Pendanaan Berakhir: Ancaman Besar untuk Koordinasi Keamanan Siber Global CVE

Pendanaan untuk program Common Vulnerabilities and Exposures (CVE) yang digunakan oleh perusahaan besar seperti Microsoft, Google, Apple, Intel, dan AMD untuk mengidentifikasi dan melacak kerentanan keamanan siber yang dipublikasikan akan segera habis. Program ini membantu insinyur mengidentifikasi seberapa parah sebuah eksploitasi dan bagaimana memprioritaskan penerapan patch atau mitigasi lainnya. MITRE, organisasi yang didanai federal di balik program ini, mengonfirmasi bahwa kontraknya untuk 'mengembangkan, mengoperasikan, dan memodernisasi' CVE akan berakhir pada 16 April. Program CVE pertama kali diluncurkan pada tahun 1999 dan menyimpan basis data di mana organisasi yang berpartisipasi dapat menetapkan ID untuk kerentanan keamanan siber yang diketahui. ID ini memungkinkan para profesional keamanan untuk memantau detail tentang kerentanan yang mungkin mempengaruhi perangkat yang kita gunakan setiap hari dan sistem yang berisi informasi penting untuk hampir semua yang kita lakukan. Lukasz Olejnik, seorang peneliti keamanan dan privasi, mengatakan bahwa kekurangan dukungan untuk CVE dapat 'melumpuhkan' sistem keamanan siber di seluruh dunia. Olejnik menyatakan bahwa konsekuensinya akan berupa kerusakan dalam koordinasi antara vendor, analis, dan sistem pertahanan, sehingga tidak ada yang akan yakin mereka merujuk pada kerentanan yang sama. Yosry Barsoum dari MITRE mengatakan bahwa pemerintah terus berupaya mendukung peran MITRE dalam program ini dan MITRE tetap berkomitmen pada CVE sebagai sumber daya global. Berita ini pertama kali terungkap dalam surat bocoran kepada anggota dewan MITRE yang diposting di X dan Bluesky.