جدل عالمي حول مركزية CVE وسط تحركات أوروبية لإنشاء بديل مستقل

يشهد نظام تتبع الثغرات الأمنية العالمي لحظة مفصلية غير مسبوقة، بعد أن كاد التمويل الأمريكي لبرنامج الثغرات والتعرضات الشائعة (CVE) يتوقف بالكامل هذا الأسبوع، في خطوة كانت ستنهي دعم الحكومة الأمريكية لواحد من أهم الأعمدة التنظيمية في مجال الأمن السيبراني.

وبينما عادت الحكومة الأمريكية عن قرارها في اللحظات الأخيرة ومدّدت التمويل لمدة 11 شهرًا إضافية لصالح منظمة MITRE – الجهة غير الربحية المشغّلة للبرنامج – استغلت الوكالة الأوروبية للأمن السيبراني (ENISA) هذا الفراغ لتقديم قاعدة بياناتها البديلة رسميًا: قاعدة بيانات الثغرات الأوروبية (EUVD).

ENISA تُقدّم البديل الأوروبي لقاعدة CVE

تم تطوير EUVD ضمن التوجيه الأوروبي للأمن السيبراني NIS2، وتُعد محاولة لإنشاء منظومة أوروبية مستقلة لتوثيق الثغرات الأمنية. ووفقًا لـ ENISA، تهدف المنصة إلى تنظيم الثغرات المكتشفة وفقًا لمعرفات CVE، لكنها تعتمد أيضًا على معرفات أوروبية خاصة (EUVD-ID)، بالإضافة إلى رموز GSD الصادرة سابقًا عن قاعدة البيانات العالمية للأمن (GSD) التابعة لتحالف أمن السحابة – والتي يبدو أنها لم تعد نشطة.

ورغم أن ENISA لا تزال شريكًا رسميًا لبرنامج CVE وتعمل كجهة ترقيم معتمدة، إلا أن توقيت ظهور قاعدة بياناتها الجديدة يوحي – بحسب بعض المحللين – بتراجع الثقة العالمي في التزام الحكومة الأمريكية باستمرارية النظام.

قال ماركوس سودربلوم، مستشار الأمن السيبراني في شركة Atea:

“نأمل أن تكتسب EUVD زخمًا كافياً بحيث تحقق أوروبا استقلالًا ذاتيًا في هذا المجال.”

جدل عالمي حول مركزية إدارة الثغرات

يرى بن رادكليف، مدير العمليات السيبرانية في شركة Optiv، أن الأزمة كشفت هشاشة الاعتماد على حكومة واحدة في تمويل نظام عالمي.

“الاعتماد على تمويل من CISA فقط قد يفرض ضغوطًا تهدد حيادية البرنامج،” مضيفًا أن وعد EUVD يتمثل في كونه منصة مدعومة من عدة دول، ما يُجنّبها الانحياز السياسي أو التقلبات التمويلية.

لكن في المقابل، قد تُفضي هذه التعددية إلى نتائج عكسية، حيث يقول تيم ماكي، مدير استراتيجية مخاطر سلسلة التوريد في شركة Black Duck:
“من المرجح أن تبدأ الجهات التنظيمية في تفضيل قاعدة بيانات على أخرى، ما يعقّد التنسيق الدولي.”

CVE… نظام تسمية عالمي على وشك الانقسام

لأكثر من عقدين، لعبت قاعدة CVE دورًا رئيسيًا في توحيد تسمية الثغرات الأمنية، مما سمح للشركات، والمحققين، والمطورين، والجهات الحكومية بالحديث بلغة واحدة. ومع اقتراب هذه المنظومة من الانقسام، يخشى الخبراء من تكرار فوضى تسمية جماعات التهديد، حيث لا يزال العالم يتجادل:
هل هي Cozy Bear أم APT 29؟ هل نسميها Scattered Spider أم Oktapus؟

تقول كيشا هويت، محللة الثغرات في Flashpoint:

“CVE وفّر تلك الوحدة اللغوية التي نفتقدها في أماكن أخرى من الأمن السيبراني. وغيابها قد يعيدنا إلى الوراء.”

بدائل ناشئة… ومخاوف من التحيز

بالتوازي مع EUVD، ظهرت محاولات بديلة أخرى مثل نظام التخصيص العالمي للثغرات GCVE، الذي يبدو أنه مشروع شخصي على GitHub، بالإضافة إلى مؤسسة CVE الجديدة، التي تأسست لمحاولة إزالة “نقطة الفشل الواحدة” من النظام الحالي.

ومع استمرار MITRE في تشغيل البرنامج الحالي لمدة 11 شهرًا إضافية، تبقى الأسئلة الكبرى دون إجابة: من سيقود مستقبل إدارة الثغرات؟ وهل نشهد نظامًا موحدًا جديدًا؟ أم تنقسم المنظومة إلى عشرات القواعد المستقلة التي تعتمدها كل جهة حسب مصالحها؟

تختم هويت قائلة:
“قد يبدو أن وجود حل حكومي مستقل أفضل من نموذج الشركات، لكنه يُعيد إنتاج نفس مشكلة الاعتماد على جهة واحدة. أما تسليم إدارة النظام إلى تحالف تقني فقد يعني فتح الباب للتحيز وفقدان الحيادية.”