به گزارش کارگروه بین الملل خبرگزاری سایبربان، آژانس امنیت سایبری و زیرساخت آمریکا (CISA) اخیراً دو سند منتشر کرده و تأکید نموده است که رهبری این برنامه باید در اختیار آن باقی بماند.
این موضع پس از هشدار شرکت MITRE در آوریل مبنی بر احتمال عدم تمدید قرارداد تأمین مالی وبسایت CVE.org و تیم پشتیبانی آن مطرح شد.
هرچند دولت ترامپ یک تمدید کوتاهمدت قرارداد را تصویب کرد، این موضوع باعث شد اعضای هیئتمدیره برنامه CVE بنیاد مستقلی با نام بنیاد CVE (CVE Foundation) ایجاد کنند و مدلی با مشارکت چندجانبه را پیشنهاد دهند.
با این حال، نیک اندرسن، معاون آژانس امنیت سایبری و زیرساخت آمریکا، اعلام کرد این سازمان ماموریت، اختیار و توان لازم برای هدایت آینده برنامه را دارد و خصوصیسازی آن منافع امنیت ملی را تهدید میکند.
او هشدار داد واگذاری کامل برنامه به بخش خصوصی میتواند به تضاد منافع و کاهش شفافیت منجر شود.
در مقابل، چند عضو هیئتمدیره تأکید کردند که برنامه CVE باید به صورت جهانی و مشارکتی اداره شود، چراکه بسیاری از کشورها قوانین ملی خود را بر اساس این سامانه تنظیم کردهاند.
آنان همچنین مدعی شدند که آژانس هرگز رهبر اصلی برنامه نبوده و حدود ۹۰٪ دادههای پایگاه CVE توسط مشارکتکنندگان داوطلب بینالمللی ارائه میشود.
برنامه CVE تنها در شش ماه گذشته بیش از ۲۳٬۵۰۰ آسیبپذیری جدید ثبت کرده و انتظار میرود امسال این رقم به ۴۵ هزار مورد برسد.
سهم مستقیم آژانس امنیت سایبری از این دادهها کمتر از ۱۰٪ بوده است و صدها سازمان از کشورهای مختلف نیز در این کار مشارکت داشتهاند.
آژانس در سند اخیر خود وعده داده است کیفیت دادهها را ارتقا دهد، شفافیت مدیریتی را افزایش دهد و با جامعه بینالمللی و بخش خصوصی تعامل گستردهتری داشته باشد.
از سوی دیگر، بنیاد CVE نیز اعلام کرد که با اهداف کلی آژانس همسو است اما بر مدل غیرانتفاعی شفاف و جهانی برای تضمین دسترسی آزاد و رایگان به دادهها تأکید دارد.
کارشناسان امنیت سایبری این بحث را فرصت مثبتی میدانند که میتواند منجر به اصلاحات ساختاری، شفافیت بیشتر و بهبود کارایی در یکی از مهمترین منابع امنیت سایبری جهان شود.
