Neden Denetimsiz Otonom Güvenlik Kararları Kritik Altyapıda Bir Risk Oluşturur?

• Otomasyon, modern yama uygulamaları, güvenlik açığı önceliklendirme, yapılandırma izleme ve düzeltme iş akışları için vazgeçilmezdir.

• Yama dağıtımı, yapılandırma değişiklikleri veya otomatik düzeltme işlemleri gibi denetimsiz otonom güvenlik uygulamaları, kesinti sürelerinin güvenlik veya mali sonuçlar doğurduğu ortamlarda operasyonel risk oluşturur.

• Bir elektrik şebekesinde, üretim hattında veya savunma ağında yanlış zamanda uygulanan bir değişiklik, önemsiz bir aksaklık değildir. Bu bir olaydır.

• Bu alanı üç çerçeve düzenlemektedir: NERC CIP (enerji/kamu hizmetleri), IEC 62443 (endüstriyel kontrol sistemleri) ve NIST SP 800-82 (ICS güvenliği). Bu üç çerçeve de güvenlik değişiklikleri konusunda belgelenmiş yetkilendirme, doğrulama, test ve hesap verebilirliği vurgulamaktadır.

• Onay aşamaları, politikalar ve denetim izleri sürece entegre edildiğinde, otonom iş akışları yönetişimi destekleyebilir. Ancak, hesap verebilir bir insan onayı yerine “sistem karar verdi” yaklaşımı devreye girdiğinde, bu iş akışları bir risk haline gelir.

• Yapay zeka, en büyük değeri yürütme katmanında değil, analiz katmanında sunar: riske göre sıralanmış bulgular, yapılandırma sapması sinyalleri, önceliklendirilmiş yama listesi.

• Etkili model: Yapay zeka bilgileri ortaya çıkarır, insanlar eylemi onaylar, her değişiklik hesap verebilir bir kimliğe atfedilerek kaydedilir.

Bir trafo merkezinde bakım aralığı dışında bir yama uygulanır. Bir üretim döngüsü sırasında, otomatik düzeltme sistemi tarafından bir güvenlik duvarı kuralı değiştirilir. Bir yapılandırma değişikliği, herhangi bir operatör tarafından incelenmeden önce dağıtık OT ağı genelinde yayılır.

Senaryolar farklı olsa da, arıza şekli aynıdır: Otomatik bir sistem, insan onayı olmadan harekete geçti ve birisi bunu fark ettiğinde, değişiklik çoktan üretim ortamına ulaşmıştı.

Otomasyon, özellikle güvenlik açıklarından yararlanma süreleri ve yama uygulama süreleri kısaldıkça, günümüzün güvenlik operasyonları için artık vazgeçilmez hale gelmiştir. Asıl risk, otomasyonun kendisi değil; sorumlu bir kişinin onayı, operasyonel bağlam ve belgelenmiş bir yetkilendirme izi olmaksızın, üretim ortamını etkileyen değişiklikleri uygulayan otonom güvenlik işlemleridir.

Kritik altyapı ortamlarında, bu kararlar, yapılandırılmış insan denetiminin önlemeye yönelik olduğu operasyonel riskler barındırmaktadır.

Günümüzde ortaya çıkan ajan tabanlı yapay zeka platformları dalgası, özellikle hızın birincil tasarım hedefi olduğu kurumsal BT ortamlarında, özerk yürütmenin güvenlik operasyonlarını nasıl yeniden şekillendirdiğini yansıtmaktadır.

Kritik altyapı, temelde farklı kısıtlamalar altında faaliyet göstermektedir.

Bir elektrik şebekesindeki koruma rölesi, döngünün ortasında yeniden başlatılamaz. Bir üretim hattını kontrol eden PLC’deki bir yapılandırma değişikliği, saniyeler içinde geri alınamaz. Üretim çalışması sırasında devreye giren otomatik bir düzeltme adımı, yalnızca sunucuları değil, fiziksel süreçleri de etkiler.

Bu ortamlardaki güvenlik ekipleri, otonom yetenekleri farklı bir soru ışığında değerlendirmelidir: “Ne kadar hızlı tepki verebilir?” değil, “Hata yapıldığında sorumluluk kime aittir?”

Bir sonraki NERC CIP veya IEC 62443 denetiminizden önce şu soruyu yanıtlayın: Mevcut güvenlik platformunuz, her bir güvenlik değişikliğini kimin onayladığına dair, zaman damgası içeren ve belgelenmiş bir kayıt oluşturuyor mu?

NERC CIP-007, toplu elektrik sistemindeki siber varlıklarda yapılan her değişiklik için belirli yama yönetimi prosedürleri gerektirmektedir: belgelenmiş değerlendirme, test kanıtları ve dağıtım zaman çizelgeleri. IEC 62443-2-3 standardı, endüstriyel otomasyon ve kontrol sistemlerinde yama yönetimi ve yapılandırma değişikliklerine ilişkin yetkilendirme sorumluluklarını tanımlar; buna her bir eylemden kimin sorumlu olduğu da dahildir. NIST SP 800-82 standardı, ICS güvenlik değişikliklerinin, dağıtımdan sonra değil, dağıtımdan önce risk değerlendirmesi, doğrulama testleri ve operasyonel paydaşlarla koordinasyon gerektirdiğini belirtir.

Yönetişim, politika tabanlı onaylar, dağıtım halkaları, bakım penceresi kontrolleri ve ayrıntılı denetim günlükleri aracılığıyla sürece entegre edildiğinde, otonom iş akışları bu kontrol modelini destekleyebilir.

Ancak, yetki zincirini belirsiz hale getiren otonom yürütme, bu modele uymaz. Değişiklik gerçekleşir, günlük kaydı sistemin harekete geçtiğini gösterir ve denetçi bu eylemi kimin onayladığını sorar. Sorumluluk üstlenebilecek bir insan tarafından verilen yetki olayı bulunmadığında, kayıt eksik kalır.

Yetkilendirme adımları kaydedilen, insan tarafından kontrol edilen platformlar denetim izi oluşturur. Kontrolsüz otonom platformlar ise sorumluluk doğurur.

Güvenlik yönetimi platformları, doğası gereği ayrıcalıklı erişim haklarına sahiptir. Yüzlerce dağıtım ortamında yapılandırma değişikliklerini uygulamaya koyma, yamaları dağıtma ve ilkeleri yönetme yetkisine sahip bir platform, bir saldırganın öncelik vereceği türden bir varlıktır.

Bu platform otonom olarak çalıştığında, saldırı yüzeyi önemli ölçüde genişler. Güvenliği ihlal edilmiş bir otonom sistem, bir insan operatörün bu ihlali fark etmeden önce, bağlı tüm dağıtımlar üzerinde geniş ölçekli eylemler gerçekleştirebilir. Saldırgan, platformun yürütme yetkisini devralır ve bunu yama yönetimi, yapılandırma değişiklikleri ve politika uygulaması alanlarında eşzamanlı olarak kullanır.

Bu teorik bir durum değildir. 2026 yılının başlarında, yaygın olarak kullanılan bir yama yönetimi platformundaki üç kritik sıfır gün güvenlik açığı, kurumsal ortamlarda kimlik doğrulaması yapılmamış uzaktan kod yürütülmesine imkân vermiştir. CISA, bu ve benzeri güvenlik açıklarını, acil olarak giderilmesi gereken “Sömürüldüğü Bilinen Güvenlik Açıkları” olarak işaretlemiştir. Bu tür güvenlik açıkları yoluyla ele geçirilen otonom bir platform, tek bir uyarı bile tetiklenmeden önce bağlı tüm uç noktalara zararlı değişiklikler gönderebilir.

Değişikliklerin uygulanmasından önce insan onayı gerektiren bir platform, bu etki alanını sınırlar. Uygulama öncesinde insan onayı gerektiğinde, çalınan kimlik bilgilerinin tek başına büyük ölçekli otomatik değişiklikleri tetiklemesi olası değildir.

Denetimsiz otonom yürütmeye karşı öne sürülen argüman, güvenlik alanında yapay zeka veya otomasyona karşı bir argüman değildir. Yapay zeka, doğru katmanlarda en fazla değeri sunar: analiz, önceliklendirme, koordinasyon desteği ve karar verme sürecini kolaylaştırma.

CISA kılavuzları, dağıtılmış varlıkları yöneten kritik altyapı kuruluşları için temel bir zorluk olarak görünürlük eksikliklerini sürekli olarak vurgulamaktadır. Yapay zeka bu sorunu doğrudan ele almaktadır: olay verilerini bir araya getirme, farklı dağıtım ortamlarındaki sinyalleri birbiriyle ilişkilendirme, yapılandırma sapmalarını işaretleme ve önceliklendirilmiş bulguları insan denetimi için ortaya çıkarma. Kararı hâlâ analist verir, ancak yapay zeka daha iyi bilgilerle bu kararı daha hızlı almasına yardımcı olur.

Risk sıralamasına dayalı güvenlik açığı ve yama yönetimi, bu yaklaşımın en belirgin şekilde meyvesini verdiği alanlardır. Yüzlerce güvenlik açığını istismar edilebilirlik, varlık kritikliği ve maruz kalma düzeyine göre hızla sıralamak, güvenlik ekiplerine kendi başlarına sıralamak zorunda kalacakları ham veriler yerine, bakım penceresi içinde harekete geçebilecekleri öncelikli bir liste sunar.

Aynı ilke, yapılandırma anormallikleri için de geçerlidir: Yapay zeka, yüzlerce uç noktada ortaya çıkan sapmaları tespit eder; hangi değişikliklerin ne zaman geri alınacağına ise insanlar karar verir.

Bir güvenlik platformundaki herhangi bir yapay zeka özelliğine ilişkin asıl önemli soru, “kendi başına hareket edebiliyor mu?” değil, “güvenlik ekibini daha etkili hale getiriyor mu?” sorusudur.

Bunlar farklı tasarım felsefeleridir ve düzenlemelere tabi ortamlarda bu ayrım önemlidir.

İnsan tarafından kontrol edilen güvenlik yönetimi, yavaş bir güvenlik yönetimi anlamına gelmez. Bu, yapılandırılmış bir güvenlik yönetimi anlamına gelir: Yapay zeka bilgileri ortaya çıkarır, otomasyon iş akışlarını hızlandırır ve kararları insanlar verir. Her eylem, sorumlu bir kimliğe atfedilerek kaydedilir.

Uygulamada: Merkezi bir kontrol paneli, bağlı tüm dağıtımlardaki güvenlik olaylarını, uç nokta yama uyumluluğunu, yapılandırma durumunu ve anomali bulgularını tek bir yerde toplar. Yöneticiler, riske göre sıralanmış bulguları inceler, operasyonel bağlamı değerlendirir (hedef bir tesiste şu anda bir bakım penceresi açık olup olmadığı veya bir yapılandırma değişikliğinin söz konusu donanım için doğrulanıp doğrulanmadığı da dahil olmak üzere) ve özenli bir yetkilendirme adımı aracılığıyla gerekli eylemleri başlatır.

Dağıtık ortamları yöneten kuruluşlar için bu, bulut tabanlı yönetimin mümkün olmadığı hava boşluklu ve çevrimdışı ortamlar da dahil olmak üzere, tek bir arayüzden tüm dağıtımlara erişim sağlayan bir platform gerektirir. Bu platform, yöneticilerin güvenle harekete geçebilmeleri için ihtiyaç duydukları verileri sağlar.

EPAM Systems (30 ülkede yaklaşık 40.000 çalışanı bulunan, dijital platform mühendisliği ve yazılım geliştirme hizmetleri sunan küresel bir sağlayıcı), dağıtık ve BYOD kullanımının yaygın olduğu işgücünün güvenliğini, iş akışını yavaşlatmadan sağlamak konusunda giderek artan bir baskı ile karşı karşıya kaldı. My Central Management MetaDefender Central Management yararlanarak, kuruluş dünya çapında çalışanlar, müşteriler ve yükleniciler tarafından kullanılan 70.000’den fazla cihaz üzerinde görünürlük ve uyumluluk kontrolü elde etti.

Bu platform, EPAM’ın güvenlik ekibinin, kullanıcıların verimliliğini etkilemeden cihaz uyumluluğunu doğrulamasını, istenmeyen uygulamaları tespit etmesini, yamalanmamış güvenlik açıklarını belirlemesini ve erişim politikalarını uygulamasını sağladı. EPAM ayrıca, merkezi depolama alanına yüklenen dosyaları taramak için MetaDefender entegre etti ve en yoğun dönemlerde günde 50 milyondan fazla dosyayı işledi. Güvenlik ekipleri durumun tam resmini görebiliyordu. Her karar onlara aitti. Hikayenin tamamını buradan okuyun.

Yapay zekayı, uygulama riski yaratmadan değer kattığı alanlarda kullanın: riske göre sıralanmış güvenlik açığı önceliklendirme, yapılandırma sapması tespiti, anomali korelasyonu ve insan tarafından incelenmek üzere önceliklendirilmiş bulgular.

Yapay zekanın analitik değerini, denetimsiz uygulama yetkisiyle birleştiren platformlardan kaçının. Bir platformun, uyumluluk çerçevenizin gerektirdiği yetkilendirme kayıtlarını oluşturup oluşturmadığını değerlendirin. Cevap “sistem karar verdi” ise, bu durum düzenlemelere tabi kritik altyapı ortamlarında yeterli bir yetkilendirme kaydı sayılmaz.