Агентство по кибербезопасности и защите инфраструктуры (CISA) и корпорация MITRE пересмотрели контракт, поддерживающий 26-летнюю программу Common Vulnerabilities and Exposures (CVE), устранив угрозу скорого истечения срока действия, которая вызвала панику в сообществе по безопасности в 2025 году.
По данным источников, программа, по-видимому, перешла из категории дискреционного финансирования в защищенную статью бюджета CISA — структурное изменение, которое может предотвратить ту драматическую ситуацию, которая угрожала системе в прошлом году.
Примерно в течение суток в 2025 году программа, лежащая в основе инструментов управления уязвимостями, платформ разведки угроз и систем управления исправлениями по всему миру, казалось, была обречена на внезапное прекращение работы. Мир кибербезопасности был ошеломлен, когда MITRE сообщила, что ее контракт с Министерством внутренней безопасности США на управление программой истекает без продления.
В конечном итоге CISA вмешалось в последнюю минуту, выпустив экстренное 11-месячное продление контракта, которое позволило системе работать, но заставило мировое сообщество безопасности готовиться к новому «финансовому обрыву» этой весной.
Почти год спустя эта временная мера была заменена тем, что источники описывают как более прочное соглашение. Совет CVE был проинформирован на своем заседании 21 января 2026 года о том, что «в марте не будет финансового обрыва» и что «текущие операции и планирование выходят далеко за рамки этого периода», согласно позже обнародованным протоколам заседания.
В своем заявлении Ник Андерсен, исполняющий обязанности директора CISA, сообщил CSO: «Под руководством и при спонсорстве CISA программа CVE полностью финансируется и постоянно развивается и модернизируется для поддержки глобальной экосистемы уязвимостей». Джордан Грэм, пресс-секретарь MITRE, заявил: «MITRE, в поддержку CISA, привержена поддержке CVE как критически важного глобального ресурса».
От второстепенного вопроса к защищенной программе
Для давних сторонников раскрытия уязвимостей самым важным сдвигом может быть не само продление, а структура финансирования.
Пит Аллор — член совета CVE, ветеран кибербезопасности и соучредитель Фонда CVE — заявил, что исторически программа конкурировала с другими инициативами за остаточные средства в бюджете CISA.
«Насколько я понимаю, изменилось то, что мы перешли от вопроса: „Эй, из того, что останется, можем ли мы профинансировать программу CVE наряду с несколькими другими вещами?“ к тому, что она будет финансироваться выше этой черты, — сказал Аллор. — Это огромное изменение».
На практике этот сдвиг, по-видимому, выводит программу каталогизации уязвимостей из категории дискреционных статей, которые могли быть вытеснены конкурирующими приоритетами, в категорию основных операционных программ.
Улучшение перспектив финансирования также побудило Фонд CVE — созданный во время прошлогодней неопределенности для изучения альтернативных моделей управления — пересмотреть свои дальнейшие шаги. «Зачем бороться с лошадью, если я могу использовать ее под уздцы?» — сказал Аллор.
Вопросы прозрачности остаются
Несмотря на очевидную финансовую стабильность, сам контракт остается в значительной степени непрозрачным — даже для членов совета CVE.
Источник, близкий к программе CVE, пожелавший остаться анонимным, чтобы сохранить рабочие отношения с CISA и MITRE, охарактеризовал соглашение как обнадеживающее, но лишенное прозрачности.
«Это таинственный контракт с таинственной суммой, который был согласован и утвержден, — сказал источник. — Хорошая новость в том, что людям не о чем беспокоиться. Но теперь, когда им не о чем беспокоиться, самое время задать сложные вопросы».
Эти вопросы включают в себя то, как будет модернизироваться программа, как будет измеряться ее эффективность и должна ли эволюционировать ее структура управления.
В своем заявлении для CSO Андерсен из CISA сказал: «CISA, в сотрудничестве с мировым сообществом кибербезопасности, привержена повышению качества данных, модернизации инфраструктуры и услуг, улучшению процессов управления с более разнообразным представительством, среди прочих направлений работы».
Один из членов совета CVE неоднократно запрашивал доступ к контракту MITRE-CISA на последовательных заседаниях совета, по словам людей, знакомых с обсуждениями. MITRE отклоняла эти запросы, ссылаясь на правовую защиту соглашения между двумя организациями. Отдельный запрос на получение контракта в рамках Закона о свободе информации также остался без ответа.
«Если вы говорите, что делаете это на благо общества и во всеобщее благо, вы обязаны сказать, как вы измеряете это благо, — сказал Аллор. — Это открытый вопрос, и он не может быть секретным».
Сам совет CVE — расширенный до 24 членов в последние годы — в основном функционирует как консультативный орган, в то время как MITRE сохраняет окончательные полномочия по принятию решений относительно операционной деятельности программы.
Начинают появляться глобальные альтернативы
Почти крах программы CVE в прошлом году спровоцировал волну резервного планирования в экосистеме кибербезопасности.
Фонд CVE начал изучать модели управления, которые уменьшили бы зависимость от единственного источника финансирования правительства США. В то же время Агентство Европейского союза по кибербезопасности начало разрабатывать собственную структуру идентификации уязвимостей, которая с тех пор была запущена.
Представитель ENISA заявил, что агентство по-прежнему привержено экосистеме CVE, но не имеет информации о механизмах финансирования программы. «ENISA является частью программы CVE и по-прежнему привержена внесению вклада в глобальное сообщество CVE и поддержке скоординированного управления уязвимостями», — говорится в заявлении агентства.
Частные организации также предприняли шаги для хеджирования потенциальных сбоев. Например, фирма по разведке уязвимостей VulnCheck зарезервировала блоки идентификаторов CVE для обеспечения непрерывности в случае сбоя системы нумерации.
Даже после разрешения проблемы с финансированием эти усилия вряд ли исчезнут. Структурные опасения по поводу управления и долгосрочной независимости продолжают стимулировать интерес к дополнительным или альтернативным системам.
Некоторые европейские заинтересованные стороны, в частности, по-прежнему обеспокоены тем, что критически важный элемент глобальной инфраструктуры кибербезопасности зависит от единственного контракта правительства США.
«Есть некоторые европейцы, которые не хотят направлять свои технические данные непосредственно на объект, финансируемый правительством США», — сказал источник, знакомый с программой CVE. По сообщениям, начались обсуждения о возможном внесении поправок в Акт ЕС о киберустойчивости для ссылки на идентификатор, управляемый ENISA, а не CVE.
Аллор заявил, что ожидает, что CISA расширит свое международное участие в программе в ближайшие месяцы в ответ на эти опасения. «Я думаю, есть страны внутри ЕС, и я знаю как минимум о трех странах за пределами ЕС, которые жаловались на это, — сказал он. — Я думаю, что сотрудники CISA услышали это громко».
В сентябре прошлого года CISA изложила свое «видение» программы CVE, пообещав укрепить международное партнерство и улучшить представительство правительств и организаций за пределами Соединенных Штатов — сигнал возобновления приверженности после прошлогоднего испуга.
Предупреждение, которое индустрия не забудет
Даже по мере того, как непосредственный финансовый кризис утихает, институциональная среда вокруг CISA остается нестабильной. Агентство столкнулось с сокращением бюджета, сменой руководства и сокращением штата, и уже более года не имеет директора, утвержденного Сенатом.
Однако на данный момент каталог уязвимостей, служащий общим языком индустрии кибербезопасности, остается финансируемым и действующим.
Но события прошлого года выявили, насколько зависима глобальная экосистема безопасности от единственного контракта правительства США, и спровоцировали более широкую дискуссию о том, должны ли управление и финансирование такой критически важной инфраструктуры быть более прозрачными, более международными и менее хрупкими.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Cynthia Brumfield
