Od tego czasu praktykujący cyberbezpieczeństwo zalały kanały niezgodne i podawane podawania za pomocą awaryjnych posterunków i memów „NVD” i „CVE” wygrawerowanych na nagrobkach. Niezatapowane luki są drugim najczęstszym sposobem, w jaki cyberatakterzy włamują się i doprowadziły do śmiertelnych awarii szpitali i niepowodzeń infrastruktury krytycznej. W poście w mediach społecznościowych Jen Easterly, amerykański ekspert ds. Bezpieczeństwa cybernetycznego, powiedział: „Przegrana (CVE) byłaby jak wyrywanie katalogu kart z każdej biblioteki jednocześnie – pozostawiając obrońców, aby sortować chaos, podczas gdy napastnicy skorzystają w pełni”. Jeśli CVE identyfikują każdą podatność, jak książka w katalogu kart, wpisy NVD zapewniają szczegółową recenzję z kontekstem wokół nasilenia, zakresu i możliwości wykorzystywania.
Ostatecznie Agencja Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury (CISA) przedłużyła finansowanie CVE na kolejny rok, przypisując incydent „problemowi z administracją umów”. Ale historia NVD okazała się bardziej skomplikowana. Jego organizacja macierzysta, National Institute of Standards and Technology (NIST), podobno zauważyła, że jego budżet obniżył około 12% w 2024 r., Mniej więcej w czasie, gdy CISA wyciągnęła 3,7 miliona dolarów rocznego finansowania NVD. Niedługo potem, wraz ze wzrostem zaległości, CISA uruchomił własny program „Vulnrichment”, aby pomóc w rozwiązaniu luki w analizie, jednocześnie promując bardziej rozproszone podejście, które pozwala wielu upoważnionym partnerom publikować wzbogacone dane.
„CISA nieustannie ocenia, w jaki sposób najskuteczniej przydzielić ograniczone zasoby, aby pomóc organizacjom zmniejszyć ryzyko nowo ujawnionych luk w zabezpieczeniach”, mówi Sandy Radesky, zastępca dyrektora ds. Zarządzania lutrem. Zamiast wypełnienia luki, podkreśla, że Vulnrichment został ustanowiony w celu dostarczenia unikalnych dodatkowych informacji, takich jak zalecane działania dla konkretnych interesariuszy, oraz „zmniejszenie zależności roli rządu federalnego jako jedynego dostawcy wzbogacania podatności”.
Tymczasem NIST starał się zatrudnić wykonawców, aby pomóc w usuwaniu zaległości. Pomimo powrotu do poziomów przetwarzania przed kryzysem, boom w zabezpieczeniach nowo ujawniony NVD wyprzedził te wysiłki. Obecnie ponad 25 000 luk oczekuje na przetwarzanie – według danych z firmy programistycznej Anchore w 2017 r. Według danych poprzedniego wysokości w 2017 r. Wcześniej NVD w dużej mierze dotrzymało kroku publikacjom CVE, utrzymując minimalne zaległości.
„Sprawy były destrukcyjne i przechodziliśmy czas zmian na całym świecie”, powiedział Matthew Scholl, wówczas szef Wydziału Bezpieczeństwa Komputerowego w Laboratorium Informatycznym NIST, powiedział na wydarzeniu branżowym w kwietniu. „Przywództwo zapewniło mnie i wszystkich, że NVD jest i będzie nadal priorytetem misji dla NIST, zarówno pod względem zasobów, jak i możliwości”. Scholl opuścił NIST w maju po 20 latach w agencji, a NIST odmówił komentarza na temat zaległości.
Sytuacja skłoniła teraz wiele działań rządowych, a Departament Handlu rozpoczął kontrolę NVD w maju, a Demokraci House wzywa do szerszej sondy obu programów w czerwcu. Ale szkody zaufania już przekształca geopolityki i łańcuchy dostaw, ponieważ zespoły bezpieczeństwa przygotowują się do nowej ery cybernetycznej. „Zostało to zły smak, a ludzie zdają sobie sprawę, że nie mogą na tym polegać” – mówi Rose Gupta, która buduje i prowadzi programy zarządzania podatnością przedsiębiorstw. „Nawet jeśli jutro zebrają wszystko z większym budżetem, nie wiem, czy to się nie powtórzy. Muszę upewnić się, że mam inne elementy sterujące”.
W miarę upływu tych zasobów publicznych organizacje i rządy stoją w obliczu krytycznej słabości naszej infrastruktury cyfrowej: niezbędne globalne usługi bezpieczeństwa cybernetycznego zależą od złożonej sieci interesów agencji amerykańskiej i finansowania rządowego, które można w dowolnym momencie ograniczyć lub przekierować.
Bezpieczeństwo ma i nie mają
To, co zaczęło się jako struga luk w zabezpieczeniach oprogramowania we wczesnej erze internetowej, stało się nie do powstrzymania lawiną, a bezpłatne bazy danych, które śledzą je od dziesięcioleci, starały się nadążyć. Na początku lipca baza danych CVE przekroczyła ponad 300 000 katalogowanych luk. Liczby skaczą nieprzewidywalnie każdego roku, czasem o 10% lub wiele więcej. Jeszcze przed jego najnowszym kryzysem NVD było znane z opóźnionej publikacji nowych analiz podatności na zagrożenia, często podnosząc prywatne oprogramowanie bezpieczeństwa i doradztwo dostawców o tygodniach lub miesiącach.
