La continuidad y gestión del repositorio central de vulnerabilidades enfrenta a las posturas de la agencia de ciberseguridad estadounidense CISA, que busca tener mayor control sobre el programa, y la del CVE Foundation, que proyectan un modelo más colaborativo, aunque ambas propuestas de gobernanza abogan por mayor transparencia, eficiencia y calidad.
El Programa de Vulnerabilidades Comunes y Exposiciones (CVE), una herramienta global para catalogar fallas de software y hardware, se encuentra en un momento crítico. Tras un incidente de financiamiento a comienzos de este año que casi llevó al cierre del sitio CVE.org, diversas entidades están considerando cómo apoyar el programa o crear alternativas.
El pasado 10 de septiembre, la Cybersecurity and Infrastructure Security Agency (CISA) publicó un documento en el que detalla sus planes para el CVE, junto con declaraciones de Nick Andersen, director asistente de ciberseguridad de CISA en el que reclama la responsabilidad del programa para dicha agencia. Andersen enfatizó que la “responsabilidad, misión y liderazgo para guiar este programa hacia el futuro pertenece a esta agencia”. Advirtió además que la “fragmentación, privatización o captura del sector privado erosionarían la confianza en el sistema y pondrían en riesgo vidas e infraestructura estadounidense”.
Los documentos subrayan que el CVE debe liderarse con “compromiso de gestión libre de conflictos y neutralidad frente a proveedores, amplia participación multisectorial, procesos transparentes y liderazgo responsable”. CISA planea expandir las asociaciones, buscar mecanismos de financiamiento diversificados, mejorar la calidad de los registros y fortalecer la participación de la comunidad internacional.
Sin embargo, algunos miembros de la junta del CVE entregaron sus comentarios de forma anónima al medio especializado de ciberseguridad The Record, y cuestionaron la evaluación realizada por CISA. En lo reseñado por el medio, señalaron que la agencia nunca fue la principal responsable del programa y que su liderazgo unilateral no refleja la naturaleza colaborativa y global del CVE. “El programa funciona mejor como un esfuerzo conjunto que involucra gobiernos, sector privado y organizaciones internacionales”, afirmaron.
En respuesta a la crisis de financiamiento del pasado mes de abril y que abrió el debate sobre la sostenibilidad de la iniciativa, los miembros del programa crearon el CVE Foundation buscan promover un modelo de organización sin fines de lucro para garantizar que los datos del CVE permanezcan accesibles como bien público.
Tras el anuncio de CISA publicado en LinkedIn, la CVE Foundation comentó oficialmente en un post de respuesta los documentos de CISA muestran objetivos compatibles y expresó su disposición a colaborar para fortalecer el programa. “La Fundación CVE aplaude a CISA por apoyar nuestra visión de un programa CVE más transparente, con respaldo global, eficiente y de alta calidad. Valoramos que tengamos objetivos compatibles, que se pueden encontrar en nuestro sitio web, con propuestas concretas para lograrlos”, indicaron en el mensaje, y agregaron que “una organización benéfica sin fines de lucro (…) operada con transparencia es el modelo adecuado para garantizar el éxito del Programa CVE y que los datos CVE se mantengan libres y de libre acceso como un bien público”.
Actualmente, más de 470 contribuyentes participan de manera voluntaria en el CVE. Solo en los últimos seis meses, se añadieron casi 23.500 registros a la base de datos, mientras que el financiamiento público contribuyó con alrededor de 2.264 entradas, lo que representa menos del 10% del total. La mayor parte de los recursos gubernamentales se canalizan a través de MITRE Corporation, la cual apoya al CVE y otros programas relacionados como CWE.