A MITRE Corporation, az Egyesült Államok védelmi és kutatásorientált nonprofit szervezete bejelentette, hogy szerdán lejár az amerikai szövetségi kormányzati finanszírozás, amely lehetővé tette számukra a világ egyik legfontosabb kiberbiztonsági adatbázisának fenntartását, számolt be róla Reuters hírügynökség. Az úgynevezett CVE (Common Vulnerabilities and Exposures) adatbázist világszerte használják kutatók, rendszergazdák és kiberbiztonsággal foglalkozó szakemberek arra, hogy azonosítsák és rangsorolják a naponta felfedezett sebezhetőségeket és támadási lehetőségeket.
Tartalomjegyzék
Egy univerzális „nyelv” eltűnése fenyeget
Az adatbázis közös azonosítószámokat, súlyossági skálát és részletes leírásokat kínál, lehetővé téve, hogy a technikai információk gyorsan és egységesen áramoljanak vállalatok, kormányzati szervezetek és országok között. A MITRE e-mailes tájékoztatása szerint a jelenlegi támogatás szerda éjjel lejár, és ha nem sikerül megoldást találni, az egész rendszer leállhat. A finanszírozásért felelős szövetségi ügynökség, a Cybersecurity and Infrastructure Security Agency (CISA) megerősítette a szerződés lejártát, hozzátéve, hogy dolgoznak az esetleges hatások enyhítésén és a szolgáltatás fenntartásán, mivel a CVE szolgáltatásra világszerte fontos szereplők támaszkodnak.
Politikai háttér és a DOGE szerepe
A Reuters egyelőre nem tudta megerősíteni, miért nem hosszabbították meg a szerződést. A lap szerint a CISA – ahogyan a teljes szövetségi kormány is – radikális karcsúsításon megy keresztül. Ennek hátterében részben Elon Musk által fémjelzett DOGE nevű Kormányzati Hatékonysági Minisztérium áll, amelynek feladata a szövetségi kiadások csökkentése, és amely a digitális kormányzati szolgáltatások újragondolását tűzte ki célul, azonban ebben a kérdésben a DOGE szóvivője egyelőre nem reagált a megkeresésekre.
Szakértők szerint súlyos következmények jöhetnek
Kiberbiztonsági szakemberek megrökönyödéssel fogadták a hírt. John Hammond, a Huntress nevű menedzselt biztonsági cég vezető kutatója úgy fogalmazott, mintha egyik napról a másikra kitörölnék az összes szótárt. Szerinte a CVE rendszer nélkül eltűnik az a közös nyelv, amely lehetővé teszi a kiberbiztonsági problémák hatékony kezelését, és elkerülhetetlenül fájdalmas következményekkel jár majd az egész ágazatra nézve.
Globális leállás fenyegeti a sebezhetőségek kezelését
A CVE-adatbázisra építve világszerte cégek és szervezetek állapítják meg, mely szoftveres hibák igényelnek azonnali javítást, és melyek várhatnak. Brian Martin, a számítógépes sebezhetőségek történetével foglalkozó szakértő arra figyelmeztetett, hogy a rendszer megszűnése azonnali és láncreakció-szerű hatást váltana ki a globális sérülékenység-kezelési gyakorlatban. A számítógépes vészhelyzetekre reagáló csapatok, azaz a CERT-ek elveszítenék azt a nyilvánosan elérhető forrást, amelyen keresztül eddig naprakész sebezhetőségi információkhoz jutottak. Mint mondta, minden vállalat, amely eddig erre az adatbázisra támaszkodott, hirtelen és élesen érzékelni fogja a működésbeli zavarokat.
