יועץ אבטחת מידע   |   אפריל 21, 2025

הצונאמי שעמד לזעזע את מערכי הגנת הסייבר בעולם נעצר בדקה ה־99. האם צפוי צונאמי נוסף?

האם עולם הסייבר עומד לאבד את הבסיס שעליו הוא נשען? מאחורי הקלעים של משבר מימון תוכנית CVE – ומה צפוי לקרות הלאה.

משבר הרגע האחרון בתוכנית CVE

חוסר ודאות זמני, חשש ארוך טווח

באפריל האחרון, ממש ברגע האחרון לפני פקיעת החוזה, אישרה סוכנות הסייבר האמריקאית (CISA) מימון זמני לתוכנית CVE (Common Vulnerabilities and Exposures) המהווה אבן יסוד בזיהוי חולשות סייבר. התוכנית, המנוהלת על ידי MITRE מאז 1999, כמעט הופסקה בעקבות קיצוצים תקציביים, והדבר עורר סערה בקהילת אבטחת המידע העולמית.
השבתת התוכנית הייתה עלולה לפגוע ביכולת לזהות חולשות, לשתף מידע בין מערכות ולהתמודד עם איומי סייבר באופן מתואם ויעיל.

פגיעה באמון המערכת

אזהרה לתעשייה: מבנה הריכוזיות פגיע

על אף ההצלה ברגע האחרון, המהלך הדגיש את התלות של עולם הסייבר בגוף אחד – MITRE – ואת חוסר הוודאות שבניהול ממשלתי בלעדי של נכס קריטי כל כך. מומחים הביעו חשש לעתיד התוכנית, בייחוד לאור פיטורי מאות עובדים ב־MITRE והפסקת תמיכת סוכנויות ממשלתיות. השהיה זמנית זו עלולה להוביל לעיכובים בפרסום חולשות חדשות, פגיעה באיכות האימות והתיעוד של פגיעויות – ולערעור אמון הגופים שמשתמשים בנתוני CVE לבניית תוכנות הגנה ותגובה לאירועים.

לקראת מבנה חדש

הקמת קרן עצמאית ומודל מבוזר

בתגובה למשבר הוכרזה הקמת "קרן CVE" – גוף עצמאי ללא מטרות רווח שמטרתו להבטיח את המשך קיומה של התוכנית בצורה נייטרלית ויציבה. לצד זאת, אירופה השיקה מאגר מקביל (EUVD), והקהילה בוחנת מודלים מבוזרים לשיתוף אחריות בין גופים ציבוריים, חברות טכנולוגיה וגופים אקדמיים. החזון: ליצור מבנה מבוזר פחות תלוי בגוף ממשלתי יחיד ושמאפשר שקיפות, רציפות תפעולית וגמישות בעידן שבו כמות החולשות מזנקת מדי שנה.

המלצות מאת מומחי אבטחת מידע של IPV Security:

שמירה על יציבות בעולם של שינויים

  1. לא להסתמך על מקור יחיד למידע על חולשות – שילוב מידע ממקורות נוספים, כמו CERTs, חברות אבטחה פרטיות ומאגרים אירופאיים, לצד CVE.
  2. מיפוי מתמיד של פגיעויות קריטיות – שימוש בכלי ניתוח המצליבים מידע מכמה מאגרים כדי לזהות ולהגיב לחולשות בזמן אמת.
  3. בחינת תהליך ניהול הסיכונים הארגוני – התאמת מדיניות האבטחה לתרחישים של השהיית פרסום CVE – למשל, עיכובים בזיהוי או במספור חולשות.
  4. קידום סטנדרטים פנימיים לארגון – קביעת נוהלי עבודה אחידים לזיהוי וטיפול בחולשות – גם כאשר אין קוד CVE רשמי עדיין.
  5. מעקב אחר שינויי מדיניות גלובליים – מעקב שוטף אחר גופי רגולציה וקרנות חדשות כמו CVE Foundation והשפעותיהם על תהליכי העבודה.

לסיכום,

תוכנית CVE ממשיכה – לעת עתה – אך המשבר האחרון חשף נקודת תורפה משמעותית בהגנת הסייבר. לא מדובר רק בעניין בירוקרטי, אלא באזהרה גלויה לכל הגופים שמתבססים על סטנדרטים אחידים.
כדי להבטיח עתיד בטוח יותר, נדרש שינוי מבני שיאזן בין יציבות, שקיפות וגמישות – כזה שיאפשר לעולם הסייבר להמשיך ולפעול גם כאשר העולם סביבו משתנה.

למידע נוסף:
https://www.scworld.com/news/cisa-funds-cve-program-in-the-11th-hour-of-contract-with-mitre

https://www.databreachtoday.com/blogs/seeking-post-mitre-management-whats-next-for-cve-program-p-3858

מעוניינים להתייעץ עם מומחה, פנו למומחי איי פי וי סקיוריטי!

לחצו כאן

 

להתייעצות מקצועית ניתן לפנות אלינו לאימייל info@ipvsecurity.com או במספר הטלפון
077-4447130. IPV Security מתמחה זה 20 שנה באבטחת מידע, סייבר, סקרי סיכונים
ותקנים ורגולציות הנוגעים לביטחון מידע ועוד.

חזור

פוסטים נוספים

    שם פרטי

    שם משפחה

    אימייל

    טלפון

    הודעה