Saatli Bomba: Zafiyet Yönetimi, Ertelenen Yamalar ve “Ağır İhmal”in Hukuki Bedeli
Siber güvenlik dünyasında hiçbir yazılım kusursuz değildir; her sistem potansiyel mantık hataları (zafiyetler) barındırır. Üretici bir yama yayınladığı an, saldırganlar için de bir yarış başlar. İstistmar Penceresi (Window of Exposure), yamanın çıktığı an ile sisteme uygulandığı an arasındaki savunmasız süreyi ifade eder. Bu süreyi yönetemeyen kurumlar, bilinen açıklar (N-day) üzerinden hacklendiklerinde, KVKK Madde 12 nezdinde “yeterli teknik tedbirleri almamak” ve “Ağır İhmal” ile suçlanarak en üst sınırdan idari para cezalarına çarptırılırlar.
Hukuki bir kalkan oluşturmak için kurumlar, CVSS (Common Vulnerability Scoring System) puanlamasına dayalı resmi bir Zafiyet Yönetim Politikası oluşturmalıdır. Bu politika, kritik açıklar (9.0-10.0) için 48 saat, yüksek seviyeli açıklar için 7 gün gibi kesin müdahale süreleri (SLA) belirler. Eğer saldırı bu yasal test süreci içinde gerçekleşirse, kurum “makul özen” gösterdiğini kanıtlayarak hukuki sorumluluğunu minimize edebilir.
Yamalanamayan eski sistemler (Legacy) veya kesintiye tahammülü olmayan kritik altyapılar için Sanal Yama (Virtual Patching) teknolojisi devreye girer. WAF veya IPS cihazları üzerinden yazılan özel kurallar, sunucunun kendisi güncellenmese bile saldırı trafiğini havada imha ederek telafi edici bir kontrol sağlar. Siber güvenlikte yama yapmak sadece teknik bir güncelleme değil; mahkeme salonunda şirketin “suçsuzluğunu” kanıtlayacak en somut delildir.