Bekymra for framtida til CVE: – Første jeg tenkte var «Å, nei!»

Den amerikanske databasen som nylig kunne forsvinne er «helt avgjørende» for sikkerhet, sier både norske utviklere og Nasjonal sikkerhetsmyndighet.

Arkivfoto fra NorCERT sitt operasjonssenter i Oslo, den operative delen av Nasjonal sikkerhetsmyndighet (NSM). De er en av mange som bruker CVE-databasen. 📸: Heiko Junge / NTB
Arkivfoto fra NorCERT sitt operasjonssenter i Oslo, den operative delen av Nasjonal sikkerhetsmyndighet (NSM). De er en av mange som bruker CVE-databasen. 📸: Heiko Junge / NTB Vis mer

I over 25 år har CVE (Common Vulnerabilities and Exposures) katalogisert alle verdens sårbarheter og sikkerhetshull. Databasen er internasjonal, fellesskapsdrevet, åpen, og en bransjestandard alle verdens utviklere og sikkerhetsfolk nærmest tar for gitt.

Det har nå endra seg:

  • Bak katalogen står MITRE Corporation, som er en amerikansk non-profit-organisasjon, finansiert av amerikanske myndigheter.
  • Som alt annet i USA om dagen, har finansieringen stått i fare, og nylig kom nyhetene om at den forsvant.
  • Kort tid etterpå, like før fristen gikk ut, kom kontrabeskjeden om at Cybersecurity and Infrastructure Security Agency (CISA) likevel ville finansiere CVE – i 11 måneder til.

Dette skaper nå uro, også i den norske bransjen.

«Å, nei!»

– CVE er avgjørende for IT-industrien, i alle fall med tanke på cybersikkerhet, sier Torbjørn Kristoffersen til kode24.

Nordmannen er «Head of Security & Technical Advisory» i Mezzanine, et datterselskap av Vodacom/Vodafone, og en ivrig bruker av CVE-databasen på jobben sin i Sør-Afrika.

Sikkerhetssjef Torbjørn Kristoffersen i Mezzanine. 📸: Privat
Sikkerhetssjef Torbjørn Kristoffersen i Mezzanine. 📸: Privat Vis mer

– Jeg bruker CVE for å vurdere risiko, og for å avgjøre om vi for eksempel må implementere en patch eller iverksette andre tiltak. Ved ekstern ISO-revisjon kan man da dokumentere hvilke sårbarheter som ble vurdert, og eventuelt håndtert, forteller han.

– Så hva tenkte du da du hørte at finansieringen kunne ryke?

– Det første jeg tenkte var jo «Å, nei!». Dette hadde betydd at en eller flere aktører måtte ha tatt over ansvaret. Antakelig hadde det blitt fragmentert og ført til en mindre effektiv løsning. I alle fall de første årene.

NSM er avhengig

Også myndigheter er helt avhengige av CVE-databasen, inkludert norske Nasjonal Sikkerhetsmyndighet (NSM).

– NSM forholder seg til CVE på lik linje som andre nasjonale myndigheter, og spesielt som nasjonal responsfunksjon. Det er helt avgjørende å ha et felles referanseverk for kjente sårbarhete, sier seksjonssjef Geirr Trotter i NSM til kode24.

Uten et system som CVE tror han det kunne blitt dårligere kommunikasjon, misforståelser og generelt vanskeligere å koordinere sikkerhetsarbeid.

– Verdifull tid vil kunne gå tapt i kommunikasjonen om sårbarhetene som heller kunne vært brukt av virksomhetene til å raskets mulig oppdatere og omkonfigurere sin programvare. Dette vil kunne gi angriper bedre tid og et større mulighetsrom, fortsetter Trotter.

– Og uten et system som CVE mister sikkerhetsforskere rundt i verden også et sted å rapportere om sårbarheter de har oppdaget i programvare.

«NSM forholder seg til CVE på lik linje som andre nasjonale myndigheter, og spesielt som nasjonal responsfunksjon.»
CVE har holdt på i år 25 år, men opplever nå usikkerhet.
CVE har holdt på i år 25 år, men opplever nå usikkerhet. Vis mer

Bekymra for framtida

CVE er med andre ord helt essensielt for sikkerhetsarbeid, og derfor er nå mange bekymra for framtida, når amerikanske myndigheter kutter det som kuttes kan, og finansieringen allerede har stått i fare.

– Hva tenker du om framtida til CVE nå?

– Nå som finansieringen er i boks, så tror jeg CVE vil klare seg greit. Men det ble jo en påminnelse at det er lurt å ha en alternativ plan. Kanskje bør MITRE begynne å jobbe sammen med andre organisasjoner for å sikre langsiktig stabilitet, svarer Kristoffersen i Mezzanine.

Også NSM er åpne for at det kan dukke opp alternativer til dagens CVE.

– NSM er avhengig av et system for å identifisere og klassifisere sårbarheter, og vil benytte det om det er CVE-konseptet som lever videre, eller om det skulle komme ett nytt initiativ. Det viktigste er at det er ett felles internasjonalt system, slik at myndighetene internasjonalt kan sitte med et korrekt og tilsvarende situasjonsbilde på utbredte sårbarheter, sier Trotter i NSM.

Europeisk CVE?

Som ved alt annet fra USA for tida, snakkes det nå om å også opprette et europeisk alternativ til amerikanske CVE.

For eksempel finnes det allerede et initiativ fra EUs Agency for Cybersecurity (ENISA); European Union Vulnerability Database (EUVD). Ifølge The Register bruker denne CVE sine ID-er for svakhetene, men også sine egne – som dermed skaper frykt for at sikkerhetsarbeidet framover kan bli fragmentert.

– Synes dere i NSM at vi framover heller bør satse på europeiske alternativer?

– Det viktigste er igjen at noen ivaretar det på en god måte, at systemet består, og at det er et felles system alle er enige og samstemte om, svarer Trotter i NSM.