ABD siber güvenlik yetkilileri, Anthropic’in Mythos gibi yapay zeka araçlarını kullanarak bilgisayar korsanlarının bu güvenlik açıklarından faydalanabileceği endişesiyle, hükümet BT sistemlerindeki kritik kusurları giderme sürelerini önemli ölçüde kısaltmayı düşünüyor. Daha önce haberlerde yer almayan bu hamle, aktif olarak istismar edilen güvenlik açıklarına yanıt verme süresini ortalama iki veya üç haftadan üç güne indirecek.
Dijital güvenlik açıkları için düzenleme geliyor
Mythos ve OpenAI’ın GPT-5.4-Cyber gibi yapay zeka modellerinin gücü ve yaygınlaşmasıyla ilgili endişeler haftalardır artıyor. Bilgisayar korsanları en az 2023’ten beri yapay zeka kullanıyor olsa da, bu yeni modellerin daha önce bilinmeyen güvenlik açıklarını kolayca tespit edebildiği veya karmaşık siber saldırı operasyonlarını mümkün kılmak için yeni ortaya çıkanlardan yararlanabildiği söyleniyor. Dolayısıyla, daha önce bilgisayar korsanlarının yazılım açıklarından yararlanması aylar, haftalar veya günler sürebilirken, bu süre en azından bazı durumlarda birkaç saate kadar kısaltıldı.
daha önce CISA’nın güvenlik açıklarını kataloglamasına yardımcı olan siber güvenlik şirketi Bitsight’ın kurucusu Stephen Boyer: “Bu da savunmacılar üzerinde daha hızlı hareket etme baskısı yaratıyor. Sivil kurumları koruyacaksanız, daha hızlı hareket etmeniz gerekecek,” diyor Boyer. “Eskisi kadar geniş bir zaman aralığımız yok” dedi. Konuya aşina iki kaynak, son tarih önerilerinin Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) geçici başkanı Nick Andersen ve ABD ulusal siber direktörü Sean Cairncross tarafından görüşüldüğünü söyledi. Reuters, konuyla ilgili nihai bir karar verilip verilmediğini veya ne zaman beklenebileceğini tespit edemedi.
CISA, yıllardır bilinen ve istismar edilen güvenlik açıkları (KEV’ler) kataloğunu derliyor. Bunlar, açıkta oldukları ve suçlular veya casuslar tarafından aktif olarak kötüye kullanıldıkları için öncelikli olarak değerlendiriliyor. Siber güvenlik araştırmacısı Glenn Thorpe’a göre, CISA genellikle sivil kurumlara bu tür kusurları veritabanına eklendikten sonra düzeltmeleri için üç haftalık bir süre tanıyordu, ancak bu süre son zamanlarda yaklaşık iki haftaya düştü. Özellikle ciddi sorunlarla başa çıkmak için süreler zaman zaman kısaltılıyor. Ancak kaynaklara göre yeni öneri, varsayılan süreyi sadece üç güne indirecek.