Den 15 april 2025 rapporterades det att USA:s federala stöd till MITRE:s förvaltning av CVE-databasen tar slut med effektiv verkan redan den 16 april 2025. För den breda allmänheten är detta kanske bara en teknisk nyhet bland andra – men för alla som arbetar med cybersäkerhet väcker det frågor om hur detta kan påverka samhället framåt. CVE-systemet är nämligen en av grundpelarna i det globala cybersäkerhetsekosystemet som påverkar nationell säkerhet världen över. Utan det står vi inför en mer fragmenterad, ineffektiv och riskfylld digital framtid.
I det här inlägget diskuteras möjliga utfall och deras inverkan på rapporteringen av sårbarheter inom mjukvara och hårdvara. Något vi, över hela världen, är beroende av för att upprätthålla säkra digitala lösningar.
Common Vulnerabilities and Exposure (CVE) är ett standardiserat system för att rapportera och katalogisera kända sårbarheter i mjukvara och hårdvara. Det möjliggör för säkerhetsexperter och leverantörer globalt över hela världen att tala samma språk när det kommer till att hantera sårbarheter och risker. När en sårbarhet upptäcks så tilldelas ett unikt CVE-ID, vilket gör det lättare att spåra och nå ut till hela IT-industrin snabbt för att åtgärda säkerhetshål.
Om finansieringen av detta system upphör finns risken att:
När en sårbarhet upptäcks, oavsett om det sker av en säkerhetsforskare, ett företag eller en privatperson, kan den rapporteras till en av de officiella CVE Numbering Authorities (CNA). Dessa är organisationer godkända av MITRE att tilldela CVE-ID:n. MITRE är en icke vinstdrivande organisation på uppdrag av amerikanska regeringen att främja utveckling inom bland annat cybersäkerhet och försvar.
Processen ser i stort ut så här:
Det är denna process, som varit globalt erkänd och tillförlitlig i över två decennier, som nu står inför en stor förändring med oklara framtidsutsikter om MITRE inte längre har kapacitet att koordinera arbetet.
Detta är en pågående situation som kan förändras i närtid men utan finansiering från amerikanska myndigheter måste världen nu överväga hur CVE-systemet ska överleva – eller ersättas. En lösning som diskuteras är ökat bidrag från privata aktörer, något som redan förekommer i form av stöd från exempelvis olika teknologiföretag. En lösning med större andel privata investerare väcker frågor om oberoende och tillgänglighet.
Samtidigt har EU planer på en egen sårbarhetsdatabas som betatestas just nu: European Vulnerability Database (EUVD). Enligt tidiga rapporter vill EU skapa en europeisk motsvarighet som kan hantera sårbarheter med fokus på europeiska behov och regelverk. Även om detta system är i tidigt skede så skulle det kunna få en större plats när det kommer till sårbarhetsrapportering i framtiden.
Om CVE-databasen ersätts av flera separata alternativ – drivna av olika offentliga och privata aktörer riskerar vi att förlora samordningen och tydligheten som finns i dagens system. Fragmentering kan skapa luckor i kedjan av rapportering, där sårbarheter inte hanteras eller delas konsekvent. Det ökar risken för mänskliga misstag, systemfel och att information om kända sårbarheter inte når fram till påverkade systemägare i tid.
Efter den initiala oron bekräftade den amerikanska cybersäkerhetsmyndigheten CISA att de valt att förlänga det existerande kontraktet med MITRE. Det innebär att CVE-programmet tills vidare kommer att fortsätta som vanligt, utan något omedelbart driftstopp. Förlängningen verkar dock vara just det – tillfällig – och ger snarare ett andrum än en långsiktig lösning.
Parallellt har medlemmar ur CVE-styrelsen tagit initiativ till att lansera en ny ideell organisation, CVE Foundation, med syftet att på sikt säkra programmets oberoende och stabilitet. Tanken är att minska beroendet av en enskild statlig finansiär och istället skapa ett mer hållbart, globalt förankrat ramverk.
Framtiden är ännu oviss, men viljan att bevara ett öppet, tillförlitligt och globalt samordnat system för sårbarhetshantering finns.
ComputerSweden - ”Tragiskt” – CVE-programmet hotat efter indragen finansiering
Reuters - US funding running out for critical cyber vulnerability database
KrebsonSecurity - Funding Expires for Key Cyber Vulnerability Database
BleepingComputer - CISA extends funding to ensure 'no lapse in critical CVE services