Rząd Stanów Zjednoczonych dosłownie w ostatniej chwili zdecydował się na przedłużenie finansowania globalnie stosowanego systemu identyfikacji luk w zabezpieczeniach - programu Common Vulnerabilities and Exposures (CVE). Decyzja zapadła zaledwie dzień przed wygaśnięciem długoletniej umowy z dotychczasowym operatorem programu, organizacją non-profit MITRE.
Informacja o braku planów odnowienia kontraktu z MITRE wywołała w środowisku cyberbezpieczeństwa niemałe poruszenie i lawinę pytań o przyszłość systemu, który od 25 lat służy jako fundament dla identyfikacji luk w oprogramowaniu i sprzęcie na całym świecie.
„Bez przerwy, ale nie bez zgrzytów”
– „Program CVE jest nieoceniony dla społeczności cybernetycznej i stanowi priorytet dla CISA” – poinformował rzecznik Agencji ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA). Jak dodał, agencja uruchomiła specjalny okres finansowania w ramach istniejącej umowy, co pozwoliło na natychmiastowe przedłużenie jej obowiązywania i uniknięcie przerwy w działaniu kluczowej usługi.
Decyzja ta przyszła jednak nie bez konsekwencji – MITRE już wcześniej ogłosiło, że finansowanie z budżetu federalnego wygasa 16 kwietnia, co wywołało poważne obawy o ciągłość działania całego systemu.
Nowy gracz: Fundacja CVE
W odpowiedzi na niepewność wokół przyszłości programu, zarząd CVE ogłosił powstanie Fundacji CVE – niezależnego, non-profitowego podmiotu, który ma zająć się dalszym rozwojem i utrzymaniem bazy danych. Według zapowiedzi, fundacja ma „skupić się wyłącznie” na neutralnym, globalnym zarządzaniu informacjami o podatnościach w oprogramowaniu.
„Powstanie Fundacji CVE stanowi ważny krok w kierunku wyeliminowania pojedynczego punktu awarii w globalnym ekosystemie zarządzania lukami bezpieczeństwa” – czytamy w oficjalnym komunikacie zarządu.
CVE od początku istnienia było finansowane przez rząd USA, a obsługiwane przez MITRE w ramach kontraktu z CISA, podlegającą Departamentowi Bezpieczeństwa Krajowego. W ostatnich latach organizacja otrzymywała ok. 30 milionów dolarów rocznie na obsługę zarówno CVE, jak i powiązanego programu Common Weakness Enumeration (CWE).
– „Ogłoszenie MITRE, że CISA nie przedłuży kontraktu, było zaskoczeniem, ale nie dla wszystkich” – powiedział Peter Allor, członek zarządu CVE, podkreślając na LinkedIn, że temat był znany trzem stronom od co najmniej miesiąca. Jak dodał, „nadszedł czas na zmiany – zarówno w strukturze finansowania, jak i w poziomie transparentności relacji pomiędzy rządem a programem”.
Na razie wiadomo, że CISA przedłużyła umowę z MITRE na kolejne 11 miesięcy, jednak niepewność co do przyszłości systemu pozostała. Przede wszystkim wciąż nie wiadomo, jaką dokładnie rolę w nowej strukturze będzie pełnić MITRE oraz jak nowa Fundacja CVE zostanie sfinansowana i zarządzana. Ekspercipodkreślają, że choć awaryjne finansowanie uchroniło program przed nagłym zawieszeniem, to cała sytuacja już wpłynęła negatywnie na zaufanie społeczności.
Obawy dotyczą potencjalnego rozdrobnienia standardów w raportowaniu luk bezpieczeństwa. Takie zjawisko mogłoby podważyć cel istnienia CVE jako centralnego, powszechnie uznawanego systemu identyfikacji zagrożeń.
Pokaż / Dodaj komentarze do: Globalny system bezpieczeństwa CVE na krawędzi. USA przedłuża finansowanie w ostatniej chwili