Деньги и автономия — ситуация в сфере баз данных уязвимостей

Недавно в США задумались о сокращении финансирования CVE (глобальной базы данных об уязвимостях). Решение даже приняли, но очень быстро пересмотрели. Подобной неопределенности хватило, чтобы в мире заговорили об альтернативах. В материале — обсуждаем ситуацию вокруг CVE, европейские и российские инициативы.

Ситуация с CVE

База данных Common Vulnerabilities and Exposures (CVE) представляет собой глобальную систему классификации уязвимостей. В наполнении базы CVE участвуют 453 организации из 40 стран, в том числе из России. Так, в прошлом году в неё были добавлены 40 тыс. уязвимостей — это на 38% больше, чем годом ранее. По данным ^[1] организации VulnCheck — она уполномочена присваивать уязвимостям уникальные идентификаторы — в среднем каждую неделю появляются десятки критических уязвимостей. В целом CVE — это крупнейшая база, которой пользуются разработчики и специалисты во всем мире.

За финансирование программы по наполнению и поддержке базы CVE отвечает агентство CISA. Журналисты издания The Register говорят, что за последние два года на базу выделяли ^[2] около 30 млн долларов. Но месяц назад правительство США решило оптимизировать расходы бюджета, в том числе на CVE. И пускай решение оперативно пересмотрели ^[3], одобрив бюджет на 11 месяцев, ситуация стала шоком для проекта. Эксперт по кибербезопасности и основатель Luta Security Кэти Муссурис сказала ^[4], что прекратить поддержку CVE — это «все равно, что лишить ИБ-отрасль кислорода и ожидать, что та резко отрастит жабры». Зависимость проекта от одного крупного спонсора сделала его уязвимым, и в ИТ-сообществе заговорили о поиске альтернатив.

Стоит заметить, что в марте прошлого года NVD (Национальная база уязвимостей США) приостановила ^[5] обработку и анализ данных об уязвимостях в программном обеспечении и сервисах. Она перестала предоставлять CVE метаданные, включая оценку степени опасности уязвимостей. ИБ-специалисты заговорили о кризисе, а в СМИ стали появляться заголовки в духе: «Хакеры ликуют ^[6]».

Критике подвергли ^[7] и совет директоров CVE, который не предупредил комьюнити о риске обрыва финансирования (предположительно, такая информация у него была). Иронично, что незадолго до инцидента прошла тематическая конференция VulnCon, где участники с оптимизмом обсуждали будущее базы уязвимостей.

Шаги к диверсификации

Совет директоров и руководство CVE объявили ^[3] о создании CVE Foundation — отдельной некоммерческой организации, которая станет финансировать развитие проекта. Ожидается, что фонд будет привлекать средства от частных компаний, международных партнеров и через краудфандинг. Готовность взять на себя инициативу в случае кризиса также выказали отдельные CNA (CVE Numbering Authority). Так, после объявления о прекращении финансирования в VulnCheck зарезервировали тысячу CVE-кодов, чтобы продолжить работу с базой.

Что касается европейских CNA, они также развивают собственные проекты — например, базу данных EUVD (European Vulnerability Database). Идея зародилась в 2024 году, однако ситуация с CVE подтолкнула Европейское агентство по сетевой и информационной безопасности (ENISA) ускорить разработку европейского решения.

Еще один проект достойный внимания — GCVE ^[8] (Global Common Vulnerability Enumeration). Это — амбициозная инициатива из Люксембурга, которая предлагает децентрализованный подход к учету уязвимостей. В отличие от CVE, GCVE дает свободу действий независимым организациям, которые называются GCVE Numbering Authorities (GNAs). GNAs не зависят ^[9] от центрального органа, не запрашивают у него блоки кодов и не обязаны строго следовать правилам по формату идентификаторов и процедурам их присвоения. Проект еще в разработке, но его авторы уже выпустили ^[10] черновик документа, который объясняет, как проверить целостность файла каталога GCVE.

Разумеется, обе инициативы пока не могут соперничать с CVE по охвату и влиянию. Тем не менее их появление отражает глобальный тренд: страны стремятся к автономии в сфере кибербезопасности, не полагаясь на единую систему.

Что дальше

У нас развивают и собственный Банк данных уязвимостей ^[11] (БДУ), созданный ФСТЭК. Особенность БДУ — ориентация на локальные стандарты: база включает данные об отечественных ОС (например, Astra Linux), информация о которых редко встречается в CVE. Хотя банк может интегрироваться с международными системами, чтобы следить за уязвимостями в иностранном ПО, которое используется в России. Кроме того, у отечественной базы есть потенциал в работе со странами БРИКС.

Еще один проект был предложен ^[12] Роскомнадзором в 2023 году. Речь идет о национальной системе для автоматического выявления уязвимостей отечественных ресурсов. Платформа должна будет сканировать сайты, системы баз данных, почтовые серверы на наличие уязвимостей, чтобы повысить защиту от кибератак.

Кризис CVE в 2025 году показал, что даже ключевые инструменты кибербезопасности, на которые опираются сотни международных организаций, не застрахованы от проблем. Запуск CVE Foundation обещает сделать базу устойчивой к проблемам с финансированием, но ее успех зависит от поддержки сообщества и бизнеса. Европа развивает проекты EUVD и GCVE для защиты цифровой инфраструктуры и борьбы с киберугрозами, а Россия — развивает БДУ. Каждая из этих инициатив — шаг на пути к диверсифицированной экосистеме с автономными игроками.

Дополнительное чтение

• В Европе снова заговорили об отказе от американских платформ и суверенном облаке — анализ ситуации ^[13]. Несмотря на запрет передачи данных за пределы ЕС (кроме исключительных случаев), который действует с 1995 года, подавляющее большинство данных европейских компаний и правительственных организаций хранится на серверах в США. Сегодня европейские политики все чаще говорят о необходимости снизить зависимость от американских облачных провайдеров. Доходит до того, что некоторые называют хранение данных в AWS, Google Cloud и Azure угрозой национальной безопасности и призывают ужесточить регулирование. 

• Рабочая сила и производства — телекомы, автопроизводители и корпорации из других областей все еще идут в Индию ^[14]. Индия укрепляет статус мирового центра ИТ-аутсорсинга. 60% крупнейших компаний, включая American Airlines и IBM, передают туда до 30% ИТ-операций. Причина в низких зарплатах, но достаточно высокой квалификации индийских специалистов. Google и Amazon возводят кампусы в Хайдарабаде, а TP-Link планирует производить сетевые и IoT-устройства.

• Предупрежден — значит вооружен: подборка открытых ресурсов с информацией о выявленных уязвимостях ^[15]. В 2025 году открытые ресурсы, такие как CVE, NVD, OpenCVE и VulDB, помогают ИБ-специалистам отслеживать уязвимости. CVE стандартизирует идентификаторы, но не дает рекомендаций. NVD дополняет CVE патчами и оценкой критичности (CVSS), OpenCVE оповещает о новых угрозах, а VulDB анализирует даркнет и соцсети. Эти платформы, предлагающие API для автоматизации, остаются ключевым инструментом в борьбе с киберугрозами.

• Перспективы 6G и системный подход к мобильным сетям — что почитать ^[16]. Делимся открытыми источниками по теме: руководствами, аналитикой и исследованиями. Например, одна публикация рассказывает о перспективах и потенциале цифровых двойников в настройке мобильных сетей, другая посвящена принципам работы сетевого оборудования. Также есть учебник по ключевым принципам wireless-связи, который поможет составить целостное представление о теме.