Pentagon, Anthropic'i Tedarik Zinciri Riski Olarak Yasakladı: CISO'lar İçin Yeni Dönem
Pentagon, Anthropic'i tedarik zinciri riski olarak yasakladı. CISO'lar AI bağımlılıklarını tanımlama ve kaldırma zorluğuyla karşı karşıya. Log4j benzeri bir sorun.
Trump yönetiminin AI şirketi Anthropic'i Pentagon varlıklarından ve diğer devlet sistemlerinden "tedarik zinciri riski" olarak yasaklama kararı, CISO'ları daha önce az karşılaştıkları bir duruma sokabilir: Belirli bir AI teknolojisini kuruluş genelinde tanımlama, izole etme ve potansiyel olarak kaldırma hazırlığı.
Pentagon'un 180 Günlük Emirleri
6 Mart tarihli bir Pentagon memorandumu, askeri bileşenlere Anthropic ürünlerini sistem ve ağlardan 180 gün içinde kaldırmalarını talimatını verdi. Nükleer, füze savunması ve siber operasyonlar gibi kritik sistemler önceliklendirildi.
Yönerge aynı zamanda sözleşme sorumlularının satıcıları bilgilendirmesini ve yüklenicilerin aynı zaman çerçevesinde uyumluluğu onaylamasını gerektiriyor. Bu, gereksinimi fiilen savunma sanayi tabanına yayıyor.
Görünürlük Sorunu
NetRise CEO'su Tom Pace, "Çevrelerindeki her şeyden Anthropic'i kaldırdıklarından yüksek bir güven derecesiyle söylemek temelde imkansız" diyerek sorunu operasyonel terimlerle özetliyor.
Bu zorluk, uzun süredir devam eden bir boşluktan kaynaklanıyor. Çoğu kuruluş, AI sistemlerinin ortamlarında nasıl kullanıldığına dair eksiksiz veya güncel bir envanter tutmuyor.
Log4j'e Benzer Bir Zorluk
Pace, zorluğu sektörün Log4j deneyimine benzetti. O dönemde kuruluşlar, geniş yazılım ekosistemlerine gömülü yaygın kullanılan bir bileşeni bulmakta zorlanmıştı. AI durumunda ise sorun, tüm bağımlılıkların geleneksel yazılım artefaktları gibi davranmaması veya böyle görünmemesiyle daha da karmaşıklaşıyor.
Cisco Araştırması: Hazırlık Düşük
Cisco'nun 2025 AI Hazırlık Endeksi'ne göre, kuruluşların yalnızca %31'i ajan AI sistemlerini güvence altına almak için tam donanımlı olduğunu söylüyor. Yalnızca %27'si AI sistemleri ve veri setleri üzerinde granüler erişim kontrollerine sahip olduğunu bildiriyor.
Uzmanlar Ne Diyor?
McCarter and English hukuk firmasında devlet sözleşmeleri uygulamasının eş başkanı Alex Major, "Bulamadığınız şeyi yönetemezsiniz" diyor. CISO'lar için acil görevin, Anthropic bağımlılıklarını sistemleri ve tedarikçi ağları genelinde belirlemek olduğunu vurguluyor.
Manifest CEO'su Daniel Bardenstein ise mevcut politika çerçevesinin, kurumsal ortamlarda kapsamlı değişiklikleri haklı çıkarmak için henüz gereken özgüllüğü sağlamadığını belirtiyor: "Bu bir başkanlık emri değil. Bir OMB memorandumu da değil."
AI-BOM mu, SBOM mu?
Görünürlüğe nasıl ulaşılacağı sorusu, mevcut yazılım malzeme listesi (SBOM) çerçevelerinin AI için yeterli olup olmadığı veya yeni bir yaklaşıma ihtiyaç olup olmadığı konusunda aktif bir tartışmayı ateşledi.
Cisco Systems'ten Amy Chang, geleneksel SBOM'ların AI sistemlerinin tam kapsamını yakalamadığını savunuyor: "AI sistemleri modelleri, ajanları, prompt'ları ve veriyi içerir. Yalnızca paketleri takip ederseniz, sistemin nasıl çalıştığını kaçırırsınız."
NetRise'tan Pace ise farklı düşünüyor: "AI-BOM'lar aptalca. Böyle bir şey yok. AI bileşenlerini tanımlayan bir SBOM'unuz var. AI yazılımdır."
Kaldırma, Değiştirmenin Aynı Şey Değil
Kuruluşlar Anthropic teknolojisinin nerede kullanıldığını tespit etse bile, kaldırmak yalnızca zorluğun bir parçası. Değiştirme, uygulamalar belirli model davranışları etrafında tasarlandığında kendi karmaşıklıklarını getiriyor.
Palo Alto Networks'ten Anand Oswal, görünürlüğün daha geniş bir güvenlik stratejisinin yalnızca bir bileşeni olduğunu vurguluyor: "Tam bir AI güvenlik çözümüne ihtiyacınız var. AI sistemleri dinamiktir; modeller, veriler ve davranışlar zamanla değişir."
Yeni Bir Tedarik Zinciri Riski Kategorisi
Anthropic durumu, hükümetlerin AI teknolojilerine yaklaşımında bir değişimi temsil ediyor. Modeller ve ilişkili ekosistemler, kısıtlanabilen veya kaldırılabilecek tedarik zinciri bileşenleri olarak görülüyor.
CISO'lar için zorluk, yalnızca tek bir yönergeye yanıt vermek değil, benzer eylemlerin diğer AI sağlayıcılarına da uygulanabileceği bir geleceğe hazırlanmak. Bu, AI bağımlılıklarında görünürlük, bu bağımlılıkların nasıl kullanıldığına dair netlik ve kritik sistemleri aksatmadan değiştirme stratejisi gerektiriyor.
Kaynak: csoonline.com
Yorumlar
0İlgili Makaleler
CISA, İran Destekli Saldırı Sonrası Endpoint Yönetim Sistemlerini Sertleştirmeyi Tavsiye Etti
CISA, Stryker'a yönelik Handala saldırısı sonrası BT liderlerini endpoint yönetim sistemlerini sertleştirmeye çağırdı. Phishing dirençli MFA ve çoklu yönetici onayı vurgulandı.
Ucuz KVM Cihazları Ağınıza Uzaktan Erişim Riski Getiriyor
Eclypsium araştırmacıları dört popüler düşük maliyetli KVM-over-IP cihazında dokuz zafiyet tespit etti. Kimlik doğrulama atlatmadan firmware manipülasyonuna kadar uzanan açıklar kritik risk oluşturuyor.
AI İkilemi: MCP Güvenliği Neden Yamalanamaz?
RSAC 2026'da sunulan araştırma, MCP'nin LLM ortamlarında yarattığı mimari güvenlik risklerini ortaya koyuyor. Yamalarla çözülemeyen bu sorunlar için yeni savunma stratejileri.
Ubiquiti UniFi'de Kritik Güvenlik Açığı: Hesap Ele Geçirmeye İzin Veriyor
Ubiquiti, UniFi Network uygulamasında CVSS 10.0 şiddetinde yol gezinme açığı ve CVSS 7.7 ayrıcalık yükseltme açığını yamaledi. Kullanıcılar 10.1.89 sürümüne güncellemeli.