CISA, dünya çapında kırılganlık yönetimini istikrarsızlaştırmakla tehdit eden federal finansmanda bir geçmeden kaçınarak, ortak güvenlik açıklarını ve maruziyetleri (CVE) programını korumak için Miter Corporation ile on birinci saatlik bir sözleşme uzatmasını duyurdu.
Hareket, programın 16 Nisan 2025’teki son başvuru tarihinden sadece birkaç saat önce geldi ve yirmi yılı aşkın bir süredir siber güvenlik koordinasyonunun bel kemiği olarak hizmet veren bir sistemi korudu.
1999 yılında kurulan ve ABD İç Güvenlik Bakanlığı (DHS) ile bir sözleşme kapsamında işletilen CVE programı, kamuoyunda açıklanan siber güvenlik açıklarına benzersiz tanımlayıcılar atar.
.png
)
CVE programının siber güvenlikteki kritik rolü
CVE girişleri olarak bilinen bu tanımlayıcılar, yama yönetimi, tehdit istihbarat paylaşımı ve olay yanıtı için temel oluşturarak sektörler, hükümetler ve güvenlik araçları arasında standartlaştırılmış iletişim sağlar.
Bu sistem olmadan, kuruluşlar güvenlik açıklarını izleme ve hafifletme, kritik altyapı, finansal sistemler ve tüketici cihazlarına yönelik riskleri daha da artıracaklardı.
MIERS Nisan 2025’in başlarında, CVE programını işletme DHS sözleşmesinin 16 Nisan sona erme tarihinden önce yenilenmediğini doğruladığı için endişeler.
Potansiyel kapanma, federal hükümet içindeki daha geniş maliyet düşürme girişimlerinin bir parçası olarak yorumlandı ve basamaklı kesintiler konusunda uyaran siber güvenlik profesyonellerinden çıkan çığlık attı.
Miter’in programı denetleyen başkan yardımcısı Yosry Barsoum, bir atlamanın ulusal güvenlik açığı veritabanlarını düşüreceğini, güvenlik danışmanlarını engelleyeceğini ve olay müdahalecileri ve kritik altyapı operatörleri tarafından kullanılan araçları zayıflatacağını vurguladı.
Endüstri liderleri programın geri ödenemezliğini vurguladı. Bir uzman, “CVE’ye alternatif yok – bu siber güvenliğin ortak dili” dedi.
Programın yokluğu, güvenlik açığı izlemesini parçalayacak, organizasyonları tutarsız tescilli sistemlere güvenmeye zorlayacak ve açılmamış kusurların sömürülme olasılığını artıracaktı.
CISA’nın son dakika müdahalesi
Son başvuru tarihinden önce saatler önce, CISA, Miter’in CVE programını işleyişini genişletmek için mevcut sözleşmede bir “seçenek dönemi” çağırdı. Bir CISA sözcüsü, “CVE programı siber topluma ve CISA’nın bir önceliği için paha biçilmezdir.
Dün gece CISA, kritik CVE hizmetlerinde bir geçiş olmayacağından emin olmak için sözleşmedeki opsiyon süresini gerçekleştirdi ”” dedi. Uzatmanın süresi açıklanmamış olsa da, geçici olarak hizmet kesintileriyle ilgili endişeleri hafifletiyor.
Karar, programın küresel siber esnekliğin korunmasındaki rolünün altını çizen satıcılar, devlet kurumları ve uluslararası ortaklar da dahil olmak üzere siber güvenlik paydaşlarının yoğun lobisini izledi. Ancak eleştirmenler, yenileme sürecinin neden bu kadar güvencesiz bir noktaya ulaştığını ve federal siber güvenlik bütçelemesine göre daha geniş gerilimler gösterdiğini sorguladılar.
CVE programının neredeyse çöküşü, uzun vadeli yönetişimi hakkında tartışmalar yaptı. Kâr amacı gütmeyen bir kuruluş tarafından yönetilen ABD tarafından finanse edilen bir girişim olarak, sistem tek bir hükümet sponsoruna bağımlılığı ve şeffaf finansman mekanizmalarının eksikliği üzerinde inceleme ile karşı karşıya.
CVE Kurulunun bazı üyelerinin, uluslararası bir konsorsiyuma gözetimin geçişi veya siyasi değişimlere karşı kırılganlığı azaltmak için bağımsız finansman akışları oluşturmak da dahil olmak üzere alternatifleri araştırdığı bildiriliyor.
Bölüm ayrıca, temel siber güvenlik altyapısının yetersiz fonlanmasında sistemik risklerin altını çiziyor. Kritik rolüne rağmen, CVE programı her yıl binlerce güvenlik açığı raporunu işlemek için küçük bir ekibe güvenerek sınırlı kaynaklarla çalışır.
Eski bir CISA yetkilisi, “Bu sadece para ile ilgili değil, CVE gibi programların ulusal güvenlik için fiziksel altyapı kadar hayati önem taşıdığını kabul etmekle ilgili” dedi.
CVE programının yakın kaçırılması, modern siber güvenliğin birbirine bağlı doğasını vurgular. 90’dan fazla ülke ve sayısız özel kuruluş CVE verilerini güvenlik çerçevelerine entegre ediyor, yani bir kesintinin ABD sınırlarının çok ötesinde yankılanacağı anlamına geliyor.
Avrupa Birliği Siber Güvenlik Ajansı (ENISA) ve Asya-Pasifik Bilgisayar Acil Müdahale Ekibi (APCERT) dahil olmak üzere uluslararası kuruluşlar, gelecekteki krizleri önlemek için reformları çağırırken CISA’nın müdahalesini alkışlayan ifadeler yayınladı.
İleride, paydaşlar, potansiyel olarak hükümetlerden, şirketlerden ve uluslararası organlardan katkıları içeren esnek bir finansman modeline duyulduğunu vurguladılar. Bir endüstri grubu olan Siber Güvenlik Koalisyonu temsilcisi, “CVE çok taraflı desteği hak eden bir kamu yararıdır” dedi.
CISA’nın son dakika sözleşme uzantısı, küresel siber güvenliğin önemli bir bölümünü geçici olarak korudu. Bununla birlikte, bu olay dijital toplumumuzu destekleyen sistemlerin ne kadar kırılgan olabileceğini vurgulamaktadır.
Siber tehditler ölçek ve sofistike büyüdükçe, CVE gibi programların istikrarını sağlamak proaktif yatırım, yönetişim reformları ve uluslararası işbirliği gerektirecektir. Siber güvenlik topluluğu artık kritik bir seçimle karşı karşıya: statükoyu korumak veya giderek birbirine bağlı bir dünya için güvenlik açığı yönetimini yeniden tasarlayın.
Malware Trends Report Based on 15000 SOC Teams Incidents, Q1 2025 out!-> Get Your Free Copy