CVE-programmet reddet i sidste øjeblik
CVE-programmet (Common Vulnerabilities and Exposures), som i årtier har været et centralt redskab til global cybersikkerhed, er reddet. Midlertidigt. Det skriver en række medier her i påsken, herunder Computerworld.
Tidligere i april stod programmet ellers på randen af lukning. Programmet, der drives af nonprofitorganisationen MITRE med støtte fra den amerikanske regering, var i fare for at miste sin føderale finansiering. Men i sidste øjeblik valgte de amerikanske myndigheder at forlænge kontrakten med 11 måneder. Og dermed er en krise afværget. I al fald foreløbigt.
En kernekomponent i cybersikkerhedslandskabet
Mange læsere af nyheder fra DKCERT vil genkende vores henvisninger til CVE-numre, der er de unikke identifikatorer for sårbarheder, som opdages af researchere rundt omkring i verden. CVE-databasen er det globale referencepunkt for kendte software-sårbarheder, som store virksomheders produkter har og sender opdateringer ud til håndtering af.
Derfor havde nyheden om den forestående lukning vakt bekymring blandt sikkerhedseksperter. Wired beskrev situationen som både "dum og farlig" og advarede mod konsekvenserne af at lade så essentiel infrastruktur falde fra hinanden. Også herhjemme hvor cybersikkerhedsrådets forperson Jacob Herbst og sikkerhedseksperten Peter Kruse har udtalt sig Computerworld om sagen.
Politisk pres og reaktion
Reaktionerne lod ikke vente på sig. Eksperter, virksomheder og civilsamfundet opfordrede regeringen til handling. Om det var presset fra eksperterne eller andre forhold, der gjorde sig gældende er uklart. Uanset hvad er der blevet gennemført en midlertidig forlængelse af MITRE's kontrakt, så programmet kan køre videre i de næste 11 måneder.
I forbindelse med sagen har bestyrelsen bag CVE-programmet foreslået, at programmet fremover skal forankres i en ny nonprofitorganisation – CVE Foundation – for at sikre en mere bæredygtig og uafhængig struktur, som er uafhængig af politisk usikkerhed.
Parallelt pres fra NVD-krisen
Sagen er blevet yderligere kompliceret af den samtidige krise i National Vulnerability Database (NVD), der beriger CVE-poster med tekniske detaljer som CVSS-scores og udnyttelsesdata. Siden februar har NVD været næsten handlingslammet, hvilket har ført til et enormt efterslæb i analysen af sårbarheder, hvilket flere medier også har beskrevet, og som vi har henvist til her på CERT.dk.
CVE-programmet er altså blevet reddet for nu, men det er uklart, hvor sårbart systemet over for politisk ustabilitet.
Læs mere
- https://www.theverge.com/news/649314/cve-mitre-funding-vulnerabilities-exposures-funding
- https://www.wired.com/story/cve-program-cisa-funding-chaos
- https://www.computerworld.dk/art/291244/danske-sikkerheds-eksperter-lukning-af-verdens-vigtigste-saarbarhedsdatabase-kan-faa-alvorlige-konsekvenser
- https://www.thecvefoundation.org/