ABD’nin siber güvenlik kurumu CISA, “Binding Operational Directive 26-02” ile federal kurumlara artık üretici güncellemesi almayan ağ sınırı ekipmanlarını (edge cihazlar) tespit edip ağlardan kaldırma talimatı verdi. Karar 5 Şubat 2026’da yayımlandı ve özellikle internete açık güvenlik duvarı, yönlendirici, VPN ağ geçidi, anahtar (switch), kablosuz erişim noktası ve benzeri cihazlara odaklanıyor. Gerekçe net: Üretici desteği biten cihazlar yamalanmadığı için saldırganlar tarafından sürekli hedef alınıyor.
Ajanslara Verilen Süreler
- Hemen: Destek almaya devam eden cihazlarda uygun güncellemeler mümkünse derhal uygulanacak.
- 3 ay içinde: CISA’nın “end-of-service” listesinde bulunan tüm edge cihazların envanteri çıkarılacak.
- 12 ay içinde: Desteği çoktan bitmiş ve listede yer alan cihazlar ağdan sökülüp, desteklenen muadilleriyle değiştirilecek.
- 18 ay içinde: Tespit edilen tüm EOS edge cihazlar tamamen kaldırılmış olacak.
- 24 ay içinde: Gelecekte desteği bitecek cihazları erkenden yakalamak için sürekli keşif ve yaşam döngüsü yönetimi süreci kurulacak.
Bu direktif Federal Civilian Executive Branch (FCEB) kurumları için bağlayıcı. CISA para cezası kesmiyor ancak ilerlemeyi OMB ile birlikte takip ediyor. Kurum, uygulamayı hızlandırmak için destek süresi dolan veya dolmak üzere olan edge cihazlara dair bir liste ve raporlama şablonları sağlayacağını da belirtiyor.
Neden Şimdi?
Son iki yılda devlet kurumlarını etkileyen birçok olay, saldırganların ilk fırsatı ağ sınırındaki yaşlanmış cihazlarda aradığını gösterdi. 2025’te Cisco ASA/FTD cihazlarını hedef alan kampanyalar üzerine CISA acil direktif yayımlayıp kurumlara tarama, yama ve destek dışı donanımı devreden çıkarma talimatı vermişti. EOS cihazların “orantısız ve kabul edilemez risk” oluşturduğu vurgusu, yeni BOD 26-02’nin temelini oluşturuyor.
Direktif, sadece eski cihazları söküp atmayı değil, kurumlardaki varlık yönetimini olgunlaştırmayı da hedefliyor. CISA; envanter tutma, destek bitiş tarihlerini izleme, kesinti yaratmadan yenileme planlama gibi disiplinlerin kalıcı hale gelmesini istiyor. Bu yaklaşım OMB’nin Zero Trust çerçevesini teşvik eden M-22-09 rehberiyle de uyumlu.
Kısacası, “çalışıyorsa elleme” dönemi bitti. Federal kurumlar için destek süresi dolmuş edge cihazların ağda kalmasına artık izin verilmiyor; bunun yerine planlı yenileme ve sürekli keşif esas alınıyor. Bu adım, benzer risklerle karşılaşan eyaletler, yerel yönetimler ve özel sektör için de güçlü bir yol haritası sunuyor.
Kaynak: www.techspot.com
