Zvaničnici američke kibernetske sigurnosti razmatraju drastično skraćivanje rokova za otklanjanje kritičnih propusta u IT sistemima vlade, zbog bojazni da bi hakeri mogli iskoristiti napredne alate umjetne inteligencije poput Anthropicovog Mythosa i OpenAI-jevog GPT-5.4-Cyber modela, saznaje Reuters.

Prema nezvaničnim informacijama, novi prijedlog bi smanjio rok za reagovanje na aktivno iskorištene ranjivosti sa dvije sedmice na samo tri dana.

Anksioznost zbog moći i rasprostranjenosti AI modela raste posljednjih sedmica. Iako hakeri koriste umjetnu inteligenciju od 2023., novi modeli su navodno u stanju lako identificirati ranije nepoznate ranjivosti ili iskoristiti tek otkrivene propuste za složene hakerske operacije, komprimirajući vrijeme napada na svega nekoliko sati.

To vrši pritisak na branioce da ubrzaju svoje odgovore, izjavio je Stephen Boyer, osnivač kibernetske sigurnosne kompanije Bitsight, koja je ranije pomagala CISA-i u katalogizaciji ranjivosti.

„Ako želite zaštititi civilne agencije, morate djelovati brže“, rekao je Boyer. „Više nemamo tako veliki vremenski prozor kao nekada.“

Dva izvora upoznata sa situacijom kažu da su prijedloge rokova razmatrali Nick Andersen, vršilac dužnosti šefa Agencije za kibernetsku sigurnost i infrastrukturnu sigurnost (CISA), i Sean Cairncross, američki nacionalni direktor za kibernetsku sigurnost. Reuters nije mogao potvrditi da li je donesena konačna odluka ili kada bi se mogla očekivati. CISA i Ured nacionalnog direktora za kibernetsku sigurnost nisu odmah odgovorili na zahtjev za komentar.

CISA već godinama vodi katalog poznatih i iskorištenih ranjivosti (KEV), koje se smatraju prioritetnim jer su javno poznate i aktivno ih zloupotrebljavaju kriminalci ili špijuni. CISA obično daje civilnim agencijama rok od dvije sedmice za otklanjanje takvih propusta nakon što se unesu u bazu podataka. Iako se rokovi povremeno skraćuju za posebno ozbiljne probleme, novi prijedlog bi standardni rok smanjio na samo tri dana.

Rasprave unutar CISA-e dolaze u trenutku kada se poslovni lideri i industrija digitalne sigurnosti suočavaju sa posljedicama objavljivanja naprednijih AI modela. Bankarski sektor posebno je u panici jer regulatori pokušavaju procijeniti opasnost nove tehnologije.

Skraćivanje rokova u CISA-i vjerovatno će poslužiti kao model za državne i lokalne vlasti, kao i za kompanije i druge grupe, rekao je Nitin Natarajan, bivši zamjenik direktora CISA-e pod predsjednikom Joeom Bidenom.

„Ovo je signal drugima da kaže: ‘Hej, morate to raditi brže’“, rekao je on.

Natarajan, koji sada vodi kibernetsku konsultantsku firmu NN Global, rekao je da ubrzanje rokova ima smisla s obzirom na brzinu razvoja prijetnji podržanih umjetnom inteligencijom. Međutim, upozorio je da CISA, koja je oslabljena dubokim rezovima radnih mjesta i potresena vladinim zatvaranjima pod predsjednikom Donaldom Trumpom, treba kapacitete da izdrži pritisak kraćih rokova.

„Vidjeli smo smanjenje njihovih resursa, kako u finansiranju tako i u stručnosti“, rekao je Natarajan.

Kecia Hoyt, potpredsjednica kompanije za obavještajne podatke o prijetnjama Flashpoint, upozorila je da zakrpljivanje softverskih propusta može biti složen proces koji zahtijeva detaljne testove prije primjene. „Realno, tri dana su jednostavno nemoguća za neka okruženja“, rekla je.

John Hammond, glavni viši sigurnosni istraživač u kompaniji Huntress iz Marylanda, rekao je da bi spuštanje rokova sa dvije sedmice na tri dana bio „prilična promjena“. Iako je oprezno optimističan u vezi s bržim radom, „samo će vrijeme pokazati koliko će industrija moći držati korak“.