Dvylika valandų arba tavo duomenys: Indija paskelbė naują kibernetinio saugumo amžių

Įsivaizduokite: jūsų įmonės IT skyrius ką tik gavo pranešimą apie kritinę spragą. Laikrodis pradeda tiksėti. Per dvylika valandų sistema turi būti užlopta — arba jūsų duomenys gali tapti kito automatizuoto atakos taikiniu. Tai ne kibernetinio saugumo fantastika, o nauja realybė, kurią diktuoja Indijos kibernetinio saugumo agentūra CERT-In, reaguodama į dirbtinio intelekto varomų atakų spartėjimą.

CERT-In pirmadienį paskelbė 38 puslapių gaires, kuriose reikalaujama, kad organizacijos kritines saugumo spragas viešai pasiekiamose sistemose ištaisytų per dvylika valandų nuo jų pažymėjimo — ten, kur tai „įmanoma". Dokumentas atspindi esminį poslinkį kibernetinio saugumo sampratoje: nebeužtenka reaguoti, reikia veikti greičiau nei priešas, kuris dabar turi DI kaip ginklą.

„DI asistuojamas kibernetinis išnaudojimas sumažina laiką, reikalingą priešininkams identifikuoti, ginkluoti ir išnaudoti pažeidžiamumus, atviras paslaugas, silpnas tapatybes, nesaugias API ir netinkamai sukonfigūruotas sistemas," — teigiama agentūros pranešime.

Tai ne tik Indijos problema. Kol CERT-In nustato dvylikos valandų terminą, realybė yra ta, kad užpuolikai jau dabar naudoja didžiuosius kalbos modelius atakų paviršiaus paieškai, išnaudojimo analizei, įtikinamam fišingo turiniui ir net kenkėjiško kodo generavimui. Rezultatas: atakos pasiruošimo laikas smarkiai sutrumpėjo, o tradicinės saugumo kontrolės priemonės nebespėja.

Nors iš pirmo žvilgsnio gali pasirodyti, kad tai dar viena biurokratinė rekomendacija, agentūros dokumentas iš tikrųjų nubrėžia kontūrus to, kaip atrodys kibernetinė gynyba artimiausiais metais. CERT-In perspėja, kad organizacijos turi tikėtis, jog išnaudojimo laiko juostos subliūkš, o atakos taps autonominėmis.

Agentūra siūlo sluoksniuotą, rizika pagrįstą ir nuolat tikrinamą techninių kontrolės priemonių architektūrą, kuri prioritetą teikia internetu pasiekiamų sistemų, kritinių verslo programų, tapatybių, debesijos aplinkų, API, jautrių duomenų ir DI įgalintų sistemų apsaugai.

Be pagrindinės dvylikos valandų taisyklės, CERT-In nustatė ir skirtingus pataisymų terminus pagal pažeidžiamumo pobūdį. Kai kuriems scenarijams terminas gali būti ilgesnis, tačiau principas aiškus: nebegalima laukti mėnesinio pataisų ciklo. Jei spraga gali būti išnaudota, ji bus išnaudota — ir greičiau nei bet kada anksčiau.

Taip pat verta atkreipti dėmesį į tai, kad DI sistemos pačios tampa atakų taikiniu. CERT-In įspėja apie prompt injekcijas, duomenų nutekėjimo pažeidžiamumus, modelių manipuliavimą, mokymo duomenų užnuodijimą ir modelių vagystę. Tai reiškia, kad organizacijos, kurios diegia DI sprendimus, turi juos apsaugoti tuo pačiu metu, kai naudoja DI gynybai — paradoksas, kuris komplikuoja ir taip įtemptą saugumo lygtį.

Kai kuriems stebėtojams šis dvylikos valandų terminas gali priminti ankstyvuosius atsako į incidentus standartus, kai kelios valandos buvo laikomos auksiniu standartu didelėms finansų institucijoms. Skirtumas tas, kad dabar to tikimasi iš visų — nuo valstybinių agentūrų iki vidutinio dydžio įmonių, kurių internetu pasiekiamos sistemos gali tapti tramplinu į didesnius tinklus.

Europos kontekste ši tendencija nėra izoliuota. ES Tinklų ir informacijos saugumo direktyva (NIS2) jau reikalauja iš esminių ir svarbių subjektų pranešti apie incidentus per 24 valandas, o kai kurios nacionalinės agentūros svarsto dar trumpesnius terminus. Indijos CERT-In dvylikos valandų taisyklė gali tapti precedentu, į kurį žiūrės ir kiti reguliatoriai.

Lietuvos įmonėms tai reiškia, kad net jei teisinio įsipareigojimo laikytis CERT-In direktyvų nėra, tendencija yra aiški: reguliatoriai visame pasaulyje trumpina pataisymų terminus, o DI varomi įrankiai šį spaudimą tik didins. Tai, kas šiandien atrodo kaip agresyvus dvylikos valandų terminas, rytoj gali tapti pramonės standartu. Ir tos organizacijos, kurios jau dabar investuoja į automatizuotas pataisymų sistemas ir nuolatinę stebėseną, bus geriau pasiruošusios dienai, kai toks reikalavimas atsiras ir jų jurisdikcijoje.