משבר גלובלי בעולם הסייבר נמנע הלילה – אך לא בהכרח לתמיד
החוזה שמאחורי מערכת זיהוי פרצות האבטחה הבינלאומית הוארך ברגע האחרון, אך לא לפני שיצר בלבול גלובלי
תמונה: Dreamstime
אחד המשברים הכי גדולים של עולם הסייבר נמנע הלילה, כמעט ברגע האחרון, כאשר ממשלת ארצות הברית מנעה את השבתתה של אחת מאבני היסוד של עולם הסייבר הגלובלי: תוכנית CVE (זיהוי פרצות אבטחה גלובלי). סוכנות הסייבר והגנת התשתיות האמריקאית CISA הפעילה את סעיף הארכת החוזה עם ארגון MITRE, הגוף המנהל את תכנית CVE, כדי להבטיח שהשירות לא ייפסק ולו לרגע אחד.
לפי ההודעה ששלחה הסוכנות לאתר CyberScoop, המהלך בוצע כדי "למנוע כל הפרעה בשירותים הקריטיים של CVE". המהלך הגיע שעות ספורות לאחר שמנהל בכיר ב-MITRE שלח מכתב התרעה לחברי מועצת CVE, שבו הזהיר מפני השלכות חמורות על כל שרשרת האבטחה העולמית. "אם תתרחש הפסקה בשירות, אנו צופים פגיעה במסדי נתונים לאומיים, בכלי אבטחה, בתגובה לאירועים ובתשתיות קריטיות", כתב יוסרי ברסום, סגן נשיא MITRE.
תלות קריטית – במערכת אחת
מאגר ה-CVE, שהוקם בשנת 1999 ומנוהל עד היום על ידי MITRE במימון ממשלת ארה"ב, מהווה נקודת ייחוס עולמית לתיעוד פרצות אבטחה בתוכנה ובחומרה.
מדובר באחד מהיסודות עבור מערכות SIEM (מערכות ניהול מידע ואירועי אבטחה), כלי ניתוח איומים, מערכי עדכונים אוטומטיים, וחדרי WAR ROOM של צוותי סייבר בארה״ב, באירופה, וגם בישראל. המשבר האחרון לא נגע בשאלה טכנולוגית – אלא במבנה הממשלתי של גוף שאמון על שפה אחידה להגנה גלובלית.
התלות הבלעדית במוסד אחד, ובהסכם מימון בודד, הפכה ברגע לסיכון בפני עצמו.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
התשובה של התעשייה: קרן עצמאית
עוד בטרם התקבלה ההחלטה על ההארכה, קבוצה של חברים ותיקים במועצת CVE הודיעה על הקמת גוף חדש בשם CVE Foundation – עמותה ללא מטרות רווח שמטרתה לנהל את התוכנית בצורה עצמאית, ללא תלות בממשלת ארה"ב. בהצהרת ההקמה נכתב: "הקשר ההדוק עם גוף ממשלתי אמריקאי יצר לאורך השנים חששות לגיטימיים בקרב קהילת הסייבר לגבי הניטרליות והקיימות של המיזם. הגיע הזמן להוציא את CVE מאזור הסיכון".
במקביל, גם באירופה מגבשים חלופה: סוכנות ENISA (סוכנות הסייבר של האיחוד האירופי) מקדמת הקמת מאגר פרצות אירופי מבוזר (EUVD) המבוסס על שיתוף פעולה בין מדינות שונות.
ומה זה אומר עבורנו?
לא מעט גופי אבטחה מקומיים, ממערכות ממשלתיות ועד ארגונים מסחריים, נשענים על זיהויי CVE כבסיס לאינטגרציה עם כלים, התרעות ועדכונים .הפסקה זמנית, ולו הקצרה ביותר, הייתה עלולה לשבש את שרשרת העדכונים, לפגוע במודיעין איומים, ולאפשר לתוקפים חלון זמן יקר לניצול פרצות. לשם שינוי, הסכנה חלפה, לפחות זמנית.
