3 dni temu
W świecie bezpieczeństwa IT zapanowała chwilowa panika: Mitre, organizacja zarządzająca programem Common Vulnerabilities and Exposures (CVE), ogłosiła niedawno możliwość zawieszenia jego działania z powodu braku finansowania. CVE to filar globalnej ochrony systemów informatycznych — baza danych zawierająca dziś ponad 275 tys. opisanych luk. Informacja o zagrożeniu dla programu wywołała w branży komentarze pełne dramatyzmu — od “totalnego chaosu” po “paraliż cyberbezpieczeństwa na całym świecie”.
Na szczęście kryzys został zażegnany. Rzecznik amerykańskiej agencji CISA potwierdził, iż Mitre przez cały czas otrzyma finansowanie rządowe, zapewniając ciągłość działania CVE. Jednak cała sytuacja ujawniła kilka głębszych problemów, które dotąd nie były przedmiotem szerszej debaty.
Cień zależności
Program CVE, działający nieprzerwanie od 1999 roku, stał się podstawowym źródłem wiedzy o lukach nie tylko dla firm amerykańskich, ale też dla tysięcy organizacji w Europie i Azji. Choć funkcjonował od zawsze przy wsparciu rządu USA, obecny incydent przypomniał brutalną prawdę: choćby najbardziej fundamentalne mechanizmy globalnego bezpieczeństwa mogą być zależne od zmieniających się nastrojów politycznych i budżetowych.
źródło: Adobe StockMitre nie czeka jednak na kolejny kryzys z założonymi rękami. W odpowiedzi na niepewność finansową powołano CVE Foundation — niezależną organizację non-profit, która ma pozyskiwać środki również poza budżetem federalnym. To istotny krok w kierunku uniezależnienia się od jednej osi finansowania i zwiększenia odporności programu.
Europa budzi się ze snu
W tle tej historii wyraźniej niż kiedykolwiek wybrzmiewa pytanie o europejską suwerenność cyfrową. Choć na Starym Kontynencie funkcjonuje EUVD, baza podatności zarządzana przez ENISA, to w praktyce większość firm przez cały czas opiera się głównie na amerykańskim CVE. Regulacje takie jak NIS2, zmuszające organizacje do większej uwagi na kwestie podatności, mogą zwiększyć rolę europejskich rozwiązań, ale droga do rzeczywistej niezależności pozostaje długa.
Jak pokazuje przykład z Mitre, opieranie kluczowych elementów bezpieczeństwa na jednym punkcie podatnym na polityczne wstrząsy jest ryzykowne. W świecie, gdzie luka w popularnym oprogramowaniu może w kilka godzin roznieść się po całym ekosystemie IT, czas reakcji, precyzyjna klasyfikacja podatności i globalna koordynacja mają znaczenie krytyczne.
Co dalej?
Dzięki szybkiej reakcji i wsparciu ze strony CISA świat cyberbezpieczeństwa uniknął chaosu — przynajmniej na razie. Jednak incydent wokół CVE może być sygnałem ostrzegawczym dla całej branży. Model finansowania programów krytycznych dla bezpieczeństwa IT powinien ewoluować w stronę większej dywersyfikacji, a odpowiedzialność za ich utrzymanie powinna rozkładać się na więcej podmiotów — zarówno publicznych, jak i prywatnych, po obu stronach Atlantyku.
Również Europa stoi przed wyzwaniem: jeżeli chce zmniejszyć swoją zależność od amerykańskich źródeł danych o podatnościach, potrzebne będą nie tylko fundusze i inicjatywy, ale także zaufanie rynku do lokalnych odpowiedników.
