Ville gjøre CVE uavhengig – men nå vil USA ha mer kontroll

Den amerikanske sårbarhetsdatabasen CVE risikerte først å forsvinne – nå brygger det opp til en kamp om hvem som skal kontrollere den.

Den amerikanske statlige organisasjonen CISA skriver i et nytt dokument at de mener det er viktig at de har kontroll over CVE-programmet, samtidig som de vil modernisere det.

📸: ANDREW CABALLERO-REYNOLDS / AFP / NTB

Kurt Lekanger journalist, kode24.no

Publisert 16.09.2025 - 11:07

Tidligere i år ble det kjent at CVE (Common Vulnerabilities and Exposures) – databasen over sårbarheter – sto i fare for å miste finansieringen.

Dette skapte uro i norsk og internasjonal sikkerhetsbransje.

Bekymra for CVE: – Første jeg tenkte var «Å, nei!»

Den amerikanske databasen som nylig kunne forsvinne er «helt avgjørende» for sikkerhet, sier både norske utviklere og Nasjonal sikkerhetsmyndighet.

Nå har amerikanske CISA (Cybersecurity and Infrastructure Agency) publisert et nytt "vision"-dokument der de signaliserer at de ønsker å få enda mer kontroll over det som har blitt en global bransjestandard for identifisering av sårbarheter. Det skriver The Register.

Samtidig ønsker en nyopprettet organisasjon, CVE Foundation, å endre CVE til å bli en ideell organisasjon med internasjonall koordinering og som er finansiert av både offentlige, private og ideelle organisasjoner.

– Tilhører oss

CVE Foundation ble etablert av noen i CVE-styret, en frivillig gruppe som gir råd til CVE-programmet for den amerikanske non-profit-organisasjonen MITRE. Det er MITRE som driver CVE-katalogen i dag.

– CVE Foundation mener sterkt at den beste veien videre for å bevare den viktige tjenesten som CVE-programmet utgjør, er å overføre det til en nonprofit-organisasjon med ekte internasjonal koordinering, streng og åpen styring, samt flere finansieringskilder fra offentlige, private og nonprofit-organisasjoner, skrev CVE Foundation i et blogginlegg i sommer.

Denne muligheten har ikke falt i god jord hos CISA.

– Faktaene er enkle: Mandatet, oppdraget og drivkraften til å lede dette programmet inn i fremtiden tilhører denne etaten, skriver CISAs cybersikkerhetssjef Nick Andersen i et blogginnlegg.

Trenger det

CISAs cybersikkerhetssjef erkjenner i sitt blogginnlegg at det i løpet av det siste året har vært mye debatt rundt fremtiden til CVE-programmet.

– Men la meg være helt klar: Det finnes ikke noe nasjonalt cyberforsvar uten et pålitelig, statlig ledet system for identifisering av sårbarheter, skriver Andersen.

Han mener at selv om forslag om å privatisere CVE-programmet eller gå over til en annen modell for hvordan det skal forvaltes kan virke forlokkende, så kan konsekvensene være alvorlige:

– Private aktører, selv med de beste intensjoner, står overfor interessekonflikter og prioriterer aksjonærverdier fremfor nasjonal sikkerhet.

Her i Europa har The European Union Agency for Cybersecurity (ENISA) lansert et europeisk alternativ til CVE:

Europeisk CVE-alternativ er live: «Essensielt verktøy»

Den usikre politiske situasjonen i USA har tydeliggjort behovet for et europeisk alternativ til sikkerhetsdatabasen CVE. Nå er alternativet – EUVD – klart.