De Amerikaanse non-profit organisatie MITRE, vooral bekend van het CVE-programma (Common Vulnerabilities & Exposures) wat één van de steunpilaren van de cybersecurity-industrie is heeft bekend gemaakt dat met ingang van 16 april de Amerikaanse overheid stopt met het financieren van dit programma.
CVE’s
CVE’s zijn één van de belangrijkste items binnen de cybersecurity wereld, aangezien dit een de facto standaard biedt waaruit iedereen informatie kan halen.
Sinds 1999 worden in het CVE programma worden kwetsbaarheden geïnventariseerd, gedefinieerd en bijgehouden.
Een CVE wordt daarbij aangemerkt als een SPOT (Single Point of Truth), omdat een CVE-nummer door een beperkt aantal instanties (ook wel CNA, CVE Numbering Authority) mag worden uitgegeven waarbij er het nodige werk vooraf gaat.
Financiering
Dit programma is jarenlang onder andere gefinancierd door de Amerikaanse overheid, maar dit houdt op per 16 april 2025 en is (helaas) nog niet verlengd.
Dit kan mogelijk verstrekkende gevolgen hebben als er een onderbreking in de dienstverlening plaatsvindt, waardoor het niet ondenkbaar is dat er geen nieuwe CVE’s kunnen worden aangemeld als MITRE een storing heeft.
De vicepresident van de MITRE Yosry Barsoum schrijft daarover het volgende in een brief naar CVE board members:
“If a break in service were to occur, we anticipate multiple impacts to CVE, including deterioration of national vulnerability databases and advisories, tool vendors, incident response operations, and all manner of critical infrastructure.”
Wereldwijd belang
Voor een grootschalig en internationaal probleem zoals cybersecurity is het zeer belangrijk dat er een onafhankelijke en centrale database zoals CVE is, omdat samenwerking tussen organisaties vanuit verschillende aspecten met een gedeelde bron van informatie een essentieel onderdeel hiervan is.
Wij van RiskGuard hopen dan ook ten zeerste dat dit programma doorgang kan vinden en zullen ons inzetten om hierbij te ondersteunen waar mogelijk en indien nodig.