США припиняють фінансування CVE: чому це має турбувати весь світ?

16 квітня 2025 року може стати чорною п’ятницею в колі кіберфахівців. Уряд США припинив фінансування програми СVE – Common Vulnerabilities and Exposures (Поширені вразливості та ризики) ключової інфраструктури для ідентифікації вразливостей у цифровому світі.

Сама програма поки що не припинила існування повністю. MITRE, яка адмініструє CVE, продовжує працювати над уже відкритими кейсами. Приватні ініціативи намагаються закрити прогалини. Але публічне рішення Вашингтона відмовитися від фінансування – це дуже тривожний сигнал.

Історія, яка починалася як скромна ініціатива з єдиною метою впорядкувати хаос у світі кіберзагроз, несподівано може припинити існування на 25-му році діяльності.

ІСТОРІЯ: ВІД АНАРХІЇ ДО СТАНДАРТУ

У 1999 році в стінах некомерційної організації MITRE працювали кілька завзятих аналітиків. Один із них – Девід Манн – побачив, як у розрізненому цифровому світі фахівці по-різному називали одні й ті ж вразливості. Це було схоже на ситуацію, коли пілоти різних країн називають один і той же вогневий пункт по-різному, не маючи спільної карти.

Так з’явилася ідея CVE – Common Vulnerabilities and Exposures, база, яка дає кожній вразливості унікальний номер. Налаштування спільної мови в кібербезпеці стало справжньою революцією.

CVE швидко знайшла десятки тисяч прихильників серед урядових агентств США, а потім і в усьому світі. Уже в перші роки програма стала основою для побудови систем керування вразливостями у ключових американських установах: NSA, DHS, CISA, DARPA. Згодом до неї приєдналися технологічні гіганти – Google, Apple, Microsoft, IBM, Cisco, Amazon, Oracle, Red Hat, VMware. Вони не лише користувалися стандартами CVE, а й стали частиною офіційної програми як CNA (CVE Numbering Authorities).

Станом на 2025 рік CVE охоплює понад 450 CNA-партнерів із понад 40 країн. Серед них – не лише приватні компанії, а й урядові CERT-и, академічні установи, дослідницькі лабораторії. Наприклад, у Європі серед партнерів – CERT-EU, німецький BSI, французький ANSSI, фінський NCSC-FI, а також Європейське агентство з кібербезпеки ENISA. В Азії участь беруть організації з Японії, Південної Кореї, Сінгапуру, Індії.

CVE стала не просто технічним стандартом – вона сформувала глобальну мережу взаємодії між державами, бізнесом і дослідниками. Саме тому її розбалансування викликає глибоке занепокоєння по обидва боки Атлантики.

ЯК ЦЕ ПРАЦЮВАЛО

За кожним CVE-хештегом стоїть ретельна багаторівнева робота. Все починається з того, що фахівець із безпеки або дослідник виявляє вразливість у програмному чи апаратному забезпеченні. Далі він звертається до одного з CVE Numbering Authorities (CNA) – організацій, які мають повноваження присвоювати номери CVE.

Після перевірки на унікальність і підтвердження, що вразливість дійсно реальна, їй надається офіційний номер (на кшталт CVE-2021-44228). Цей запис надсилається до National Vulnerability Database (NVD), де доповнюється технічними деталями, рейтинговими оцінками небезпеки (CVSS), рекомендаціями щодо усунення.

Надалі цей ідентифікатор використовується всюди: в оновленнях софту, у звітах аудиту, в системах моніторингу, у політиках безпеки. Він стає точкою збору інформації, довіри й дії.

Без CVE виникає ситуація, коли різні компанії описують одну і ту ж загрозу по-своєму. У результаті – ніхто нікого не розуміє. Немає єдиної системи координат.

ТРИ ІСТОРІЇ ПРО ТЕ, ЯК CVE РЯТУВАЛА СВІТ

WannaCry (2017)

Це ім’я пам’ятають навіть нефахівці. Шифрувальник, який паралізував лікарні у Британії, заводи в Німеччині, урядові системи в Росії та України. В основі атаки – вразливість у Windows, що отримала номер CVE-2017-0144. Після публікації номеру й експлойту, Microsoft терміново випустила патч. Але головне – системи безпеки автоматично почали виявляти і блокувати загрозу. Лише завдяки CVE реагування було глобальним.

Log4Shell (2021)

Критична діра в Apache Log4j – найпопулярнішій Java-бібліотеці логування. Вразливість отримала номер CVE-2021-44228. Від Amazon до Siemens, від банків до дата-центрів – усі одночасно отримали можливість ідентифікувати проблему, оновити софт і зняти ризики. Без CVE ця уніфікація була б неможливою.

Український кейс (2023)

Невелика волонтерська група українських інженерів виявила критичну вразливість у мобільному додатку, яким користувались підрозділи для логістики гуманітарної допомоги. Зв’язок через відкритий API дозволяв зловмисникам змінювати координати доставки. Вразливість оформили як CVE, і за три доби до процесу доєдналися фахівці з Польщі та США. Було створено захищену версію, яку швидко впровадили на фронті.

ЩО СТАЛОСЯ У 2025-МУ?

їНа початку квітня MITRE отримала офіційне повідомлення, що фінансування програми CVE з боку Cybersecurity and Infrastructure Security Agency (CISA) – підрозділу Міністерства внутрішньої безпеки США – не буде продовжено після 15 квітня 2025 року.

Причини закриття не зрозумілі. Частково це пояснюють скороченням бюджетних видаткві, які охопили низку проєктів DHS. Частково через політичні зміни та нове керівництво у CISA і DHS, яке переглядає підходи до співпраці з приватними некомерційними структурами. Також існують версії, що це результат внутрішнього конфлікту між MITRE і окремими гравцями у Вашингтоні через прозорість адміністрування програми та вплив на політику публікації вразливостей.

Формально, уряд США не ліквідував CVE. Але фактично він прибрав державну підтримку, яка давала програмі стабільність, легітимність і незалежність від корпоративних впливів.

MITRE заявила, що продовжить роботу над CVE у міру наявних ресурсів. Тим часом приватна компанія VulnCheck оголосила про готовність тимчасово забезпечити резервування нових CVE-ID. Але, звісно, без тієї глибини та перевірок, які були у MITRE.

РЕАКЦІЯ КІБЕР СПІЛЬНОТИ

Частина спільноти – в шоці. Частина – мовчить, бо не хоче сваритись із урядом. Але переважна більшість фахівців каже вголос: це удар по глобальній системі кіберзахисту.

Деякі компанії – зокрема VulnCheck – спробували оперативно створити альтернативні системи резервування CVE-ідентифікаторів. У Європі та Азії лунають пропозиції сформувати власні реєстри вразливостей. Але все це – лише фрагменти великої архітектури, яка десятиліттями вибудовувалася довкола одного центру. Її зникнення – це як злам системи координат у GPS: усі знають, куди хочуть потрапити, але не знають, як туди йти.

ЯКІ МОЖУТЬ БУТИ НАСЛІДКИ?

● Втрата спільної мови кібербезпеки. Компанії, держави, розробники більше не матимуть єдиної референсної системи.

● Сповільнення реакції на атаки. Без централізованого індексу вразливостей час на реагування може зрости в рази.

● Ризик створення неузгоджених або фейкових баз. Довіра до інформації впаде. Це – ідеальне середовище для дезінформації й маніпуляцій.

● Вікна можливостей для зловмисників. Кожна затримка з публікацією або координацією – це час, яким скористаються хакери.

● Особливий ризик для країн, що перебувають у стані війни. Як Україна, яка веде оборону не лише на фронтах, а й у кіберпросторі.

Усе це – не футуристика. Це – цілком реальні загрози вже у 2025 році.

УКРАЇНА: ЩО НАМ ЦЕ ГОВОРИТЬ?

Для нас це подвійний виклик. По-перше, війна вимагає щоденного цифрового захисту. Ми інтегруємо дрони, GPS, мобільні аплікації, військові портали. І всі вони – потенційні вхідні точки для атаки.

По-друге, ми залежимо від міжнародної кіберспільноти. Без CVE виявити, пріоритезувати та закрити вразливість стане складніше.

Тому Україна повинна:

► Ініціювати приєднання CERT-UA до CVE як CNA-партнера.

Це означає, що наша державна команда реагування на комп'ютерні інциденти зможе самостійно присвоювати номери CVE вразливостям, виявленим в українському секторі. Це не лише підвищить рівень реагування, але й зміцнить авторитет України як учасника глобальної кіберспільноти.

► Розробити національну базу вразливостей, яка дублює CVE для критичних секторів.

Це стосується військових систем, енергетики, зв'язку, медицини. Така база має бути інтегрована в українську систему кіберзахисту, але водночас бути сумісною з міжнародними стандартами.

► Зміцнити зв'язки з CCDCOE у Таллінні та іншими центрами НАТО.

Центр передових досліджень з кібероборони в Естонії – один із ключових аналітичних та освітніх вузлів НАТО. Активніша участь у його ініціативах дозволить Україні не лише отримувати експертизу, але й впливати на формування політики кіберзахисту у Європі.

ЗАМІСТЬ ПІДСУМКІВ

Коли зникає щось звичне, ми часто не помічаємо цього одразу. Але в кібербезпеці – тиша небезпечніша за шум. CVE працювала як нервова система глобального захисту. І зараз цю систему намагаються знеструмити.

Світ не може дозволити собі цифрову анархію. Якщо CVE зникне, то хтось інший має взяти на себе її роль. І, можливо, саме Україна – держава, яка щодня живе між атакою і захистом, буде серед тих, хто допоможе створити нову систему кіберзахисту.

Віктор Таран, експерт з оборонних та військово-технічних інновацій, спеціалізується на безпілотниках та кібербезпеці

* Точка зору автора може не збігатися з позицією агентства