Світова система кібербезпеки зазнає критичного збою: глобальні бази даних уразливостей не встигають за лавиною загроз, що підриває безпеку цифрової інфраструктури.
Втрата орієнтирів: системна криза CVE та NVD
Протягом останніх двох років два ключові стовпи кіберзахисту — CVE (Common Vulnerabilities and Exposures) та NVD (Національна база вразливостей США) — опинилися під загрозою. У лютому 2024 року NVD несподівано зупинила публікацію нових записів, а CVE у квітні втратила стабільне фінансування. Водночас, як відзначає американська експертка Джен Істерлі, «втрата [CVE] буде схожа на одночасне виривання картотеки з усіх бібліотек».
NVD, яка забезпечує деталізований аналіз кожної уразливості, мала накопичити понад 25?000 необроблених записів, що у 10 разів перевищує показник 2017 року. Причина — скорочення бюджету NIST на 12% і відкликання фінансування CISA у розмірі $3,7 млн.
Наслідки для кіберзахисту: вразливості без діагнозу
Відставання призвело до масштабної кризи в галузі. Неоновлені уразливості — це другий за частотою шлях проникнення хакерів. Порушення безпеки зачіпають лікарні, інфраструктурні об’єкти та домашні пристрої — від «розумних» замків до мережевих камер.
«Це залишило неприємний осад, і люди усвідомлюють, що не можуть покладатися на це», — стверджує Роуз Гупта, керівниця з управління вразливостями. Малий і середній бізнес змушений або покладатися на застарілі дані, або вкладати кошти у дорогі приватні сервіси на кшталт Qualys, Rapid7 чи Tenable.
Нові моделі: Vulnrichment і приватні ініціативи
Для подолання кризи CISA створила програму Vulnrichment, яка надає рекомендації для користувачів та знижує залежність від одного постачальника. Але структура розслідувань і оновлень лишається централізованою і вразливою. За словами заступниці директора CISA Сенді Радескі, «ресурси обмежені, і ми мусимо адаптуватися».
Альтернативу пропонують приватні гравці. Проєкт VulnDB, за словами його автора Брайана Мартіна, містить понад 112?000 уразливостей, які не мають CVE-коду. Потенційно, при розширенні команди, ця кількість може сягнути пів мільйона непомічених загроз.
Нові гравці і геополітика кібербезпеки
На фоні слабкості США Європейський Союз активізує розгортання власної розподіленої бази вразливостей, а Китай уже має кілька ефективних, хоч і контрольованих державою систем. Це сигналізує про перехід від централізованої безпеки до мультицентричного, політичного управління кіберзахистом.
Вперше питання вразливостей стало фронтом у технологічній війні, де від прозорості та швидкості залежить національна безпека. «Краще мати забагато джерел, ніж їх не мати взагалі», — зазначає Гупта.
Відповідальність і правова еволюція
Нестабільність систем спонукає до перегляду ролі виробників ПЗ у забезпеченні безпеки. Хоча нині ліцензійні угоди дозволяють виробникам уникати відповідальності, юристи наголошують: «навіть найскладніші сценарії можуть бути вирішені експертним судовим аналізом», — вважає Андреа Матвішин з Університету штату Пенсильванія.
Злам масштабного оновлення CrowdStrike у липні 2024 року, який зупинив роботу мільйонів комп’ютерів, став поворотним моментом. Втрати сягнули мільярдів доларів. Це підштовхує ринок до вимоги більшої відповідальності постачальників і жорсткішого аудиту безпеки.
Висновок: точка перезавантаження
Глобальна система вразливостей потребує реформ: децентралізації, прозорості й міжнародної координації. Замість залежності від однієї країни чи платформи, слід будувати мережу автономних, але взаємопов’язаних баз даних, здатних діяти швидко, ефективно та доступно.
«Це буде хаос, але кращий, ніж мовчання», — каже Гупта. Цифровий світ змінився, і кіберзахист має стати глобальною колективною справою.
#США #не #встигають #фіксувати #нові #кіберзагрози
Source link
