CISA kutter patch-fristen i AI-trusselbildet

USAs cybersikkerhetsmyndighet CISA strammer inn hvordan føderale etater skal håndtere sårbarheter. Den nye bindende direktiven BOD 26-04 erstatter tidligere regler for internett-eksponerte systemer og kjente utnyttede sårbarheter. Begrunnelsen er enkel: angripere bruker patch-informasjon raskere, og AI kan gjøre vinduet mellom publisert retting og praktisk utnyttelse enda kortere.

Dette er ikke bare en amerikansk offentlig sektor-sak. CISA setter en modell for hvordan store virksomheter må prioritere patching når mengden CVE-er er større enn kapasiteten. Direktivet sier i praksis at alle sårbarheter ikke kan behandles likt. Det avgjørende er om feilen er kjent utnyttet, om systemet er eksponert mot internett, om utnyttelsen kan automatiseres, og hvilken kontroll angriperen får etterpå.

For CIO-er og CISO-er er signalet tydelig: patch management blir mindre kalenderstyrt og mer hendelsesstyrt. Det holder ikke lenger å ha månedlige runder og en lang restanseliste sortert etter CVSS alene. Virksomheten må vite hvilke systemer som faktisk er eksponert, hvilke feil som ligger i Known Exploited Vulnerabilities-katalogen, og hvilke feil som gir angriperen reell kontroll.

Hva CISA endrer

BOD 26-04 innfører en risikomatrise for føderale sivile etater. CISA peker på fire variabler: KEV-status, offentlig eksponering, automatiserbar utnyttelse og teknisk effekt. Den farligste kombinasjonen skal ikke drukne i samme kø som lavrisiko-feil på interne systemer.

Direktivet krever også bedre datagrunnlag. Etater skal oppdatere prosesser for sårbarhetshåndtering innen 60 dager. Innen 180 dager skal de kunne remedie sårbarheter etter tidslinjene i direktivet og løpende merke eiendeler som kan nås fra utsiden. Der rapporteringen ikke er automatisert gjennom CDM-programmet, må eksponerte eiendeler rapporteres til CISA i maskinlesbart format hver syvende dag.

CISA gjør også sin del av jobben mer operasjonell. Myndigheten skal holde KEV-katalogen oppdatert, levere beriket metadata gjennom Vulnrichment-programmet og gi veiledning for rettslig og teknisk triage. Når direktivet krever «forensic triage», betyr det at etaten ikke bare skal patche, men også undersøke om systemet allerede er kompromittert.

Det er et viktig skifte. Patching blir ikke lenger bare et hygiene-tiltak. Det blir en del av incident response.

AI gjør gamle SLA-er svakere

CISA skriver eksplisitt at cyberaktører utnytter upatchede sårbarheter, og at bruken av AI kan redusere tiden forsvarere har fra patch er tilgjengelig til mulig utnyttelse. Det treffer kjernen i dagens risikobilde. Når modeller kan hjelpe angripere med patch-diffing, exploit-utvikling, rekognosering og automatisering, blir «vi patcher innen 30 eller 60 dager» en svakere kontroll for systemer som står åpent mot internett.

Det betyr ikke at alle feil skal rettes på tre dager. CISA går motsatt vei av panikkstyring. Direktivet prioriterer hardere nettopp for å unngå at sikkerhetsteam bruker like mye energi på lavrisiko-feil som på de få kombinasjonene som kan gi rask kompromittering.

For norske virksomheter er dette relevant selv om direktivet bare binder amerikanske føderale etater. Mange norske selskaper bruker amerikanske skyplattformer, amerikanske sikkerhetsrammeverk og leverandører som må forholde seg til CISA. Enda viktigere: modellen er overførbar. En moderne patchprosess bør kunne svare på fire spørsmål raskt:

• Er eiendelen offentlig eksponert?
• Er CVE-en kjent utnyttet eller sterkt sannsynlig å bli det?
• Kan utnyttelsen automatiseres?
• Gir feilen delvis eller full kontroll over systemet?

Hvis svaret peker rødt på alle fire, er dette ikke en «neste vedlikeholdsvindu»-sak. Da er det en ledelsesprioritet.

Konsekvensen for styrer og ledergrupper

Det praktiske kravet er ikke at styret skal lese CVE-lister. Kravet er at virksomheten må kunne dokumentere at de vet hvor risikoen sitter. Det krever god asset inventory, tydelig eierskap til eksponerte tjenester, automatisert sårbarhetsdata og en patchkø som kan overstyres av trusselbildet.

Mange virksomheter har fremdeles for stor avstand mellom drift, sikkerhet og risikostyring. CISA-direktivet viser hvor den avstanden blir farlig: når en sårbarhet er offentlig, systemet er eksponert, og angriperen kan automatisere veien inn. Da hjelper det lite at feilen står pent i et verktøy med «high» eller «critical». Den må ut av køen og inn i operativ styring.

Det bør også påvirke leverandørstyring. Hvis en SaaS- eller driftsleverandør håndterer eksponerte systemer, bør kontrakten si hvordan KEV, offentlig eksponering, automasjon og teknisk effekt prioriteres. Spørsmålet er ikke bare hvor raskt leverandøren patcher. Spørsmålet er hvordan de bestemmer hva som må først, og hvordan de sjekker om kompromittering allerede har skjedd.

CISA har med dette gjort patching til en mer presis risikodisplin. Det er riktig retning. AI gjør volumet høyere og tempoet skarpere. Svaret er ikke å løpe etter alt. Svaret er å vite hva som faktisk kan bli en hendelse før neste møte i endringsrådet.

Kilder og medier

Primærkilde: CISA, «BOD 26-04: Prioritizing Security Updates Based on Risk», publisert 10. juni 2026. https://www.cisa.gov/news-events/directives/bod-26-04-prioritizing-security-updates-based-risk

Kildekreditering: CISA.

Thumbnail: OpenAI Image 2 / hogby.ai