Indijski CERT-In traži krpanje kritičnih rupa u 12 sati
Novi rok pretvara kritične javne ranjivosti u utrku od 12 sati.📷 AI-generated image / TECH&SPACE
- ★CERT-In traži 12-satno krpanje kritičnih ranjivosti na internetski izloženim sustavima kada je to izvedivo.
- ★Smjernica je vezana uz rast AI-potpomognutih napada i automatiziranog iskorištavanja poznatih slabosti.
- ★Za organizacije to znači stroži operativni ritam: brži inventar, prioritetizacija, testiranje i dokaz o provedbi zakrpa.
Indijski CERT-In postavio je jednu od agresivnijih sigurnosnih obveza za organizacije koje drže sustave otvorene prema internetu: kritične ranjivosti treba zakrpati u roku od 12 sati od označavanja, ako je to izvedivo. Prema izvještaju The Hacker Newsa, smjernica je izravno vezana uz strah da napadači sve više koriste AI alate i velike jezične modele za automatizaciju izviđanja, selekcije meta i iskorištavanja poznatih slabosti.
To nije kozmetička promjena u tonu regulatora. Dvanaest sati je rok koji sigurnosni tim premješta iz komforne zone kvartalnog upravljanja zakrpama u režim gotovo incidentnog odgovora. Ako je ranjivost kritična i sustav je javno dostupan, organizacija više ne može ozbiljno tvrditi da je “u procesu procjene” dok exploit kruži alatima za automatizaciju.
Nova smjernica cilja internetski izložene sustave u trenutku kada napadači uz pomoć AI alata brže pronalaze i automatiziraju iskorištavanje ranjivosti.
Najveći pritisak pada na inventar, trijažu i dokaz o zakrpi.📷 AI-generated image / TECH&SPACE
Ključna riječ u smjernici je “izvedivo”. Ona ostavlja prostor za tehnička ograničenja, kompatibilnost, testiranje i poslovne rizike, ali ne briše obvezu. Upravo zato će se pritisak premjestiti na dokazivanje: što je bilo izloženo, kada je ranjivost označena, tko je donio odluku, zašto zakrpa nije mogla ići odmah i koje su privremene mjere uvedene.
Za velike organizacije to znači da inventar javno dostupne infrastrukture mora biti stvaran, a ne tablica koja se ažurira nakon revizije. Kritične rupe u VPN-ovima, aplikacijskim gatewayima, web servisima, udaljenom pristupu i rubnim sigurnosnim uređajima postaju utrka protiv automatizacije. Kontekst iz kataloga poput CISA-inog Known Exploited Vulnerabilities i evidencija ranjivosti poput NVD-a pokazuje zašto: čim se poznata slabost masovno iskorištava, vrijeme između objave, skeniranja i kompromitacije može biti vrlo kratko.
CERT-In već ima širu regulatornu ulogu u indijskom cyber prostoru, uključujući obveze izvještavanja i koordinacije incidenata kroz ranije smjernice pod odjeljkom 70B. Nova 12-satna logika uklapa se u isti smjer: manje pasivnog čekanja, više operativne odgovornosti. AI ovdje nije naslovni trik, nego ubrzivač problema koji je postojao i prije. Ako napadači mogu brže pretvarati javno poznatu ranjivost u automatiziranu kampanju, obrana mora skratiti vlastiti ciklus odlučivanja.
Najveći izazov neće biti sama instalacija zakrpe, nego sustav oko nje. Organizacije trebaju znati koji su sustavi izloženi, imati vlasnike za svaku kritičnu komponentu, unaprijed definirane iznimke, plan vraćanja i jasne dokaze za regulatora. U suprotnom, “12 sati” neće biti sigurnosna mjera nego zapisnik o tome koliko je infrastruktura zapravo nepoznata vlastitim vlasnicima.
