ABD federal hükümeti, yapay zeka destekli siber saldırıların hızla artması üzerine, kritik yazılım güvenlik açıklarının kapatılması için tanınan süreyi 30 günden 3 güne indirdi. Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından yayımlanan yeni direktif, özellikle ulusal güvenlik açısından hayati önem taşıyan sistemlerdeki 'sıfırıncı gün' zafiyetlerinin hızla giderilmesini zorunlu kılıyor. Kararın gerekçesi olarak, yapay zeka araçlarının güvenlik açıklarını otomatik olarak tespit edip saniyeler içinde istismar edebilme yeteneği gösteriliyor. Yeni düzenleme, federal kurumlar, kritik altyapı işletmecileri ve federal yükleniciler için bağlayıcı nitelikte.
Gelişmenin arka planı
CISA'nın yayımladığı bağlayıcı operasyonel direktif (BOD 24-01), daha önce yüksek riskli olarak sınıflandırılan güvenlik açıklarının 30 gün içinde giderilmesini öngörüyordu. Ancak son aylarda ABD savunma ve istihbarat kurumları, yapay zeka tabanlı saldırı araçlarının kullanımında ciddi bir artış tespit etti. Özellikle devlet destekli siber aktörlerin, yapay zeka kullanarak güvenlik açıklarını tarama ve istismar etme süresini saatler seviyesine düşürdüğü belirtiliyor. Yeni düzenleme, bu tür açıkların keşfedilmesinden itibaren en geç 72 saat içinde yama uygulanmasını veya alternatif güvenlik önlemlerinin alınmasını zorunlu kılıyor. Ayrıca, kritik olarak işaretlenen açıkların 24 saat içinde değerlendirilerek yama önceliklendirmesi yapılması gerekiyor.
Karar, özellikle yazılım tedarikçilerine de önemli sorumluluklar yüklüyor. Federal hükümete yazılım satan şirketlerin artık güvenlik açıklarını 48 saat içinde CISA'ya bildirmesi zorunlu hale getirildi. Ayrıca, yama geliştirme sürecinin hızlandırılması için yapay zeka destekli otomasyon sistemlerinin kullanılması teşvik ediliyor. Uzmanlar, bu düzenlemenin yazılım geliştirme yaşam döngüsünde köklü değişikliklere yol açacağını, ürün güvenliği testlerinin daha sık ve hızlı yapılmasını gerektireceğini belirtiyor.
Bölgesel ve küresel boyut
ABD'nin bu adımı, uluslararası siber güvenlik standartlarında da önemli bir değişime işaret ediyor. Avrupa Birliği'nin NIS 2 Direktifi ve dijital operasyonel dayanıklılık yasası (DORA) da benzer şekilde hızlı müdahale yükümlülükleri getiriyor ancak ABD'nin 3 günlük süresi, şu ana kadar açıklanan en kısa süre olarak dikkat çekiyor. Japonya, Güney Kore ve Singapur gibi Asya ülkelerinin de benzer düzenlemeler üzerinde çalıştığı biliniyor. Öte yandan, bu sıkı standartların, gelişmekte olan ülkelerin siber güvenlik altyapısını zorlayabileceği ve dijital uçurumu derinleştirebileceği yönünde endişeler bulunuyor. Çin ve Rusya gibi ülkelerin ise, bu tür ulusal güvenlik odaklı düzenlemeleri 'siber egemenlik' kavramı çerçevesinde kendi iç mevzuatlarına uyarladıkları gözleniyor.
Yeni direktif, siber güvenlik alanında yapay zeka kullanımının yarattığı asimetrik tehditlere karşı daha hızlı ve merkezi bir yanıt gerektiğini ortaya koyuyor. ABD'nin bu hamlesinin, özellikle finans, enerji ve sağlık sektörlerindeki 'kritik altyapı' koruma standartlarında küresel çapta bir domino etkisi yaratması bekleniyor. Ancak uzmanlar, 3 günlük sürenin bazı karmaşık sistemler için pratik olmadığını, bu nedenle CISA'nın belirli koşullarda esneklik sağlayabileceğini de ifade ediyor.
Türkiye Açısından Değerlendirme
ABD'nin siber güvenlik müdahale süresini 3 güne indirmesi, Türkiye'nin özellikle kamu bilişim sistemleri ve kritik altyapılarında kullandığı yazılım tedarik zincirini doğrudan etkileyebilir. Türkiye'de faaliyet gösteren birçok özel sektör kuruluşu, uluslararası standartlara uyum sağlamak için yama yönetimi politikalarını gözden geçirmek zorunda kalacak. NATO ve AB ile artan siber güvenlik iş birliği çerçevesinde, Türkiye'nin de yama yönetim otomasyonuna yatırım yapması ve siber olay müdahale ekiplerinin kapasitesini artırması beklenebilir. Ayrıca, bu gelişme Türkiye'nin ulusal siber güvenlik stratejisinde savunma odaklı yaklaşımdan proaktif önleme modeline geçişini hızlandırabilir.
