## Yapay Zekanın Güçlenmesi ve Siber Güvenlik Tehditleri
Son yıllarda yapay zeka (YZ) teknolojileri, yazılım zafiyetlerinin hızlı bir şekilde keşfedilmesine ve kötü niyetli kişilerin bu zafiyetleri hızla istismar etmesine olanak tanıyor. Bu çerçevede, Amerika Birleşik Devletleri Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), federal sivil ajansların yazılım yamalarını daha hızlı ve etkili bir şekilde uygulamalarını gerektiren yeni bir direktif yayınladı. Bu direktif, yazılım hatalarının aciliyetine göre onarılması gereken süreleri belirliyor ve bazı kritik durumlarda bu sürenin sadece üç güne kadar inmesini öngörüyor.
### CISA’nın Yeni Direktifi
CISA’nın yeni “bağlayıcı operasyonel direktifi” (BOD), yazılım hatalarının düzeltme sürecini hızlandırmayı hedefliyor. CISA’nın siber güvenlikten sorumlu geçici yönetici yardımcısı Chris Butera, bu direktifin, ajansların en acil zafiyetlere öncelik vermesini sağlayarak, daha az kritik hataların giderilmesi için daha fazla zaman tanıyacak şekilde tasarlandığını belirtti. Bu durum, özel sektördeki firmalar ve hükümetlerin, YZ’nin zafiyetleri ve istismar geliştirme yeteneklerinin potansiyel etkilerini değerlendirirken sıkı bir şekilde uğraştığı bir süreç içerisinde ortaya çıkıyor.
### Aciliyete Göre Hata Değerlendirmesi
CISA’nın yeni direktifi ile belirlenen aciliyet kriterleri, bir zafiyetin kamuya açık bir sistemde bulunup bulunmadığı, CISA’nın “Bilinen İstismar Edilen Zafiyetler Kataloğu”nda yer alıp almadığı ve bir saldırganın bu zafiyeti istismar etmek için gereken adımları otomatik hale getirip getiremeyeceği gibi faktörlere dayanıyor. Eğer bu dört noktanın hepsi geçerliyse, söz konusu zafiyet üç gün içinde düzeltilmesi gerekenler listesine alınıyor.
### Geçmişten Günümüze Siber Güvenlik Gelişimi
CISA’nın bu direktifi, daha önceki iki CISA emrini geçersiz kılıyor; 2019 ve 2021 yıllarında çıkarılan bu emirler, en kritik zafiyetlerin 15 gün içinde ve yüksek aciliyetli başka bir sınıf zafiyetin 30 gün içinde giderilmesi gerektiğini öngörmüştü. Ancak, gelişmekte olan YZ teknolojileri, şimdiden zafiyet tespit ve hata avlama süreçlerini değiştirmiş durumda. Araştırmacılar, yalnızca yamanın yeterli olmadığı, yazılım geliştirme topluluğunun zafiyetlerin tamamını geçersiz kılacak yeni yöntemler benimsemesi gerektiğini öngörüyor.
### Yapay Zeka ve Sistemsel Değişim Gereksinimi
CISA’nın direktifi bazı eksiklikleri giderme yönünde önemli bir adım atsa da, yapılan açıklamalara göre bu durum, sorunun sadece yarısını çözmektedir. Edera’nın CEO’su Emily Long, “Eğer mimariniz bir saldırganın bir ihlal sonrası erişimini kısıtlamıyorsa, sadece aynı koşulda daha hızlı koşuyorsunuz demektir,” diyor. Dolayısıyla, sadece hata düzeltmeye odaklanmak yerine, “tasarımda sınırlama” yapma konusunun da üzerinde durulması gerektiğinin altını çiziyor.
### Sonuç
Yapay zeka ve ilgili teknolojilerin gelişimi, siber güvenlik alanında acil bir öncelik haline geldi. CISA’nın yeni direktifi, bu alanda atılması gereken ilk adım olarak görülse de, daha fazla çalışmaya ihtiyaç olduğu vurgulanıyor. Gelecekte, yazılım geliştirme topluluğunun yönelmesi gereken yolların başında, zafiyetleri temelinden ortadan kaldıracak sistemsel değişiklikler gelmektedir. Bunu gerçekleştirmek, sadece anlık saldırılara karşı önlem almak değil, tüm siber güvenlik mimarisinin yeniden gözden geçirilmesini gerektirecektir.
Teknoloji
US-1
