Американската Агенция за киберсигурност и сигурност на инфраструктурата (CISA) увери, че няма да има прекъсване в работата на критичната за глобалната киберсигурност програма CVE, въпреки предупрежденията от страна на корпорацията MITRE относно изтичането на федералното финансиране.

Изявлението на CISA дойде само часове след като MITRE сигнализира, че несигурността около подновяването на договора с правителството може да доведе до сериозни смущения в работата на системата за каталогизиране на уязвимости. Агенцията обяви, че е активирала опция по съществуващия договор, за да осигури непрекъснатост на услугата.

„Програмата CVE е безценна за кибернетичната общност и е приоритет на CISA. Снощи CISA изпълни периода на опцията по договора, за да гарантира, че няма да има прекъсване на критичните услуги на CVE. Оценяваме търпението на нашите партньори и заинтересовани страни“, гласи официалното изявление на агенцията.

Финансиране в неясно бъдеще

Според публична документация, договорът с MITRE е на стойност 29 милиона долара и е предоставен без конкуренция, поради ключовата роля на корпорацията в управлението на базата данни. Все още обаче не е ясно дали е предвидено дългосрочно решение за устойчивото финансиране на програмата.

В същото време се появиха нови организации, които изразиха готовност да подкрепят продължаването на програмата при необходимост.

Програмата CVE – основа на глобалната киберсигурност

Създадена с цел да каталогизира публично оповестени уязвимости в сигурността, програмата CVE (Common Vulnerabilities and Exposures) е ключов елемент от процеса по откриване, докладване и анализ на рискове, използван от изследователи, компании, доставчици на софтуер и правителствени институции по цял свят. Системата позволява унифицирано описание и проследимост на уязвимостите, като улеснява координираната реакция при инциденти.

Програмата се администрира от MITRE Corporation и се финансира чрез комбинация от държавни субсидии, индустриални партньорства и международно сътрудничество.

Опасения за прекъсване и последиците от него

Вицепрезидентът на MITRE и директор на Центъра за осигуряване на националната сигурност Йосри Барсум предупреди в писмо до управителния съвет на CVE, че договорът за управление на програмата изтича на 16 април 2025 г., без яснота относно бъдещата подкрепа.

„Ако настъпи прекъсване на услугата, очакваме многобройни въздействия върху CVE, включително влошаване на националните бази данни и съвети за уязвимост, забавяне на реакцията на доставчиците, ограничаване на операциите за реагиране и всякакъв вид критична инфраструктура“, подчерта Барсум.

Нарастващи предизвикателства пред NIST

Паралелно с тази криза, Националният институт по стандартизация и технологии (NIST) продължава да се бори с натрупаното изоставане в обработката на CVE записи в Националната база данни за уязвимости (NVD). Въпреки че скоростта на обработка остава непроменена, броят на новоподадените случаи е скочил с 32% през последната година.

Институтът изрази опасения, че този растеж ще продължи и през 2025 г., като в отговор се разглежда възможността за използване на изкуствен интелект и машинно обучение за автоматизация на част от процесите.