Yapay Zeka Yılların Açıklarını Buluyor: Yamalama Sorumluluğu Kime Ait? Siber Güvenlik

Yapay Zeka Yılların Açıklarını Buluyor: Yamalama Sorumluluğu Kime Ait?

OpenAI ve Anthropic'in yeni modelleriyle yamalama süreci hızlanırken, Hindistan 12 saatlik yama süresi zorunluluğu getirdi. AB ve ABD'nin farklı yakla

OpenAI ve Anthropic'in en yeni yapay zeka modelleri Claude Mythos ve GPT-5.5, güvenlik açıklarını otonom olarak bulup yamalama yetenekleriyle dikkat çekiyor. Bu gelişme, kurumların yama stratejilerini kökten değiştirebilir. Infosecurity Europe'da konuşan Bayer Grubu CISO'su Kevin Jones, bulut sağlayıcıları da dahil olmak üzere görüştüğü BT satıcılarının, bir güvenlik açığının istismar edilme süresinin günlerden saatlere düştüğünü bildirdiklerini söyledi. Eskiden bir yama yayınlandıktan sonra 7-10 günlük bir pencere varken, artık saldırganların yamayı tersine mühendislikle analiz edip istismar kodu yazması yalnızca 6 saat 40 dakika sürüyor. Bu durum, kurumların yama politikalarını yeniden gözden geçirmesini zorunlu kılıyor.

Hindistan'ın Bilgisayar Olaylarına Müdahale Ekibi (CERT-In), bu yeni tehdit ortamına yanıt olarak iddialı bir düzenleme getirdi: İnternete açık ve aktif olarak istismar edilen güvenlik açıkları 12 saat içinde, kritik açıklar 1 gün içinde, yüksek önem dereceli hatalar ise 5 gün içinde yamalanmalı. Vulners gelir sorumlusu Andrey Lukashekov, bu zorunluluğu 'kararlı' olarak nitelendirse de, büyük küresel şirketlerdeki zaman dilimleri, onay süreçleri ve değişiklik kontrolleri nedeniyle bunun 'lojistik bir kabus'a dönüşebileceğini belirtti. Ona göre bu tür katı süreçler, aceleyle yapılan düzeltmelere veya koordinasyonun imkansız olduğu durumlarda değişiklik süreçlerinin aksamasına yol açabiliyor.

Avrupa Birliği ise Siber Dayanıklılık Yasası (CRA) ile daha üretici odaklı bir yaklaşım benimsiyor. Lukashekov, CRA'nın 'ürün güvenliğinin sorumluluğunu satıcılara yüklediğini' ve güvenli geliştirme, ifşa ve kullanıcı bildirimi yükümlülükleri getirdiğini söyledi. Bu yaklaşım, yasal sorumluluğu kodu yazan tarafla uyumlu hale getirdiği için politika açısından mantıklı olsa da, uyumluluğun kısa istismar pencerelerini otomatik olarak kısaltmayacağını vurguladı. 'Düzenleme hesap verebilirliği artırabilir, ancak sağlam mimari ve dirençli operasyonların yerini alamaz' dedi.

ABD'de ise durum farklı. VulnCheck ürün mühendisliği başkan yardımcısı Michael Price, ABD'de daha çok kullanıcı odaklı, piyasa güdümlü bir model görüldüğünü belirtti. Avrupa'nın sorumluluğu yukarı taşımaya çalıştığını, ABD'de ise düzenlemeden kaçınma eğilimi olduğunu söyledi. 'ABD'de düzenleme büyümeyi yavaşlatabileceği için kaçınılır' diyen Price, bunun sonucunda birçok şirketin güvenlik yerine pazara çıkış hızını optimize ettiğini ifade etti. Bu durum, son kullanıcılara güvenli olmayan varsayılan ayarları düzeltme ve yamalama yükünü bırakıyor.

Sonuç ve Değerlendirme

Lukashekov da ABD uygulamasının genellikle piyasa baskısı, sorumluluk değerlendirmeleri ve gönüllü standartların bir karışımı olduğunu, tek bir reçeteli takvim bulunmadığını söyledi. 'ABD'de bir beklenti mozaiği var: alıcılar düzeltme talep ediyor, sigortacılar riski fiyatlandırıyor ve satıcılar yanıt veriyor, ancak herkese uyan tek bir çözüm yok' dedi. Bu farklı yaklaşımlar, küresel şirketlerin coğrafyaya göre farklı yama stratejileri benimsemesine neden oluyor.

Detaylar ve Etkileri

Sonuç olarak, yapay zeka destekli güvenlik açığı tespiti ve yamalama, siber güvenlik dünyasında devrim yaratırken, düzenleyici çerçeveler de bu hıza ayak uydurmaya çalışıyor. Hindistan'ın katı süreleri, AB'nin üretici odaklı yaklaşımı ve ABD'nin piyasa odaklı modeli arasında sıkışan kurumlar, hem teknolojik hem de yasal uyum açısından zorlu bir dönemden geçiyor. Önümüzdeki dönemde, yapay zekanın yamalama sürecini ne kadar hızlandıracağı ve düzenlemelerin bu hıza nasıl uyum sağlayacağı merak konusu.

Kaynak: infosecurity-magazine.com

Paylaş: