A CVE (Common Vulnerabilities and Exposures) egy nyilvánosan hozzáférhető adatbázis, amely az ismert számítógépes sérülékenységek és biztonsági rések egységes azonosítóval való ellátását és rendszerezését végzi. Az adatbázist az amerikai MITRE Corporation nevű nonprofit szervezet kezeli, a finanszírozását pedig az Egyesült Államok Belbiztonsági Minisztériumának alá tartozó Kiberbiztonsági és Infrastruktúravédelmi Ügynökség (Cybersecurity and Infrastructure Security Agency, röviden CISA) biztosította eddig.

A rendszer lehetővé teszi, hogy a különböző szervezetek egységes módon kommunikáljanak technikai részletekről, és gyorsan azonosítsák azokat a sebezhetőségeket, amelyek azonnali beavatkozást igényelnek. A közös számozási rendszer, a súlyossági skálák és a részletes leírások révén a CVE megbízható referenciapontként szolgál az IT-biztonságban.

A finanszírozás megszűnésének hatásai

A Reuters jelentése szerint a MITRE e-mailben erősítette meg, hogy a CVE-fenntartására vonatkozó szerződés április 17-én lejár, és jelen állás szerint nem kerül meghosszabbításra. A CISA is megerősítette a hírt, és közölte, hogy „sürgősen dolgoznak azon, hogy enyhítsék a helyzet hatásait, és fenntartsák a CVE-szolgáltatásokat, amelyekre globális szereplők támaszkodnak”.

A helyzet különösen aggasztó, mivel a CVE-adatbázis napi szinten támogatja az informatikai biztonsági csapatokat a hibák priorizálásában, a javítási stratégiák meghatározásában és a szoftverfrissítések ütemezésében. John Hammond, a Huntress nevű IT-biztonsági cég vezető kutatója úgy fogalmazott: „Olyan ez, mintha hirtelen törölnénk az összes szótárt. Elvesztenénk azt a nyelvet, amelyen keresztül a kibervédelmi problémákat meg tudjuk beszélni.”

Globális következmények egy amerikai döntés nyomán

A CVE-adatbázis leállása nem csupán amerikai, hanem globális problémát jelentene. Számos ország számít a rendszerre saját kibervédelmi infrastruktúrája részeként. Brian Martin, a számítógépes sérülékenységek történetírója szerint a döntés „azonnali láncreakciót válthat ki, amely világszinten megbéníthatja a sérülékenységek kezelését (vulnerability management).” A számítógépes vészhelyzeti reagáló csapatok (Computer Emergency Response Teams, azaz CERT-ek) ezzel elveszítenék a legfontosabb, ingyenes információforrásukat.

A szakértők arra is figyelmeztetnek, hogy a vállalatok, szoftvergyártók és kormányzati szervezetek egyaránt megszenvedhetik a változást, hiszen jelenleg mindenki a CVE-adatbázist használja elsődleges hivatkozási alapként.

Bár a Reuters nem tudta megállapítani a szerződés megszűnésének konkrét okát, a hírek szerint a teljes amerikai kormányzati technológiai szektor komoly átalakuláson megy keresztül. A jelentés egy különösen meglepő információt is közöl: a háttérben állítólag szerepet játszhat Elon Musk új, DOGE Service nevű kezdeményezése, amely a digitális infrastruktúra racionalizálását tűzte ki célul – noha erről hivatalos megerősítést nem kaptak.

Mi következhet ezután?

A CISA és a MITRE igyekeznek megnyugtatni a közvéleményt, és dolgoznak azon, hogy az adatbázis karbantartása ne szakadjon meg. Ennek ellenére a bizonytalanság egyre nagyobb aggodalmat kelt a szakmában. A CVE-rendszer leállása komoly veszélyt jelentene a globális kiberbiztonságra, és egyúttal rávilágít arra is, mennyire sebezhető egy olyan rendszer, amely ilyen mértékben függ egyetlen finanszírozási forrástól.

A fejlemények nyomon követése kulcsfontosságú lesz az elkövetkező napokban, hiszen a CVE sorsa közvetlen hatással van mindarra, ahogyan ma az információbiztonság világában gondolkodunk és cselekszünk.