cisa federal kurumlara 3 gün süre verdi: kritik açıkları yamalayın yoksa

Posted on 11 Haz 2026

arkadaşlar, cisa (yani amerikan siber güvenlik altyapı ajansı) yeni bir direktif yayınladı ve bu sefer şakası yok. federal kurumlara “kritik ve aktif sömürülen açıkları 3 gün içinde yamalayın” diyor. klasik “bi ara bakarız” mantığına son veriyorlar yani.

ne olmuş peki

cisa, binding operational directive 26-04 diye bir yönerge çıkarmış. bu yönerge federal sivil yönetim kurumlarına (fceb) yönelik ve güvenlik güncellemelerini önceliklendiriyor. şöyle ki:

  • kritik açıklar (cvss 9.0+) ve aktif sömürülen zafiyetler: 3 gün içinde yamalanacak
  • yüksek öncelikli açıklar (cvss 7.0-8.9): 15 gün içinde yamalanacak
  • diğer açıklar için de süreler var ama bunlar en acilleri

spoiler: bu direktif 11 haziran 2026’dan itibaren geçerli. yani artık “bakarız abi” dönemi bitti federal kurumlar için.

neden bu kadar acil

cisa’nın known exploited vulnerabilities catalog diye bir katalogu var. buraya eklenen açıklar gerçekten vahim durumda, yani teorik değil, aktif olarak sömürülüyor. işte bu katalogdaki açıklara 3 gün süresi var.

mantık basit: saldırganlar bu açıkları zaten kullanıyor, siz de hızlı davranacaksınız. yoksa ransomware çetesi gelir, dosyaları rehin alır, sonra ağlarsınız.

etkilenen kurumlar

Kurum TipiDurum
Federal Sivil Yönetim Kurumları (FCEB)✅ Zorunlu
Eyalet/Yerel Yönetimler⚠️ Tavsiye ediliyor
Özel Sektör⚠️ Tavsiye ediliyor
Türkiye’deki Kurumlar💡 İbret alın

edit: bu direktif sadece amerikan federal kurumları için zorunlu ama bizim de kulak asmamız lazım. aynı açıklar bizim sistemlerde de var çünkü.

ne yapmalısınız (türkiye’deki sistem yöneticileri için)

agalar, biz federal kurum değiliz ama bu yaklaşımı benimsememiz lazım:

1. cisa kataloğunu takip edin

# cisa'nın katalogunu düzenli kontrol edin
# rss feed'i var, takip edebilirsiniz
curl https://www.cisa.gov/sites/default/files/feeds/known_exploited_vulnerabilities.json

2. kritik açıkları önceliklendirin

şunu yapın:

  1. sistemlerinizde hangi yazılımlar var, listeleyin
  2. cisa kataloğundaki açıklarla eşleştirin
  3. kritik olanları (cvss 9.0+) ilk 3 gün içinde yamalayın
  4. yüksek öncelikli olanları (cvss 7.0-8.9) 15 gün içinde halledin

3. yama yönetim süreci oluşturun

# örnek bir kontrol scripti
#!/bin/bash
# sistemdeki güncellemeleri kontrol et
if [ -f /etc/redhat-release ]; then
    yum check-update --security
elif [ -f /etc/debian_version ]; then
    apt list --upgradable | grep -i security
fi

# windows için powershell
# Get-WindowsUpdate -MicrosoftUpdate

geçici çözümler (yamayı hemen uygulayamayanlar için)

bazen üretim ortamında hemen yama atamazsınız, anlıyoruz. o zaman:

  • ağ segmentasyonu: kritik sistemleri izole edin
  • waf/ips kuralları: bilinen sömürü paternlerini engelleyin
  • erişim kontrolü: gereksiz servisleri kapatın, sadece gerekli ip’lere izin verin
  • loglama: saldırı girişimlerini tespit etmek için logları yakından takip edin

dikkat: bunlar geçici çözüm, asıl iş yamayı atmak. “geçici çözümle idare ederiz” deyip unutmayın.

türkiye için öneriler

beyler, biz de benzer bir yaklaşıma ihtiyacımız var:

  • som (siber olaylara müdahale ekibi) benzer bir katalog yayınlasa fena olmaz
  • kurumlar için bağlayıcı yönergeler çıkarılmalı
  • “bi ara bakarız” kültürünü bırakmalıyız
  • yama yönetimi ciddi bir iş, bütçe ayrılmalı

edit: bazı kurumlar hala “biz hacklenecek kadar önemli değiliz” diyor. arkadaşlar, saldırganlar seçici değil, kolay hedef arıyorlar. siz de kolay hedef olmayın.

kaynaklar

sonuç

agalar, cisa’nın bu hamlesi doğru. kritik açıkları 3 günde yamalamak zor ama gerekli. bizim de bu ciddiyeti göstermemiz lazım.

şunu unutmayın: saldırganlar tatil yapmıyor, hafta sonu beklemiyor. siz de beklemeyin.

yapmanız gerekenler:

  1. cisa kataloğunu takip edin
  2. kritik açıkları önceliklendirin
  3. yama sürecinizi hızlandırın
  4. test ortamı kurun, önce orada deneyin
  5. yedek alın, sonra ağlamayın

hadi bakalım, işe koyulun. sonra “bize niye söylemediniz” demeyin.

Bu içerik yapay zeka tarafından oluşturulmuştur.