CISA lukker 10 Emergency Directives

Den amerikanske cybersikkerhedsmyndighed CISA (Cybersecurity and Infrastructure Security Agency) har annonceret en annullering af 10 såkaldt ”Emergency Directives ”, der blev udstedt mellem 2019 og 2024. Ifølge CISA er alle nødvendige tiltag nu implementeret, eller også er de dækket af den mere permanente Binding Operational Directive (BOD) 22-01, som fokuserer på kendte, udnyttede sårbarheder.

Det skriver en række medier, herunder Bleeping Computer og Security Week med henvisning til en nyhed fra CISA.

Dermed har det direktiv, som tidligere præsident Joe Biden satte i værk i 2022, altså vis sin levedygtighed og er modsætning, hvad man skal ellers skulle tro, ikke blevet annulleret af Donald Trump. 

Nye regler skal sikre hurtigere patching 

Emergency Directives er designet til at håndtere akutte og alvorlige trusler mod føderale myndigheder. De er midlertidige og skal kun være aktive, indtil risikoen er reduceret til et acceptabelt niveau, skriver Security Week.  Efter en omfattende gennemgang konkluderer CISA, at:

• Alle påbudte handlinger er gennemført
• Fremtidige krav håndteres via BOD 22-01 og CISA’s Known Exploited Vulnerabilities (KEV) katalog

CISA fremhæver ifølge Bleeping Computer, at denne lukning er den største på én gang i myndighedens historie – et tegn på, at arbejdet med at indføre mere strukturerede og langsigtede mekanismer er lykkedes.

Hvilke direktiver er lukket?

De 10 direktiver adresserede nogle af de mest kritiske sårbarheder og kompromitteringer de seneste år, herunder:

• ED 19-01: DNS-infrastrukturmanipulation
• ED 21-01: SolarWinds Orion-kodekompromittering
• ED 24-02: Nation-state kompromittering af Microsofts interne mailsystem
• ED 21-02: Microsoft Exchange zero-days (udnyttet af kinesiske aktører)
• ED 21-04: Print Spooler-sårbarhed (udnyttet af russiske aktører)
• ED 21-03: Pulse Connect Secure VPN-fejl
• ED 22-03: VMware-sårbarheder
• Samt flere Windows-relaterede fejl, inkl. Zerologon og DNS-server bugs

Disse sårbarheder blev hurtigt udnyttet af trusselsaktører og krævede derfor øjeblikkelig handling for at forhindre kompromittering af føderale systemer.

Fra akut respons til systematisk patching

Med BOD 22-01 har CISA indført en mere struktureret tilgang:

• Alle sårbarheder i KEV-kataloget skal patches inden for fastsatte tidsfrister
• Ældre CVE’er (før 2021): op til 6 måneder
• Nye CVE’er: typisk 2 uger
• Højrisiko-sager: kan kræve patchning inden for 24 timer (fx Cisco-sårbarheder i 2025)

Modellen giver CISA mulighed for at reagere hurtigt på nye trusler, samtidig med at den sikrer en ensartet baseline for sårbarhedshåndtering, fremgår det.

Ifølge CISA’s fungerende direktør, Madhu Gottumukkala, er lukningen af direktiverne et bevis på, at myndigheden har opnået sit mål:

“Vi har elimineret vedvarende adgang, modvirket nye trusler og leveret realtidsvejledning. Fremadrettet vil vi fokusere på Secure by Design-principper, der fremmer gennemsigtighed, konfigurerbarhed og interoperabilitet.”

Hvad så med CVE-programmet?

Et spørgsmål blæser imidlertid stadig i vinden. Overlever CVE-programmet?

Både sårbarhedsdatabasen og kataloget over kendte udnyttede sårbarheder er afhængig af et velfungerende CVE-program, altså det program der understøtter identificeringen af nye sårbarheder og giver dem et entydigt identificerbart nummer, nemlig CVE-nummeret. Det skal nemlig bruges til både NVD og KEV-kataloget.

I foråret 2025 blev fortsættelsen af CVE-programmet kun reddet af en ekstrabevilling, der ville kunne holde CVE-programmet i live i 11 måneder. De 11 måneder nærmer sig sin afslutning, så nu venter verden på, at der bliver fundet penge til yderligere forlængelse eller en mere permanent finansiering. 

I EU har ENISAs sårbarhedsdatabase kørt i snart 10 måneder og har i den forløbne periode sig at være en værdig konkurrent/aftager/supplement til NVD. Alt afhængig af øjnene der ser.