Indija skraćuje obrani rok: 12 sati za iskorištavane sigurnosne rupe
CERT-In skraćuje operativni prozor za reakciju na iskorištavane ranjivosti.📷 AI-generated image / TECH&SPACE
- ★CERT-In uvodi 12-satni cilj za zakrpe, ublažavanje ili izolaciju internetski izloženih i kritičnih sustava.
- ★Mjera je regulatorni odgovor na brže iskorištavanje ranjivosti, uključujući AI-potpomognute napade.
- ★Za operatere kritične infrastrukture to znači stalniji nadzor, brže odluke i jasnije procedure za odvajanje rizičnih sustava.
Indijska agencija CERT-In postavlja stroži sat za sigurnosne timove: kada je ranjivost već iskorištavana, internetski izloženi ili kritični sustavi trebali bi biti zakrpani, ublaženi ili odrezani od mreže u roku od 12 sati, gdje je to izvedivo. Prema izvještaju The Registera, poruka nije akademska smjernica nego operativni odgovor na napade koji se sve brže pretvaraju iz objave ranjivosti u stvarni incident.
Važan detalj je formulacija “patched, mitigated, or cut off”. To nije samo poziv na brže instaliranje zakrpa. CERT-In time priznaje da u stvarnim mrežama zakrpa ponekad nije odmah moguća: sustav može biti star, kritičan za proizvodnju, ovisan o dobavljaču ili vezan uz uslugu koja ne smije pasti. Ali ako se ne može zakrpati, mora se smanjiti izloženost. Ako se ni to ne može napraviti dovoljno sigurno, sustav se mora izolirati.
To je oštriji način razmišljanja od klasičnog modela u kojem se patch ciklusi mjere danima, tjednima ili promjenama u kalendaru održavanja. Kod aktivno iskorištavanih rupa takav tempo više ne odgovara riziku. Napadačima danas ne treba veliki ručni tim za svaku metu; automatizacija i AI alati mogu pomoći u trijaži ranjivih sustava, prilagodbi exploit pokušaja i skaliranju kampanja prije nego što organizacija uopće završi interni sastanak o prioritetima.
CERT-In želi da internetski izloženi i kritični sustavi budu zakrpani, ublaženi ili odrezani od mreže u pola dana kad je to izvedivo.
Kod kritičnih sustava zakrpa nije jedina opcija: izloženost se mora brzo smanjiti.📷 AI-generated image / TECH&SPACE
Za Indiju je ova mjera posebno osjetljiva jer se odnosi na širok spektar digitalne infrastrukture, od javnih servisa do poslovnih mreža koje su stalno okrenute internetu. CERT-In već ima ulogu nacionalnog koordinacijskog tijela za incidente, a ova poruka pomiče očekivanja s “prijavite i popravite” prema “odlučite odmah što ostaje online”. U praksi, 12 sati traži inventar sustava koji je stvarno ažuran, jasno vlasništvo nad aplikacijama i unaprijed dogovorene odluke o gašenju pristupa.
Najveći problem neće biti sama zakrpa, nego upravljanje iznimkama. Ako organizacija tvrdi da zakrpa nije izvediva, mora znati što je alternativna kontrola: blokiranje pristupa, promjena pravila na rubnom uređaju, privremeno isključivanje servisa ili kompenzacijska mjera koju sigurnosni tim može braniti pred regulatorom. U suprotnom, “nije izvedivo” postaje prazna fraza.
Ovo nije priča o tome da AI magično mijenja sigurnost. To je priča o vremenu. Kada alati ubrzaju napadačku stranu, obrana više ne može tretirati poznatu i iskorištavanu ranjivost kao redovan administrativni zadatak. Za operatere kritičnih sustava u Indiji nova poruka CERT-In-a znači manje prostora za birokratsko čekanje i više potrebe za unaprijed uvježbanim incidentnim postupcima, dokumentiranim kroz izvore poput CERT-In smjernica i tehničkih baza ranjivosti kao što je CVE.
