Szerdán leállhat a legfontosabb globális kiberbiztonsági adatbázisok egyike.

által K Sandor

Veszélyben a kiberbiztonság alapköve: a CVE-program

A kiberbiztonság egyik legfontosabb pillére, a „Gyakori sebezhetőségek és kockázatok” (CVE) program sorsa bizonytalanná vált. A CVE-program, mely azonosító számokat ad a feltárt sérülékenységeknek, április 15-én figyelmeztetést kapott a fenyegető leállásra. A hátterében a MITRE intézetet érintő finanszírozási probléma áll, ugyanis a szerződésük megszűnt az amerikai belbiztonsági minisztériummal.

A CVE program nem csupán egy adatbázist jelent, hanem a biztonsági szakemberek közös nyelvét. Ez az adatbázis teszi lehetővé, hogy a sebezhetőségeket globálisan rendszerezzék és világszerte lefoltozzák. Évente több tízezer hibát jelentenek be a programban, amelyek mind egyedi azonosítót kapnak. Ez a rendszer gyorsítja a javításokat, és megakadályozza, hogy a szakemberek keresztbe dolgozzanak egymásnak.

A MITRE és a támogatás kérdése

A CVE-t működtető nonprofit MITRE intézet szerint, amennyiben az állami támogatás nem érkezik meg, az addig regisztrált hibák elérhetők maradnak, de új sérülékenységekhez nem lehet majd azonosítókat kiadni. Ez potenciálisan megbéníthatja a sebezhetőségi adatbázis és a kapcsolódó rendszerek működését. Yosry Barsoum, a MITRE alelnöke hangsúlyozta, hogy a program akadozása katasztrofális hatásokkal járna, beleértve a nemzeti sebezhetőségi adatbázisok, az incidensközpontok és a kritikus infrastruktúrák működésének romlását.

A globális katasztrófa lehetősége

A CVE szerves része a kiberbiztonsági ökoszisztémának. A rendszer segítségével a világ minden pontján pontosan meg lehet határozni, hogy egy adott hiba milyen termékeket és verziókat érint. Enélkül a szakemberek értékes időt vesztenek az egyeztetéseken és elemzésen, miközben rossz szándékú szereplők profitálnak az információhiányból és a káoszból. Matt Tait, a Corellium operatív igazgatója szerint a CVE program szabványosított, központosított leírásai kulcsfontosságúak a sérülékeny rendszerek gyors identificálásában és javításában.

A politikai és gazdasági háttér

Jen Easterly, a belbiztonsági minisztérium kiberbiztonsági ügynökségének korábbi vezetője a CVE fontosságát a Dewey-féle tizedes osztályozáshoz hasonlította. Szerinte a CVE nélkül nemcsak az információmegosztás rendszere omlik össze, hanem a kiberbiztonsági közösség koordinációja is megszűnik. Az amerikai belbiztonsági minisztériumban jelenleg komoly költségcsökkentés zajlik, ami tovább bonyolítja a helyzetet. Bár a MITRE hangsúlyozza, hogy a támogatási kérdés megoldása folyamatban van, a program jövője továbbra is bizonytalan.

A jövő árnyéka

A CVE-program finanszírozási gondjai nem újkeletűek, ám a megoldás eddig mindig megszületett a határidők előtt. Most azonban a belbiztonsági tárcánál elindult költségcsökkentési hullám miatt egyértelműen nagyobb a bizonytalanság. Ha a szükséges támogatást nem sikerül megszerezni, az a globális kiberbiztonsági ökoszisztéma meggyengüléséhez vezethet – nyitva hagyva az utat a rosszindulatú támadók előtt.

Forrás: telex.hu/techtud/2025/04/16/mitre-cve-kiberbiztonsag-forrashiany-kockazat

Ezt is kedvelheted