etmek, internet üzerindeki sistemlere dağıtmak için 7-10 günü vardı. Ancak artık tehdit aktörleri, sıfır gün açığı olmayan bir yama yayımlandıktan sonra ortalama 6 saat 40 dakika içinde sömürü gerçekleştirebiliyor. Bu süre, yamanın tersine mühendisliğini yapmak, güvenlik açıklarını bulmak, exploit yazmak ve dağıtmak için yeterli.

Bu hızlı sömürü döngüsüne yanıt olarak Hindistan Bilgisayar Acil Müdahale Ekibi (CERT-In), aktif olarak sömürülen internet yüzeyli güvenlik açıklarının 12 saat, kritik açıkların 1 gün, yüksek önem dereceli hataların ise 5 gün içinde yamalanmasını zorunlu kılan bir düzenleme getirdi. Vulners’dan Andrey Lukashekov, bu zorunluluğun “kararlı” göründüğünü ancak büyük, küresel organizasyonlarda zaman dilimleri, onay zincirleri ve değişiklik kontrolleriyle çarpışarak iyi niyetli bir kuralın “lojistik bir kabusa” dönüşebileceğini belirtti. Ona göre bu tür zorunluluklar, üreticilere ve hızlı yama dağıtımına odaklanırken, koordinasyon mümkün olmadığında aceleye getirilmiş düzeltmeleri veya değişiklik süreçlerini bozma riskini taşıyor.

Önemli Gelişmeler

Lukashekov, AB’nin Siber Dayanıklılık Yasası (CRA) kapsamındaki yaklaşımını ise daha açık bir şekilde üretici merkezli olarak tanımladı. CRA, yazılım üreticilerine ürün güvenliğini sahiplenme, güvenli geliştirme, açıklama ve kullanıcı bildirimi yükümlülükleri getiriyor. Lukashekov bu yaklaşımı politika açısından mantıklı buluyor çünkü yasal sorumluluğu kodu inşa eden taraflarla uyumlu hale getiriyor. Ancak uyumluluğun otomatik olarak sömürü sürelerini kısaltmayacağı uyarısında bulundu: “Düzenlemeler hesap verebilirliği artırabilir, ancak sağlam mimari ve dayanıklı operasyonların yerini alamaz.”

VulnCheck’ten Michael Price, AB’nin CRA gibi kurallarla üretici odaklı duruşunu, ABD’de gördüğü daha pazar odaklı, kullanıcı merkezli yaklaşımla karşılaştırdı. Avrupa’nın sorumluluğu yukarı taşımaya çalıştığını, yani yazılım üreticilerine daha güvenli ürünler tasarlama ve gönderme yükümlülüğü getirdiğini söyledi. Bu, maliyeti ve hesap verebilirliği tedarikçilere kaydırırken yeniliği yavaşlatma pahasına sistemik iyileştirmeler sağlayabilir. Buna karşılık ABD modelinin, savunma yükünü daha çok kullanıcılara ve operatörlere yüklediğini belirtti: “ABD’de düzenlemeden kaçınma eğilimi var çünkü düzenleyiciler büyümeyi yavaşlatabilir.” Bu, şirketlerin güvenlik yerine pazara çıkış süresine odaklanmasına ve güvenli olmayan varsayılan ayarların düzeltilmesi, önceliklendirilmesi ve yamalanması işini müşterilere bırakmasına yol açıyor.

Lukashekov, ABD uygulamasının tek bir kuralcı tempo yerine pazar baskısı, sorumluluk değerlendirmeleri ve gönüllü standartların bir karışımı olduğunu gözlemledi: “ABD’de bir beklenti yamalısı var: alıcılar düzeltme ister, sigortacılar riski fiyatlandırır ve tedarikçiler yanıt verir, ancak herkese uyan tek bir çözüm yok.” Bu parçalı yapı, yapay zeka destekli otonom yama araçlarının potansiyelini tam olarak kullanmayı zorlaştırabilir. Sonuç olarak, yapay zeka güvenlik açıklarını bulma ve kapatma hızını artırırken, sorumluluğun kime ait olduğu sorusu henüz netlik kazanmış değil. Hindistan, AB ve ABD’nin farklı yaklaşımları, küresel ölçekte bir standardın olmadığını gösteriyor. Kuruluşların, yapay zeka araçlarını kendi süreçlerine entegre ederken bu düzenleyici farklılıkları da göz önünde bulundurması gerekiyor.

Kaynak: infosecurity-magazine.com

Paylaş: