هشدار شرکت MITRE درباره پایان قرارداد CVE با دولت آمریکا

به گزارش کارگروه بین الملل خبرگزاری سایبربان، یوسری بارسوم، معاون اجرایی MITRE و مدیر مرکز امنیت داخلی این شرکت، در بیانیه‌ای اعلام کرد که از روز چهارشنبه، ۱۶ آوریل، تأمین مالی برای توسعه، اجرا و نوسازی برنامه CVE و برنامه‌های مرتبط مانند برنامه شمارش نقاط ضعف مشترک (CWE) به پایان می‌رسد.

یکی از سخنگویان MITRE اعلام کرد که پس از انقضای این قرارداد، هیچ آسیب‌پذیری جدیدی به برنامه CVE افزوده نخواهد شد و وب‌سایت این برنامه نیز به‌تدریج از دسترس خارج خواهد شد.

این شرکت اعلام کرده که اطلاعات تاریخی CVE همچنان از طریق گیتهاب (GitHub) در دسترس خواهد بود.

برنامه CVE که مخفف آسیب پذیری ها و مواجهه های رایج (Common Vulnerabilities and Exposures) است، یکی از ستون‌های اصلی در سیستم امنیت سایبری محسوب می‌شود و شرکت‌های امنیت سایبری، دولت‌ها و سازمان‌های زیرساختی حیاتی بسیاری برای شناسایی آسیب‌پذیری‌ها به آن وابسته‌اند.

بارسوم افزود:

دولت همچنان اقدامات قابل توجهی برای حمایت از نقش MITRE در این برنامه انجام می‌دهد و MITRE همچنان به عنوان یک منبع جهانی، به تعهد خود نسبت به CVE پایبند است.

سخنگوی MITRE اعلام کرد که این سازمان چندین هفته است که با نمایندگان دولت در وزارت امنیت داخلی (DHS) در حال مذاکره برای یافتن راه‌حلی برای ادامه برنامه CVE بوده است.

برنامه CVE در سال ۱۹۹۹ راه‌اندازی شد و از آن زمان تاکنون توسط MITRE و با بودجه‌ی تأمین‌شده از سوی بخش امنیت سایبری ملی آژانس امنیت سایبری و امنیت زیرساخت وزارت امنیت داخلی آمریکا (CISA) اداره شده است.

این آژانس در بیانیه‌ای اعلام کرد که حامی اصلی برنامه CVE است.

سخنگوی آژانس نیز اظهار کرد:

با وجود آن‌که قرارداد ما با شرکت MITRE پس از ۱۶ آوریل به پایان می‌رسد، اما ما به‌طور فوری در حال کار برای کاهش اثرات این موضوع و حفظ خدمات CVE هستیم که سهامداران جهانی به آن متکی هستند.

آژانس امنیت سایبری و امنیت زیرساخت از پاسخ دادن به چندین سؤال در مورد دلیل لغو قرارداد، وضعیت وب‌سایت CVE پس از پایان قرارداد، و اینکه آیا پیمانکار جدیدی جایگزین MITRE خواهد شد یا خیر، خودداری کرد.

در نامه‌ای به اعضای هیئت مدیره برنامه CVE در روز سه‌شنبه، بارسوم درباره انقضای قریب‌الوقوع قرارداد هشدار داد و گفت که انتظار دارد تأثیرات متعددی بر CVE وارد شود، از جمله تضعیف پایگاه‌های داده ملی آسیب‌پذیری، هشدارها، ابزارهای امنیتی، عملیات واکنش به حادثه، و انواع زیرساخت‌های حیاتی.

هیچ‌کدام از اعضای هیئت مدیره برنامه CVE که بسیاری از آن‌ها برای دولت فدرال و شرکت‌های بزرگ فناوری کار می‌کنند، به این موضوع واکنشی نشان ندادند.

یکی از منابع داخلی MITRE که نخواست نامش فاش شود بیان کرد که وزارت امنیت داخلی و آژانس امنیت سایبری و امنیت زیرساخت در حال اجازه دادن به انقضای تعداد زیادی از قراردادهای سایبری هستند.

ماه گذشته، این آژانس اعلام کرد که برخی از بودجه‌های مربوط به MS-ISAC و Election ISAC، سازمان‌های حیاتی که به هزاران نهاد زیرساختی در سراسر آمریکا خدمات امنیت سایبری ارائه می‌دهند را قطع خواهد کرد.

شرکت MITRE یکی از معتبرترین سازمان‌ها در حوزه امنیت سایبری است و از چندین نهاد دولتی آمریکا در زمینه‌های دفاع، بهداشت، هوانوردی و غیره پشتیبانی می‌کند.

کارشناسان نسبت به احتمال از دست رفتن برنامه CVE به عنوان یک منبع هشدار داده‌اند.

کیسی الیس، بنیان‌گذار شرکت امنیت سایبری باگ کراود (Bugcrowd)، توضیح داد که برنامه CVE بخش عمده‌ای از مدیریت آسیب‌پذیری‌ها، واکنش به حوادث و محافظت از زیرساخت‌های حیاتی را پایه‌ریزی کرده است.

او افزود:

وقفه ناگهانی در این خدمات می‌تواند به‌راحتی به یک بحران امنیت ملی تبدیل شود.