Yhdysvallat jatkoi viime hetkellä CVE-projektin rahoitusta
Yhdysvallat ehti jo hetkeksi lakkauttaa maailman tietoturvan aivan keskeisen toimijan rahoituksen. Kyseinen taho on Common Vulnerabilities and Exposures -tietokanta eli CVE.
CVE on koko maailman tietoturva-asiantuntijoiden, valistuneiden kuluttajien, lehdistön ja teknologiafirmojen käyttämä tietokanta, joka kerää kaikista maailman tuotteista niistä löydetyt tietoturva-aukot yhteen paikkaan.
Mekin olemme linkanneet satoja kertoja löydettyjen tietoturva-aukkojen ja uhkien osalta juurikin CVE:n sivuille, jossa ylläpidetään keskitettyä tietokantaa aukoista.
CVE:stä voi vaikkapa tarkistaa sen, miten järisyttävän vaarallista on Windows 7 käyttäminen nykypäivänä, kun käyttöjärjestelmästä tiedetään valtava määrä paikkaamattomia aukkoja. Tiedot CVE Details -sivulle tulevat juurikin virallisesta CVE-palvelusta.
CVE on vastannut maailman tietoturvapiirien keskitetystä tiedonjaosta. Eli kun uusi tietoturva-aukko on löydetty, se on toimitettu CVE:n paikallisille kumppaneille. Kumppanit arvioivat löydöksen riskitason ja se lisätään CVE:n tietokantaan. Lisäksi aukon paikkaamista (tai paikkaamatta jättämistä) seurataan kunkin aukon osalta.
Toki CVE itsessään ei tee tietoturva-aukkojen etsimiseen tarkoitettua työtä, vaan toimii ainoastaan keskitettynä portaalina ja kumppaniensa kautta riskitasojen arvioijana - mutta se on silti aivan kriittinen palanen kokonaisuuden hallinnassa.
Palvelua ylläpitää voittoa tavoittelematon MITRE, joka ilmoitti eilen, että sen pääasiallinen rahoittaja, Yhdysvaltain Department of Homeland Security, päätti tiistaina 15.4.2025 olla uusimatta CVE:n rahoitusta.
MITRE tiedotti tilanteesta jäseniään samana päivänä:
BREAKING.
From a reliable source. MITRE support for the CVE program is due to expire tomorrow. The attached letter was sent out to CVE Board Members.
-- Tib3rius (@tib3rius.bsky.social) 15. huhtikuuta 2025 klo 20.23
[image or embed]
Aiheesta ensin uutisoineen The Registerin mukaan mm. Microsoftin tietoturvasta vastaavat ihmiset kauhistuivat tilanteen saamasta käänteestä ja kuvasivat CVE-tietokantaa täysin kriittiseksi kulmakiveksi tietoturvan osalta.
Pelkästään viime vuonna CVE-tietokantaan lisättiin yli 40 000 uutta löydettyä haavoittuvuutta ja tietoturva-aukkoa. Myös mm. Traficomin alainen Kyberturvallisuuskeskus viittaa tiedotteissaan aina haavoittuvuuksien ja aukkojen CVE-numeroihin.
Ilneisesti Yhdysvaltain hallinnossakin järjen ääni meni perille, sillä juuri rahoituksen loppumisen päivänä, 16.4.2025, Department of Homeland Securityn alainen Cybersecurity and Infrastructure Security Agency (CISA) päättikin jatkaa MITREn pyörittämän CVE:n rahoitusta.
CVE-hanke voi huokaista hetkeksi helpotuksesta, sillä rahoitus on nyt taattu seuraavaksi 11 kuukaudeksi. Mutta päätöksen äkillisyys osoittaa sen, että CVE ei voi enää varmuudella luottaa siihen, että Yhdysvallat jatkaa sen rahoitusta tulevaisuudessakin. Näin siitäkin huolimatta, että CISE itse kuvasi tiedotteessaan CVE:tä "korvaamattomaksi tekijäksi tietoturvan alalla".
PÄIVITETTY 16.4.2025 klo 22:10: Muokattu uutista, kun on saatu tieto, että rahoitus jatkuukin seuraavan 11 kuukauden ajan.
KOMMENTOI
Haluatko kommentoida tätä artikkelia?
Kirjaudu sisään tai Luo uusi käyttäjätunnus.