Індійська група реагування на комп’ютерні інциденти (CERT-In) опублікувала 38-сторінковий посібник CISG-2026-02, який встановлює жорсткі строки усунення вразливостей: відомі експлуатовані вразливості в системах з доступом з інтернету мають бути закриті протягом 12 годин там, де це можливо. Документ безпосередньо мотивований зростанням загроз, пов’язаних із використанням зловмисниками інструментів штучного інтелекту та великих мовних моделей для автоматизації виявлення й експлуатації вразливостей. Керівництво стосується всіх організацій, що залежать від хмарної інфраструктури, ланцюгів постачання ПЗ, операційних технологій та платформ на базі ШІ.
Ключові вимоги до строків усунення
CERT-In запроваджує диференційовану систему строків патчінгу, засновану на оцінці ризиків. Це одна з найагресивніших моделей управління вразливостями серед національних команд CERT:
- Відомі експлуатовані вразливості у системах з доступом з мережі Інтернет та критичних системах — 12 годин (де це можливо)
- Критичні вразливості у зовнішніх системах — 1 день
- Відомі експлуатовані вразливості у внутрішніх системах — 1 день (якщо не задокументовано альтернативні заходи пом’якшення)
- Критичні внутрішні вразливості у високовартісних системах — 3 дні
- Вразливості високого рівня серйозності — 5 днів на основі пріоритизації ризиків
Коли патч недоступний, CERT-In рекомендує застосовувати тимчасові заходи: ізоляцію уражених систем, обмеження доступу, захист через WAF і шлюзи API, посилений моніторинг або відключення вразливої функціональності до виходу виправлення.
Чому саме 12 годин: фактор прискорення атак завдяки ШІ
Обґрунтування таких стислих строків є прямим наслідком оцінки CERT-In впливу ШІ на ландшафт загроз. Згідно з керівництвом, «кібератаки з використанням ШІ скорочують час, необхідний зловмисникам для виявлення, озброєння та експлуатації вразливостей, відкритих сервісів, слабких облікових даних, небезпечних API та неправильно сконфігурованих систем».
CERT-In виокремлює кілька напрямів застосування ШІ зловмисниками: розвідка поверхні атаки, аналіз експлойтів, генерація переконливого фішингового контенту та створення шкідливого ПЗ. Як зазначається, ці можливості дозволяють суттєво скоротити час підготовки атак і обходити традиційні засоби захисту. Варто відзначити, що конкретні кількісні дані щодо масштабів такого використання в керівництві не наводяться — йдеться про тренд, який CERT-In вважає достатньо зрілим для регуляторної реакції.
Окремий блок керівництва присвячений ризикам для самих систем ШІ. CERT-In попереджає про загрози через ін’єкції промптів, витоки даних, джейлбрейк моделей, маніпуляцію моделями, отруєння навчальних даних, крадіжку моделей і компрометацію конвеєрів оркестрації.
Захисні принципи та архітектурні вимоги
Керівництво формулює комплексну захисну стратегію, що виходить далеко за межі патч-менеджменту:
- Припущення компрометації (assume breach) — готовність до швидкого виявлення, локалізації та відновлення
- Архітектура нульової довіри (Zero Trust) — безперервна верифікація та мінімальні привілеї
- Ешелонований захист (defense-in-depth) — багаторівневі контролі для усунення єдиних точок відмови
- Безпека за замовчуванням (secure-by-design) — вбудовування безпеки в системи, застосунки та робочі процеси ШІ
- Управління ризиками ланцюга постачання — через SBOM, валідацію походження компонентів та оцінку залежностей, включно з моделями ШІ
- Формалізоване управління системами ШІ — запровадження механізмів контролю використання ШІ та забезпечення видимості їх інтеграцій і поведінки
CERT-In також наголошує на регулярній перевірці ефективності захисту шляхом проведення тестування на проникнення, оцінки вразливостей, навчань «червоних команд» та незалежних аудитів.
Контекст: попереднє попередження про фронтирні моделі ШІ
Керівництво з’явилося через місяць після того, як CERT-In випустила окреме попередження CIAD-2026-0020 про кіберможливості фронтирних моделей ШІ від Anthropic та OpenAI. У тому документі підкреслювалося, що «подвійна природа» цих моделей може «знизити поріг входу для зловмисників і використовуватися для прискорення виконання атак, автоматизації робочих процесів експлуатації та масштабування кіберкампаній». Таким чином, нове керівництво є логічним продовженням системної роботи CERT-In з адаптації регуляторної бази до реальності загроз, посилених ШІ.
Практичні рекомендації
Для організацій, на які поширюється дія керівництва CERT-In, пріоритетні кроки такі:
- Провести аудит систем з доступом з інтернету і співвіднести їх із каталогами відомих експлуатованих вразливостей. Забезпечити можливість екстреного патчінгу в межах 12 годин.
- Запровадити безперервне управління вразливостями з охопленням не лише програмних дефектів, а й помилок конфігурації, небезпечних API, публічно доступних сервісів і слабких облікових даних.
- Розробити процедури тимчасового пом’якшення ризиків для ситуацій, коли патч недоступний: шаблони правил WAF, сценарії ізоляції, процедури відключення функціональності.
- Оцінити ризики, специфічні для ШІ — провести інвентаризацію використаних моделей, перевірити захист від ін’єкцій промптів і витоків даних, забезпечити контроль ланцюга постачання ШІ-компонентів.
- Формалізувати управління ШІ — задокументувати політики використання систем ШІ та забезпечити моніторинг їхніх інтеграцій.
Керівництво CERT-In задає орієнтир, який, ймовірно, вплине на регуляторні очікування й в інших юрисдикціях. Організаціям варто вже зараз оцінити свою здатність витримувати 12-годинний цикл патчінгу для критичних вразливостей — і якщо чинні процеси цього не дозволяють, розпочати з автоматизації виявлення вразливостей і розгортання виправлень на системах із зовнішнім доступом.
