Apple vertrouwt, net als andere technologiebedrijven, op het Common Vulnerability Exposure (CVE)-programma om beveiligingskwetsbaarheden in zijn software te identificeren en te volgen. Nu de federale overheid vandaag abrupt de financiering voor CVE heeft stopgezet, gaat deze cruciale cyberbeveiligingsbron nu een onzekere toekomst tegemoet.
Als reactie op de crisis heeft een coalitie onder leiding van oude CVE-bestuursleden vandaag de oprichting aangekondigd van de CVE Foundation, een non-profitorganisatie die zich inzet voor het waarborgen van de voortdurende werking van systemen voor identificatie van kwetsbaarheden.
“Het belang van CVE als hoeksteen van het mondiale cybersecurity-ecosysteem kan niet worden onderschat”, zegt Kent Landfield, een functionaris bij de nieuw opgerichte stichting. "CVE's over de hele wereld vertrouwen bij hun dagelijkse werk op CVE-identificatoren en gegevens - van beveiligingshulpmiddelen en -adviezen tot informatie over dreigingen en reacties. Zonder CVE's zouden verdedigers extreem worden benadeeld in hun inspanningen om mondiale cyberdreigingen te bestrijden."
Het CVE-programma biedt een gestandaardiseerd systeem voor het identificeren en classificeren van beveiligingsproblemen in alle software en hardware, inclusief Apple's macOS, iOS, iPadOS en andere producten. Wanneer beveiligingsonderzoekers een kwetsbaarheid ontdekken, krijgen ze een unieke CVE-identificatie toegewezen, zodat bedrijven als Apple patches en updates kunnen coördineren.
MITRE is gecontracteerd door het Amerikaanse ministerie van Binnenlandse Veiligheid om het project te beheren. Het bedrijf bevestigde dat de overheidsfinanciering op 16 april afliep. Volgens Reuters kan het aflopen van het programma verband houden met de grootschalige ontslagen bij de federale overheid, die gedeeltelijk worden veroorzaakt door het Department of Government Effectiveness (DOGE). De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA), die getroffen werd door de ontslagen, zei dat het “dringend bezig was om de impact te verzachten”, aangezien het plotselinge financieringstekort het mondiale kwetsbaarheidsbeheer zou kunnen verstoren.
Beveiligingsexperts hebben gewaarschuwd dat cyberbeveiligingsinspanningen zonder CVE met een ‘complete chaos’ te maken zouden krijgen, omdat een gemeenschappelijke taal voor het communiceren van kwetsbaarheden feitelijk zou verdwijnen. Eén onderzoeker vergeleek het met het ‘plotseling verwijderen van alle woordenboeken’.
De nieuw gevormde CVE Foundation heeft tot doel het project om te vormen tot een toegewijd non-profitmodel dat niet afhankelijk is van eenmalige overheidsfinanciering. Organisatoren van de stichting lieten weten zich het afgelopen jaar op deze mogelijkheid te hebben voorbereid.
“Voor de internationale cyberveiligheidsgemeenschap vertegenwoordigt deze stap een kans om bestuursmechanismen op te zetten die de mondiale aard van het huidige dreigingslandschap weerspiegelen”, aldus de stichting in de aankondiging.
De bezuinigingen hebben ook gevolgen voor het gerelateerde Common Weakness Enumeration (CWE)-programma, dat bedrijven als Apple helpt potentiële beveiligingsproblemen te ontdekken voordat deze kwetsbaar worden.
De CVE Foundation zal naar verwachting de komende dagen meer details over haar structuur en financieringsplannen bekendmaken. Apple en andere grote technologiebedrijven zullen waarschijnlijk een belangrijke rol spelen bij de ondersteuning ervan als cruciaal onderdeel van de cyberbeveiligingsinfrastructuur.