ENISA åbner sårbarhedsdatabase

Eskil Sørensen
05.05.2025 11:35
Flere års arbejde med at udvikle en løsning til indsamling og formidling af sårbarhedsdata i EU ser dagens lys.

I skyggen af alle problemerne i USA med at vedligeholde NVD og finde midler til CVE-programmet har ENISA her i april delvist åbnet sin egen sårbarhedsdata – eller rettere EU's sårbarhedsdatabase, som går under navnet EUVDB.

Selv om der er tale om en silent launch af en BETA-version, så er det ualmindeligt godt timet og næsten profetisk: Når USA's ikke magter opgaven længere, tager EU over.

Uanset timing og politiske undertoner er den officielle baggrund for initiativet, at det skal forbedre cybersikkerheden i EU og ud over. Det sker således ved at tilbyde en omfattende, transparent og uafhængig kilde til information om sårbarheder, som det hedder.

Adresserer bekymringer omkring CVE-systemet

Etableringen af EUVDB er primært motiveret af bekymringer om fremtidig adgang og omfang af CVE-systemet. Selvom CVE har været standarden for identifikation og håndtering af sårbarheder i mange år, så har der været et behov for at sikre uafhængighed – så spørgsmål om systemets langsigtede pålidelighed som en universelt tilgængelig ressource ikke kunne blive et issue. Et issue som så rent faktisk brød ud i lys lue, da bevillingen til CVE-programmet pludseligt stoppede i påskeugen, men som – formentlig på baggrund af pres fra flere aktører – blev forlænget i 11 måneder. 

Selv uden de aktuelle finansielle udfordringer har man allerede for flere år siden adresseret bekymringer, som de fleste inden for miljøet også må have set inden for de sidste par måneder, nemlig

  • Potentiel begrænset adgang: Muligheden for, at adgangen til CVE-data kan blive begrænset eller kontrolleret, særligt for enheder i visse regioner eller sektorer, udgør en betydelig risiko for globale cybersikkerhedsindsats.
  • Påvirkning og bias: Der er rejst bekymringer om muligheden for uretmæssig indflydelse eller bias i tildelingen og scoringen af CVE-indførsler, hvilket kan undergrave systemets objektivitet og troværdighed.

EUVDB har derfor som formål at søge at mindske disse risici og tilbyde en uafhængig kilde til sårbarhedsinformation, der er ”fri for ydre pres og garanterer ubegrænset adgang for alle. ” 

Med åbningen af EUVDB må man sige, at formålet i al fald i første omgang er opfyldt.


 

 

 

 

Læs mere

Information