Vandaag stopt de Amerikaanse overheidsfinanciering voor het beheer en onderhoud van het Common Vulnerabilities and Exposures (CVE)-programma van de Amerikaanse non-profitorganisatie MITRE. Dit kan grote gevolgen hebben voor de weerbaarheid van organisaties. Europarlementariër Bart Groothuis wil dat de Europese Unie de rol van de Verenigde Staten als ondersteuner van CVE overneemt.
Kwetsbaarhedendatabase
Het 25 jaar oude CVE houdt openbaar gemaakte beveiligingslekken bij. In de database staan gegevens over meer dan 274.000 kwetsbaarheden.
Yosry Barsoum, vicepresident en directeur van het Center for Securing the Homeland (CSH) van MITRE, schrijft in een brief aan de CVE-bestuursleden dat de financiering voor ‘de ontwikkeling, uitvoering en modernisering van CVE en aanverwante programma’s, zoals de Common Weakness Enumeration (CWE), afloopt.’ De Amerikaanse overheid doet nog wel z’n best om MITRE te ondersteunen, schrijft hij. Vervolgens waarschuwt hij dat een onderbreking van dienstverlening van CVE negatieve gevolgen heeft voor leveranciers van tools, incidentresponsoperaties en kritieke infrastructuur in het algemeen.
Zou het tot een onderbreking van de dienstverlening komen, dan heeft dat naar verwachting grote gevolgen voor kwetsbaarhedendatabases en -adviezen wereldwijd, zeggen cybersecurityexerts tegen The Hacker News.
Rol voor Europa?
Europarlementariër Bart Groothuis (VVD) laat in een reactie op LinkedIn weten dat hij Eurocommissaris Henna Virkkunen heeft gevraagd of de Europese Unie de financiering van het programma kan overnemen. ‘In de NIS2 sorteren we al voor om de CVE database te ondersteunen vanuit Europa/ ENISA,’ schrijft hij. ENISA is het Europese agentschap voor cyberbeveiliging.
Het CVE-programma werd in september 1999 gelanceerd en wordt uitgevoerd door MITRE, met steun van het Amerikaanse ministerie van Binnenlandse Veiligheid (DHS) en de Cybersecurity and Infrastructure Security Agency (CISA).
Lees meer:
