Europese database voor digitale kwetsbaarheden is live
Sinds kort heeft de Europese Unie een eigen kwetsbaarhedendatabase. Frank Breedijk van het Dutch Institute for Vulnerability Disclosure (DIVD) is blij dat Europa zich minder afhankelijk maakt van de Verenigde Staten, maar vreest voor spraakverwarring.
Controverse
Paniek onder cybersecurity-experts vorige maand: de Amerikaanse overheid dreigde de financiering stop te zetten van het Common Vulnerabilities and Exposures (CVE)-programma van de Amerikaanse non-profitorganisatie MITRE. Op de CVE-database vertrouwt praktisch de hele cybersecuritywereld. Ten langen leste werd de subsidie voor elf maanden verlengd. De controverse maakte eens te meer duidelijk hoe afhankelijk we in Europa zijn van Amerikaanse informatiebronnen.
En nu is daar, als bij toverslag, een ‘eigen’ kwetsbaarhedendatabase, de European Union Vulnerability Dabase of EUVD. In bètaversie nog, zo staat er in de waarschuwingsregel, dus open voor feedback. De komst van een Europese database werd in juni 2024 aangekondigd door ENISA, het Europese agentschap voor cyberbeveiliging, en is onderdeel van de implementatie van NIS2.
Zijn we nu gered? Dat ligt eraan, zegt Frank Breedijk van het Dutch Institute for Vulnerability Disclosure (DIVD). ‘Het is goed nieuw dat we meer onze eigen broek ophouden op dit gebied. Dat de CVE-database er bijna uit lag, laat zien hoe kwetsbaar een vulnerability-database is als die puur en alleen door de overheid gerund wordt. Maar ook ENISA is een overheidsinstantie.’
Eén taal en één naam
Dat er nu twee databases zijn die in principe dezelfde data bevatten, is zowel een voordeel als een nadeel, legt Breedijk uit. Het risico bestaat dat dezelfde kwetsbaarheid op twee plekken een andere naam krijgt. ‘ENISA wil zich richten op kwetsbaarheden die de Europese markt raken. Maar software wordt wereldwijd gebruikt. Als je dit niet goed borgt, ligt een tweedeling op de loer. Het mooie van de CVE-database was dat hij ons één taal gaf en één naam voor een kwetsbaarheid.’
In de praktijk zijn er meer dan twee databases waarop cyberveiligheidsonderzoekers wereldwijd vertrouwen. Naast de CVE-database is er de Amerikaanse National Vulnerability Database, de NVD, die duiding geeft aan de informatie uit de CVE-database. Daarnaast is er de (eveneens Amerikaanse) CISA-CEV-database, waarbij CEV staat voor Commonly Exploited Vulnerabilities. Hierin wordt bijgehouden welke kwetsbaarheden daadwerkelijk door criminele en statelijke actoren worden misbruikt. ‘Ik denk dat het goed is als we iets soortgelijks doen op Europees niveau,’ zegt Breedijk.
Nummers geven
Was het beter geweest als de Europese Unie de financiering van de CVE-database had overgenomen, zoals Europarlementariër Bart Groothuis (VVD/ Renew Europe) voorstelde toen het erom spande? Ook weer niet helemaal. ‘Een samenwerkingsmodel is beter, maar met name als het gaat om het geven van nummers aan kwetsbaarheden,’ zegt Breedijk. ‘Het zou heel gezond zijn als alle Europese organisaties hun nummers bij ENISA konden aanvragen.’
Dat vergt wat uitleg. Binnen het programma CVE zijn er een honderdtal instanties die als CVE numbering authority nummers mogen toekennen aan nieuwe kwetsbaarheden, waaronder het NCSC. Microsoft doet dit bijvoorbeeld voor kwetsbaarheden in alle Microsoftproducten. Zogeheten root CNA’s mogen dit doen voor alle organisaties in hun eigen land. Een taak die ENISA ook zou kunnen vervullen voor Europa.
Kentekenuitgifte
Breedijk maakt een vergelijking met de uitgifte van kentekens. ‘Het is een goed idee als de EUVD eigenschappen bijhoudt van auto’s, maar een slecht idee als je daarmee ook alle auto’s van een nieuw kenteken voorziet. Dan krijg je spraakverwarring. Dus het zou tof zijn als ENISA naast hun eigen database zou meedoen in het programma van de globale kentekens om voor heel Europa dé kentekenautoriteit te worden. Het hebben van één enkel kenteken voor alle kwetsbaarheden in de wereld is belangrijk. En dat lossen we niet op door twee kentekendatabases te maken, of drie of vier.’
Lees ook:
