باورنکردنی: ترامپ بودجه برنامه CVE، مهمترین نهاد امنیت سایبری دنیا را قطع کرد!

برنامه بین‌المللی CVE که طی ۲۵ سال گذشته، پایه‌گذار نظام‌مندترین روش شناسایی و پیگیری آسیب‌پذیری‌های امنیتی بوده، به‌دلیل قطع ناگهانی بودجه از سوی دولت آمریکا در آستانه‌ی خاموشی قرار دارد. این توقف می‌تواند به بروز سردرگمی گسترده، آشفتگی در مدیریت تهدیدات سایبری و حتی تهدیدی مستقیم برای زیرساخت‌های حیاتی کشورها تبدیل شود. آیا صنعت امنیت سایبری می‌تواند این خلأ را پر کند؟

خبری عجیب از ساعاتی پیش روی خروجی همه رسانه‌های معتبر فناوری و امنیت سایبری دنیا قرار گرفته که بسیاری از کارشناسان این حوزه را در شک فرو برده است. بنابر اخبار منتشر شده، در راستای سیاست‌های کاهش هزینه دولت جدید آمریکا به رهبری دونالد ترامپ، بودجه تخصیص یافته برای برنامه جهانی آسیب‌پذیری‌ها و افشاسازی‌های رایج امنیتی موسوم به CVE از سوی این کشور قطع شده است.

بنابر گزارش The Register، این برنامه که سال‌های متمادی، ستون فقرات مدیریت آسیب‌پذیری‌های امنیتی بوده، با اخذ تصمیم جدید دولت آمریکا، حالا با خطر توقف کامل روبه‌روست.

برنامه‌ی CVE چیست؟

برنامه‌ی CVE نقشی محوری در شناسایی و نام‌گذاری استاندارد نقص‌های امنیتی محصولات دیجیتال ایفا می‌کند. این برنامه با تخصیص شناسه‌های یکتا مانند CVE-2014-0160 (برای Heartbleed در OpenSSL) و CVE-2017-5754 (برای Meltdown در پردازنده‌های اینتل)، زبان مشترکی برای شرکت‌ها، توسعه‌دهندگان، پژوهشگران و نهادهای دولتی فراهم می‌کند. با توجه به این نقش مهم، توقف فعالیت این برنامه می‌تواند هماهنگی جهانی در مدیریت آسیب‌پذیری‌های دیجیتال و امنیت سایبری را مختل کند.

کتی موسوریس، بنیان‌گذار Luta Security و از پیشگامان برنامه‌ی افشای آسیب‌پذیری مایکروسافت، در مصاحبه‌ای با TheRegister پیرامون عواقب قطع بودجه CVE این‌گونه هشدار می‌دهد:

CVE ستون اصلی امنیت سایبری است. هرگونه وقفه در آن، زیرساخت‌های حیاتی و امنیت ملی را در معرض خطر غیرقابل‌قبولی قرار می‌دهد. توقف ناگهانی این برنامه مانند قطع اکسیژن از صنعت امنیت سایبری است.

چرا CVE حیاتی است؟

همانطور که گفتیم، CVE به‌عنوان پایگاه داده‌ای مرکزی، نقص‌های امنیتی را ثبت و شناسه‌گذاری می‌کند. این سیستم به صدها شریک در ۴۰ کشور اجازه می‌دهد تا گزارش‌های آسیب‌پذیری را بررسی و برای هر نقص، شناسه‌ای یکتا صادر کنند. در سال ۲۰۲۴، بیش از ۴۰ هزار شناسه‌ی جدید CVE منتشر شد که نشان‌دهنده‌ی حجم عظیم وابستگی جهانی به این برنامه است.

تاکنون، سازمان غیرانتفاعی MITRE با حمایت «آژانس امنیت سایبری و زیرساختی ایالات متحده» (CISA) و وزارت امنیت داخلی (DHS) این برنامه را مدیریت کرده است. اما MITRE روز سه‌شنبه تأیید کرد که قرارداد آن با DHS تمدید نشده و بودجه‌ی برنامه از ۱۶ آوریل ۲۰۲۵ (27 فروردین 1404) به پایان می‌رسد. این تصمیم در حالی گرفته شده که دولت جدید آمریکا در حال بازنگری هزینه‌های فدرال است.

یُسری بارسوم، معاون MITRE، در گفت‌وگو با The Register اعلام کرد:

پس از ۱۶ آوریل، بودجه‌ی لازم برای توسعه و نگهداری CVE و برنامه‌های مرتبط مانند CWE (برشماری ضعف‌های رایج) وجود نخواهد داشت. با این حال، MITRE همچنان به حفظ CVE به‌عنوان منبعی جهانی متعهد است.

پیامدهای توقف بودجه برنامه CVE

هرچند توقف بودجه به معنای فروپاشی فوری سیستم‌های امنیتی نیست، کارشناسان نگرانند که در ماه‌های آینده، نبود CVE به آشوب در مدیریت آسیب‌پذیری‌ها منجر شود. بدون انتشار شناسه‌های جدید، وب‌سایت CVE ممکن است از دسترس خارج شود و هماهنگی جهانی برای رفع نقص‌ها مختل گردد. سوابق تاریخی CVE همچنان در GitHub در دسترس خواهند بود، اما این تنها راه‌حلی موقت است.

داستین چایلدز، مدیر آگاهی از تهدیدها در Trend Micro، نیز نظری مشابه دیگر افراد مهم این حوزه دارد. او می‌گوید:

پیش از CVE، هر شرکت با اصطلاحات خاص خود نقص‌ها را معرفی می‌کرد و مشتریان در سردرگمی به سر می‌بردند. بازگشت به آن دوران، با حجم کنونی آسیب‌پذیری‌ها، فاجعه‌بار خواهد بود.

تلاش برای نجات CVE

شرکت VulnCheck، یکی از نهادهای نام‌گذاری CVE، اعلام کرده که ۱۰۰۰ شناسه‌ی CVE برای سال ۲۰۲۵ رزرو کرده است. پاتریک گاریتی، پژوهشگر VulnCheck، توضیح می‌دهد:

این اقدام می‌تواند عملکرد برنامه را برای یک تا دو ماه حفظ کند، مشروط بر اینکه خدمات اصلی ادامه یابند. اما توقف CVE تأثیرات زنجیره‌ای بر ابزارهای امنیتی، تیم‌های عملیاتی و سازمان‌های متکی به امنیت خواهد داشت.

کارشناسان معتقدند که صنعت امنیت سایبری باید برای پر کردن این خلأ وارد عمل شود. چایلدز پیشنهاد می‌کند که تشکیل یک کنسرسیوم صنعتی می‌تواند راه‌حلی بلندمدت باشد، اما چنین ساختاری هنوز وجود ندارد.

ضرورت اقدام فوری برای حفظ برنامه CVE

برنامه‌ی CVE نه‌تنها برای شرکت‌های فناوری، بلکه برای تمامی سازمان‌هایی که به امنیت دیجیتال وابسته‌اند، حیاتی است. توقف آن می‌تواند توانایی جهانی برای مقابله با تهدیدات سایبری را تضعیف کند. همان‌طور که گاریتی تأکید می‌کند:

اکنون زمان آن است که صنعت امنیت سایبری مسئولیت حفظ این منبع حیاتی را بر عهده بگیرد.

با توجه به وضعیت موجود پیش‌بینی می‌شود که یکی از سازمان‌های بین‌المللی برای تجمیع نهادهای بهره‌بردار از این برنامه وارد عمل شده و همکاری جهانی برای حفظ این برنامه مهم امنیت سایبری شکل گیرد. با این روش پشتیبانی دیگر ادامه این دست برنامه‌های مهم وابسته به یک کشور خاص نهاد بود.