С 16 апреля власти США остановили финансирование CVE — базы данных об уязвимостях в софте. Ее используют во всем мире, в том числе в России. Эксперты предупреждают, что, если база перестанет обновляться, это даст фору хакерам CVE — это база данных общеизвестных уязвимостей и инцидентов. Каждому событию присваивается идентификационный номер вида CVE-год-номер и описание. База была создана в 1999 году, сейчас в ней более 270 тыс. записей об уязвимостях.
По собственным данным, партнерами CVE являются 453 организации из 40 стран, в том числе российские «Лаборатория Касперского» и «Яндекс». Если кто-либо находит уязвимость, он может обратиться к подобным компаниям-партнерам в своей стране, а те, в свою очередь, проверяют информацию и в случае ее подтверждения публикуют запись о ней в реестре CVE.
По словам замдиректора Центра компетенций НТИ «Технологии доверенного взаимодействия» Руслана Пермякова, российские компании используют CVE для сопоставления уязвимостей в своих продуктах с мировыми классификаторами. При выходе на зарубежные рынки или работе с международными партнерами компании обязаны поддерживать соответствие CVE для включения в международные средства защиты, отметил Пермяков.
Он дополнил, что Минцифры и Федеральная служба по техническому и экспортному контролю (ФСТЭК) ориентируются на CVE при разработке критериев безопасности и технических заданий.
Российские компании и госструктуры, интегрированные в глобальные цепочки поставок (например, разработчики софта, поставщики облачных услуг), используют CVE для совместимости с зарубежными партнерами, подтвердил основатель компании «Интернет-Розыск», руководитель департамента информационно-аналитических исследований компании T.Hunter Игорь Бедеров.
Ослабление системы, по его словам, может усложнить взаимодействие и повысить риски из-за несвоевременного получения данных об угрозах. «Многие российские решения для кибербезопасности, например сканеры уязвимостей и системы управления событиями безопасности (SIEM), зависят от CVE для автоматического обновления сигнатур угроз. Если она перестанет обновляться, это потребует перестройки процессов или поиска альтернатив», — указал Бедеров.
Если информация о новых уязвимостях будет поступать компаниям с запозданием, по его словам, это повысит риск того, что уязвимостями успеют воспользоваться злоумышленники. Отход от единого стандарта, по его мнению, может привести к тому, что данные об угрозах будут разрозненными, что усложнит защиту критической инфраструктуры и корпоративных сетей.
Источник: РБК
