Advertentie
Tot voorkort zag het er nog steeds naar uit dat het CVE-programma, kort voor Common Vulnerabilities and Exposures, geen financiering zou krijgen. Het contract met het Amerikaanse Ministerie van Binnenlandse Veiligheid (DHS) liep die dag af en werd niet verlengd. Een groot aantal initiatieven en organisaties zag zijn kans schoon en ging aan de slag om kortetermijnalternatieven te creëren voor de potentiële mislukking van het CVE-programma.
De Europese cyberbeveiligingsautoriteit ENISA maakte ook van de gelegenheid gebruik om spontaan de European Vulnerability Database (EUVD) te publiceren, die in 2024 was aangekondigd. In tegenstelling tot eerdere planning werd het platform zonder waarschuwing in gebruik genomen en wordt het nu actief gevuld met informatie over kwetsbaarheden. De maatregel was blijkbaar een directe reactie op de aankondiging van de sluiting door MITRE, de lang bestaande beheerder van de CVE-database in de VS. De EUVD wordt beheerd door ENISA als onderdeel van de NIS2-richtlijn en zal in de toekomst worden uitgebreid tot de Europese standaardoplossing voor het beheer van kwetsbaarheden.
Tegelijkertijd waren er echter tekenen van ontwikkelingen in de VS die wezen op een verlenging van het MITRE-contract op korte termijn. De Amerikaanse cyberbeveiligingsautoriteit CISA oefende een bestaand optierecht uit, waardoor het contract met MITRE, althans voorlopig, met elf maanden verlengd kon worden tot 15 maart 2026.
Deze verlenging werd aanvankelijk gedocumenteerd op een openbaar overheidsportaal met de opmerking "in uitvoering" en later bevestigd met de status "voltooid". Het contract is ongeveer 20 miljoen Amerikaanse dollar waard. Ondanks deze verlenging blijven er echter onzekerheden bestaan, vooral omdat MITRE tegen juni 2025 ongeveer 442 werknemers zal moeten ontslaan als gevolg van andere geannuleerde contracten, zoals gemeld door lokale media.
Naast overheidsactoren hebben nieuwe maatschappelijke en internationale oplossingen een hervorming van het systeem aangemoedigd. Het Luxemburgse CIRCL presenteerde bijvoorbeeld het Global CVE Allocation System (GCVE), dat bedoeld is om een gedecentraliseerde identificatie van kwetsbaarheden mogelijk te maken. De aanpak is gebaseerd op een uitbreiding van de CVE ID-structuur met een CNA-identificatiecode, die onafhankelijke nummertoewijzing door verschillende CVE-nummerautoriteiten mogelijk maakt. De ID GCVE-1-2024-12345 kan bijvoorbeeld verwijzen naar een kwetsbaarheid die is toegewezen door de CIRCL, terwijl klassieke CVE's kunnen worden gelabeld met een voorafgaande nul (GCVE-0-2024-xxxxx).