Недавно в США задумались о сокращении финансирования CVE (глобальной базы данных об уязвимостях). Решение даже приняли, но очень быстро пересмотрели. Подобной неопределенности хватило, чтобы в мире заговорили об альтернативах. В материале — обсуждаем ситуацию вокруг CVE, европейские и российские инициативы.
Ситуация с CVE
База данных Common Vulnerabilities and Exposures (CVE) представляет собой глобальную систему классификации уязвимостей. В наполнении базы CVE участвуют 453 организации из 40 стран, в том числе из России. Так, в прошлом году в неё были добавлены 40 тыс. уязвимостей — это на 38% больше, чем годом ранее. По данным организации VulnCheck — она уполномочена присваивать уязвимостям уникальные идентификаторы — в среднем каждую неделю появляются десятки критических уязвимостей. В целом CVE — это крупнейшая база, которой пользуются разработчики и специалисты во всем мире.
За финансирование программы по наполнению и поддержке базы CVE отвечает а��ентство CISA. Журналисты издания The Register говорят, что за последние два года на базу выделяли около 30 млн долларов. Но месяц назад правительство США решило оптимизировать расходы бюджета, в том числе на CVE. И пускай решение оперативно пересмотрели, одобрив бюджет на 11 месяцев, ситуация стала шоком для проекта. Эксперт по кибербезопасности и основатель Luta Security Кэти Муссурис сказала, что прекратить поддержку CVE — это «все равно, что лишить ИБ-отрасль кислорода и ожидать, что та резко отрастит жабры». Зависимость проекта от одного крупного спонсора сделала его уязвимым, и в ИТ-сообществе заговорили о поиске альтернатив.
Стоит заметить, что в марте прошлого года NVD (Национальная база уязвимостей США) приостановила обработку и анализ данных об уязвимостях в программном обеспечении и сервисах. Она перестала предоставлять CVE метаданные, включая оценку степени опасности уязвимостей. ИБ-специалисты заговорили о кризисе, а в СМИ стали появляться заголовки в духе: «Хакеры ликуют».
Критике подвергли и совет директоров CVE, который не предупредил комьюнити о риске обрыва финансирования (предположительно, такая информация у него была). Иронично, что незадолго до инцидента прошла тематическая конференция VulnCon, где участники с оптимизмом обсуждали будущее базы уязвимостей.
Шаги к диверсификации
Совет директоров и руководство CVE объявили о создании CVE Foundation — отдельной некоммерческой организации, которая станет финансировать развитие проекта. Ожидается, что фонд будет привлекать средства от частных компаний, международных партнеров и через краудфандинг. Готовность взять на себя инициативу в случае кризиса также выказали отдельные CNA (CVE Numbering Authority). Так, после объявления о прекращении финансирования в VulnCheck зарезервировали тысячу CVE-кодов, чтобы продолжить работу с базой.
Что касается европейских CNA, они также развивают собственные проекты — например, базу данных EUVD (European Vulnerability Database). Идея зародилась в 2024 году, однако ситуация с CVE подтолкнула Европейское агентство по сетевой и информационной безопасности (ENISA) ускорить разработку европейского решения.
Еще один проект достойный внимания — GCVE (Global Common Vulnerability Enumeration). Это — амбициозная инициатива из Люксембурга, которая предлагает децентрализованный подход к учету уязвимостей. В отличие от CVE, GCVE дает свободу действий независимым организациям, которые называются GCVE Numbering Authorities (GNAs). GNAs не зависят от центрального органа, не запрашивают у него блоки кодов и не обязаны строго следовать правилам по формату идентификаторов и процедурам их присвоения. Проект еще в разработке, но его авторы уже выпустили черновик документа, который объясняет, как проверить целостность файла каталога GCVE.
Разумеется, обе инициативы пока не могут сопернич��ть с CVE по охвату и влиянию. Тем не менее их появление отражает глобальный тренд: страны стремятся к автономии в сфере кибербезопасности, не полагаясь на единую систему.
Что дальше
У нас развивают и собственный Банк данных уязвимостей (БДУ), созданный ФСТЭК. Особенность БДУ — ориентация на локальные стандарты: база включает данные об отечественных ОС (например, Astra Linux), информация о которых редко встречается в CVE. Хотя банк может интегрироваться с международными системами, чтобы следить за уязвимостями в иностранном ПО, которое используется в России. Кроме того, у отечественной базы есть потенциал в работе со странами БРИКС.
Еще один проект был предложен Роскомнадзором в 2023 году. Речь идет о национальной системе для автоматического выявления уязвимостей отечественных ресурсов. Платформа должна будет сканировать сайты, системы баз данных, почтовые серверы на наличие уязвимостей, чтобы повысить защиту от кибератак.
Кризис CVE в 2025 году показал, что даже ключевые инструменты кибербезопасности, на которые опираются сотни международных организаций, не застрахованы от проблем. Запуск CVE Foundation обещает сделать базу устойчивой к проблемам с финансированием, но ее успех зависит от поддержки сообщества и бизнеса. Европа развивает проекты EUVD и GCVE для защиты цифровой инфраструктуры и борьбы с киберугрозами, а Россия — развивает БДУ. Каждая из этих инициатив — шаг на пути к диверсифицированной экосистеме с автономными игроками.
Дополнительное чтение
В Европе снова заговорили об отказе от американских платформ и суверенном облаке — анализ ситуации. Несмотря на запрет передачи данных за пределы ЕС (кроме исключительных случаев), который действует с 1995 года, подавляющее большинство данных европейских компаний и правительственных организаций хранится на серверах в США. Сегодня европейские политики все чаще говорят о необходимости снизить зависимость от американских облачных провайдеров. Доходит до того, что некоторые называют хранение данных в AWS, Google Cloud и Azure угрозой национальной безопасности и призывают ужесточить регулирование.
Рабочая сила и производства — телекомы, автопроизводители и корпорации из других областей все еще идут в Индию. Индия укрепляет статус мирового центра ИТ-аутсорсинга. 60% крупнейших компаний, включая American Airlines и IBM, передают туда до 30% ИТ-операций. Причина в низких зарплатах, но достаточно высокой квалификации индийских специалистов. Google и Amazon возводят кампусы в Хайдарабаде, а TP-Link планирует производить сетевые и IoT-устройства.
Предупрежден — значит вооружен: подборка открытых ресурсов с информацией о выявленных уязвимостях. В 2025 году открытые ресурсы, такие как CVE, NVD, OpenCVE и VulDB, помогают ИБ-специалистам отслеживать уязвимости. CVE стандартизирует идентификаторы, но не дает рекомендаций. NVD дополняет CVE патчами и оценкой критичности (CVSS), OpenCVE оповещает о новых угрозах, а VulDB анализирует даркнет и соцсети. Эти платформы, предлагающие API для автоматизации, остаются ключевым инструментом в борьбе с киберугрозами.
Перспективы 6G и системный подход к мобильным сетям — что почитать. Делимся открытыми источниками по теме: руководствами, аналитикой и исследованиями. Например, одна публикация рассказывает о перспективах и потенциале цифровых двойников в настройке мобильных сетей, другая посвящена принципам работы сетевого оборудования. Также есть учебник по ключевым принципам wireless-связи, который поможет составить целостное представление о теме.
