Glavno: SAD razmatraju skraćenje roka za ispravku aktivno iskorišćenih sajber‑ranjivosti sa dve nedelje na tri dana zbog ubrzane opasnosti koju predstavljaju napredni AI alati kao što su Mythos i GPT‑5.4‑Cyber. Zašto: AI može mnogo brže identifikovati i pomoći u eksploataciji propusta, skraćujući vreme između objave i napada na sat‑vremenski okvir. Konsekvence: Predlog bi mogao postaviti novi standard za državne i privatne aktere, ali zahteva više resursa i može biti nerealan za neka IT okruženja.
Hitno: SAD Razmatraju Skraćenje Rokova Za Ispravke Kritičnih Sajber-Ranljivosti Sa 14 Na 3 Dana Zbog AI
FILE PHOTO: AI (Artificial Intelligence) letters are placed on computer motherboard in this illustration taken, June 23, 2023. REUTERS/Dado Ruvic/Illustration/File Photo
Američki zvaničnici za sajber bezbednost razmatraju drastično skraćenje rokova za otklanjanje kritičnih ranjivosti u vladinim IT sistemima — sa sadašnjeg standarda od dve nedelje na svega tri dana — zbog rastuće zabrinutosti da napredni AI alati omogućavaju bržu eksploataciju propusta, saznaje Reuters.
Šta se predlaže?
Prema izvorima upoznatim sa pitanjem, nova preporuka predviđa da se rok za reagovanje na ranjivosti koje se aktivno iskorišćavaju (poznate kao KEV — Known‑Exploited Vulnerabilities) skrati sa uobičajenih 14 dana na samo 3 dana. Predlog je predmet razmatranja u vrhu Cybersecurity and Infrastructure Security Agency (CISA) i kod Nacionalnog direktora za sajber bezbednost.
Zašto baš sada?
Razlog je ubrzanje tempa kojim napadači otkrivaju i iskorišćavaju propuste zahvaljujući novim generacijama AI modela (npr. Anthropic‑ov Mythos i OpenAI‑jev GPT‑5.4‑Cyber). Dok su ranije napadi mogli da uslede za dane, nedelje ili mesece, napredni alati sada automatizuju identifikaciju ranjivosti i mogu skratiti taj prozor i na nekoliko sati.
"Ako želite da zaštitite civilne agencije, moraćete da postupate brže," rekao je Stephen Boyer, osnivač kompanije Bitsight, koja je ranije sarađivala sa CISA‑om.
Ko učestvuje u odlukama i koji su izazovi?
Izvori navode da su predloge razmatrali Nick Andersen, vršilac dužnosti direktora CISA, i Sean Cairncross, američki nacionalni direktor za sajber bezbednost. Reuters nije mogao da potvrdi da li je konačna odluka doneta. CISA i Kancelarija nacionalnog direktora za sajber bezbednost nisu odmah odgovorili na zahteve za komentar.
CISA već vodi katalog KEV ranjivosti i trenutno daje civilnim agencijama standardni rok od dve nedelje za primenu zakrpa nakon uključivanja ranjivosti u listu. Iako su rokovi povremeno bili skraćivani za posebno kritične slučajeve, prelazak na podrazumevani trodnevni rok predstavlja značajnu promenu.
Argumenti Za i Protiv
Pristalice tvrde da je brže delovanje neophodno jer AI smanjuje vreme koje napadači imaju na raspolaganju. Nitin Natarajan, bivši zamenik direktora CISA, ocenjuje da signal o strožim rokovima može podstaći državne institucije i privatni sektor da ubrzaju odgovor.
Protivnici upozoravaju na praktične teškoće: Kecia Hoyt iz Flashpointa ističe da proces zakrpljivanja često zahteva opsežna testiranja pre primene, pa je "realno, tri dana jednostavno nemoguće za neka okruženja". John Hammond iz Huntress‑a kaže da bi promena bila "značajna" i da će vreme pokazati da li industrija može da se prilagodi.
Moguće posledice
Ako CISA usvoji kraći rok, to bi verovatno postavilo smernice koje će slediti i savezne države, lokalne vlasti i privatne kompanije. Istovremeno, skraćenje rokova bez povećanja resursa može dodatno opteretiti agenciju koja je, prema kritikama, već suočena sa smanjenim kadrovima i budžetom.
Šta dalje?
Dok traje unutrašnja debata, ostaje nejasno kada i da li će odluka biti zvanično objavljena. Stručnjaci pozivaju na kombinaciju bržih procedura, veće automatizacije i dodatnih resursa kako bi se kratak rok fizički i bezbedno ispoštovao.
Izveštava: Raphael Satter (Reuters). Tekst uredio: Chizu Nomiyama.
Pomozite nam da budemo bolji.
