L'agenzia indiana per la cybersicurezza CERT-In ha pubblicato un framework operativo di 38 pagine che impone alle organizzazioni di correggere, mitigare o isolare le vulnerabilità note nei sistemi critici esposti a internet entro 12 ore, in risposta alla rapida accelerazione degli attacchi assistiti dall'intelligenza artificiale. Il documento, rivolto a imprese pubbliche e private operanti in India, ridefinisce gli standard attesi nella gestione del rischio informatico a livello nazionale e potenzialmente globale.
La portata del provvedimento va ben oltre i confini dell'Asia meridionale. Con l'intelligenza artificiale che comprime drasticamente i tempi tra la divulgazione di una vulnerabilità e la sua sfruttabilità da parte degli attaccanti, le finestre temporali tradizionali di patching — settimanali o mensili — diventano strutturalmente inadeguate. Il framework CERT-In introduce una scala graduata: 12 ore per i sistemi critici esposti a internet, 24 ore per le vulnerabilità critiche esterne, 3 giorni per quelle critiche interne ad alta priorità, 5 giorni per le falle ad alta severità.
L'agenzia avverte esplicitamente che "i tempi di sfruttamento si stanno riducendo significativamente" e che gli attacchi diventeranno "sempre più autonomi", grazie all'utilizzo dell'IA per ricognizione, generazione di malware e workflow di exploitation automatizzati. Una dinamica che interessa direttamente anche le multinazionali con operazioni in India, i cui contratti di servizio globali potrebbero risultare insufficienti rispetto ai nuovi requisiti locali.
Sanchit Vir Gogia, chief analyst di Greyhound Research, ridimensiona parzialmente l'impatto della soglia delle 12 ore, definendola applicabile solo a un sottoinsieme ristretto di asset esposti. Il vero punto di pressione, secondo l'analista, è la finestra di 3 giorni per le vulnerabilità critiche interne, particolarmente onerosa per i settori finanziario, telecomunicazioni, sanitario e per gli ambienti di tecnologia operativa, dove la continuità operativa complica qualsiasi intervento rapido.
Il framework non impone però un obbligo di patching immediato in senso assoluto: CERT-In accetta misure compensative temporanee — isolamento, restrizioni di accesso, protezioni WAF e API, monitoraggio rafforzato — quando l'applicazione della patch non sia immediatamente praticabile. Una scelta che rende i requisiti più operativamente realistici, ma sposta il peso sulla capacità di conoscere in tempo reale la propria superficie di rischio.
Apeksha Kaushik, senior principal analyst di Gartner, individua le barriere principali non nel piano tecnico ma in quello organizzativo: mancanza di visibilità in tempo reale sugli asset, assenza di sistemi automatizzati di prioritizzazione delle vulnerabilità, e frammentazione dei processi di risposta tra funzioni aziendali diverse. Le organizzazioni prive di inventari degli asset maturi, segmentazione di rete e capacità di monitoraggio continuo faticheranno a operazionalizzare il framework su scala.
Sul piano della comparazione internazionale, il modello CERT-In si distingue dall'approccio adottato dalla CISA statunitense con il programma KEV (Known Exploited Vulnerabilities), che fissa scadenze per singola vulnerabilità piuttosto che finestre temporali permanenti per categoria di asset. Gogia osserva che "il modello a orologio fisso appare aggressivo oggi perché il resto del mondo non si è ancora adeguato, non perché stia leggendo male la minaccia".
Per i fornitori di servizi gestiti e le multinazionali con operazioni in India, il framework potrebbe generare un disallineamento di conformità tra i processi globali di patching e le aspettative locali indiane, costringendo a una revisione dei contratti e delle procedure operative standard. La domanda aperta è se altri regolatori — incluse le autorità europee come ENISA nel contesto della direttiva NIS2 — seguiranno un approccio altrettanto prescrittivo, o se l'accelerazione tecnologica degli attaccanti renderà obsoleti anche i nuovi standard prima che le imprese riescano ad adottarli.