Az ENISA a NIS2 irányelvben foglaltaknak megfelelően elindította az európai sebezhetőségi adatbázist. Az EUVD nevű adatbázis célja, hogy átfogó és felhasználható adatokat szolgáltasson az IKT-termékek és -szolgáltatások kiberbiztonsági sebezhetőségéről.
A cél a kitettség csökkentése
Az EUVD különböző forrásokból – többek között a számítógépes biztonsági incidensekre reagáló csoportokból (CSIRT), a gyártókból és a meglévő adatbázisokból – származó információkat gyűjt össze a fokozott kiberbiztonsági kockázatkezelés támogatása érdekében. A nyílt forráskódú Vulnerability-Lookup szoftver alkalmazásával a platform lehetővé teszi a sebezhetőségek mélyebb, hatékonyabb elemzését.
Ez az összekapcsolt megközelítés célja a helyzetfelismerés javítása és a kiberbiztonsági fenyegetéseknek való kitettség csökkentése – írta a TechMonitor.
Fejlődő kiberszabványok
Az adatbázis nyilvánosan hozzáférhető, és az informatikai termékeket és szolgáltatásokat érintő sebezhetőségekről nyújt információt. Az EUVD célcsoportjai a hálózati és információs rendszerek szállítói, az ezeket a szolgáltatásokat igénybe vevő szervezetek, a nemzeti hatóságok. Így például a magánvállalkozások és a kutatók, valamint az EU CSIRT-hálózata, vagyis az uniós informatikai biztonsági incidens-elhárító csoportok.
Az EUVD műszerfalakon keresztül mutatja be az adatokat, kiemelve a kritikus sebezhetőségeket, a kihasznált sebezhetőségeket és az európai CSIRT-ek által koordinált sebezhetőségeket.
“Az EU sebezhetőségi adatbázisa jelentős lépés Európa biztonságának és ellenálló-képességének megerősítése felé” – mondta az EB technikai szuverenitásért és biztonságért felelős ügyvezető alelnöke. Henna Virkkunen szerint az uniós piac szempontjából releváns sebezhetőségi információk összegyűjtésével fejlődnek maguk a kiberbiztonsági szabványok is. Mindezzel lehetővé teszik mind a magán-, mind a közszféra szereplői számára, hogy nagyobb hatékonysággal és autonómiával jobban megvédjék közös digitális tereinket.
Nyílt forráskódú sebezhetőség-monitor
Az EUVD nyílt forráskódú adatbázisokból gyűjti össze a sebezhetőségi információkat, és kiegészíti azokat a nemzeti CSIRT-ek által kiadott tanácsokkal és riasztásokkal. Mindehhez társulnak a gyártóknak a sebezhetőség csökkentésére és javítására vonatkozó iránymutatásai, valamint a sebezhetőségek kihasználtságának jelölése is.
Az EUVD adatrekordjai tartalmazhatják a sebezhetőségek leírását, az érintett IKT-termékeket vagy -szolgáltatásokat. De emellett szerepelnek az adatbázisban a súlyossági szintek, a kihasználási módszerek és a kockázatcsökkentésre vonatkozó útmutatás is.
Globális kooperáció
A NIS2 irányelvnek megfelelően az ENISA több uniós, illetve nemzetközi szervezettel is együttműködik. Ilyen a MITRE CVE programja is, amely segít a közös sebezhetőségek és veszélyeztetettségek felmérésében.
A CVE-programból, az IKT-gyártók tanácsaiból és a CISA ismert sérülékenységek katalógusából származó adatok automatikusan beépülnek az EUVD-be.
Az ENISA már tavaly január óta regisztrálja és támogatja az EU CSIRT-jei által felfedezett vagy koordinált közzétételre bejelentett sebezhetőségek közzétételét.
A gyártóknak 2026 szeptemberéig be kell jelenteniük az aktívan kihasznált sebezhetőségeket. Ez a bejelentési kötelezettség a digitális komponensekkel rendelkező hardver- és szoftvertermékeket érintő sebezhetőségekre vonatkozik.
Az uniós kiber-ellenállóképességről szóló rendelet (CRA) által körvonalazott Single Reporting Platform (SRP) lesz az erre a folyamatra kijelölt eszköz.
(Kép: unsplash.com/Boitumelo)
