De Verenigde Staten stonden op het punt zich terug te trekken uit een van de belangrijkste fundamenten van wereldwijde cybersecurity: de financiering van de CVE-database. Hoewel de VS inmiddels hebben ingestemd met een tijdelijke verlenging van elf maanden, blijft het onderliggende signaal onveranderd. Voor Europa is dit opnieuw een geopolitieke wake-upcall. Want stel dat de Amerikanen er daarna wél de stekker uittrekken, hoe zorgen we dan voor een oplossing, en belangrijker nog: hoe nemen we als Europa eindelijk zelf de regie?
De enorme afhankelijkheid
Overheden, softwareleveranciers, securitybedrijven en CERT’s overal ter wereld vertrouwen op CVE-nummers als dé standaard om kwetsbaarheden te beheren. Zonder die referentie weet niemand meer wat écht urgent is, waar de grootste risico’s zitten of wat je als eerste moet patchen.
“En toch: al sinds 1999 draait vrijwel alles achter de schermen op Amerikaanse kosten”, benadrukt Jort Kollerie, strategic advisor bij Orange Cyberdefense. “In totaal is er zo’n 75 tot 125 miljoen dollar in gestoken in 25 jaar tijd. Een relatief klein bedrag, als je bedenkt hoeveel de wereld er dagelijks op bouwt.”
Publieke data geeft geen garanties
De gegevens uit de CVE-database zijn grotendeels openbaar. “Maar dat betekent nog niet dat je het beheer zomaar ergens anders onderbrengt”, legt Kollerie uit. “Achter de database schuilt een complex systeem van duizenden CVE Numbering Authorities (CNA’s) en vaste internationale afspraken. Dit netwerk is gebaseerd op jarenlange samenwerking en een stevige reputatie als neutrale partij.” Bovendien kan de Amerikaanse overheid de overdracht van data vertragen of blokkeren als onderdeel van bredere geopolitieke druk. Kortom: dit is niet zomaar een technisch project, maar een strategisch én diplomatiek dossier.
Wie het beheer wil voortzetten, moet ook meer in huis hebben dan alleen toegang tot de data. Het vereist een stevige technische infrastructuur, ervaren mensen, een centraal coördinatiepunt en het vertrouwen van internationale softwareleveranciers, securitybedrijven en CERT’s.
Kollerie: “Een Europees alternatief is mogelijk. Dat lukt alleen met een stevige voorbereiding en uitvoering. Als we echt werk willen maken van digitale autonomie, zullen we niet langer alleen maar moeten roepen om meer grip op cybersecurity, maar ook bereid zijn om zelf flink te investeren in mensen, middelen en verantwoordelijkheid.”
Wat is er nodig voor een Europees alternatief?
De CVE-database wordt beheerd door MITRE, een onafhankelijke Amerikaanse non-profitorganisatie. Een Europees initiatief is geen simpele kopie van wat zij doen. Het vraagt om politieke daadkracht, langetermijninvesteringen en vooral: vertrouwen vanuit de internationale securitygemeenschap. Een succesvolle voortzetting van de CVE-functie in Europa vereist volgens Kollerie onder meer de volgende bouwstenen:
Een Europese beheerorganisatie met mandaat en gezag
Er moet een centrale instantie worden aangewezen die de dagelijkse operatie coördineert, vergelijkbaar met de rol van MITRE. ENISA (het Europees Agentschap voor Cybersecurity) ligt voor de hand vanwege haar bestaande rol in Europese cybersecurity-coördinatie. Die rol moet worden uitgebreid met een formeel mandaat en voldoende capaciteit, zowel technisch, organisatorisch als juridisch. Dit orgaan moet kunnen optreden als neutrale partij tussen lidstaten, bedrijven en onderzoekers.
Een robuust netwerk van CNA’s binnen Europa
CVE-nummers worden wereldwijd uitgegeven door CVE Numbering Authorities (CNA’s): organisaties die meldingen verifiëren en publiceren. Europa heeft al enkele CNA’s, maar dat netwerk is incompleet en versnipperd. We moeten toewerken naar een representatief, goed georganiseerd netwerk van nationale CERTs, leveranciers en onderzoeksinstellingen die als CNA kunnen optreden. Dat vraagt om standaarden, procedures en onderlinge afstemming.
Heldere governance-afspraken over eigenaarschap en transparantie
Een database voor kwetsbaarheden moet wereldwijd vertrouwen genieten. Dat lukt alleen met volledige transparantie over hoe kwetsbaarheden worden gevalideerd, toegewezen en gepubliceerd. Governance betekent ook: wie beheert de data? Welke criteria gelden voor opname? Hoe voorkomen we politieke beïnvloeding of vertraging? Zonder duidelijk en internationaal gedragen regels zullen leveranciers en CERT’s buiten Europa afhaken.
Een technische infrastructuur die schaalbaar en betrouwbaar is
De bestaande MITRE-infrastructuur verwerkt tienduizenden meldingen per jaar. Europa zal zelf een platform moeten bouwen voor intake, verificatie, nummering en publicatie van de kwetsbaarheden. Dat moet veilig, snel en schaalbaar zijn, met open interfaces zodat leveranciers en andere stakeholders snel updates kunnen integreren in hun tooling en producten.
Structurele financiering vanuit EU-niveau en/of lidstaten
De kosten voor MITRE’s beheer van CVE bedragen naar schatting slechts 3 tot 5 miljoen dollar per jaar. Toch is ad-hoc financiering geen optie. Er moet een structureel budget komen, zodat het beheer stabiel, onafhankelijk en professioneel kan worden ingericht. Europese financiering via de EU-begroting ligt voor de hand, eventueel aangevuld met bijdragen van lidstaten of publieke-private samenwerkingen met leveranciers.
Toegang tot de bestaande database en kennisinfrastructuur
Hoewel CVE-gegevens grotendeels openbaar zijn, zijn de bijbehorende tools, processen en netwerken dat niet. Een Europese beheerder moet ofwel formele afspraken maken met MITRE over datatoegang en overdracht, of op basis van de publieke data een eigen structuur opnieuw bouwen. Dat laatste kost tijd en vergroot de kans op inconsistentie. Zonder samenwerking met MITRE of de Amerikaanse overheid dreigt een dubbele administratie, of erger: internationale desintegratie van het systeem.
Er zijn in Europa wel al eerste stappen gezet. Zo heeft ENISA inmiddels de European Vulnerability Database (EUVD) gelanceerd, een eigen openbare database voor kwetsbaarheden. De database bevindt zich nog in bèta en is zeker nog geen volwaardig alternatief voor CVE. Toch laat Europa hiermee wel zien dat er een politiek en strategisch besef is ontstaan waar digitale veiligheid niet alleen afhankelijk mag zijn van de Amerikaanse infrastructuur. Echter zit er nog een flinke kloof tussen besef en een volwassen alternatief. En die moet volgens Kollerie nu snel overbrugd worden.
Europa in actie
“De acties van de VS laten zien dat onze digitale infrastructuur kwetsbaar is, hoe betrouwbaar dat land tot nu toe ook is geweest”, vindt Kollerie. “Als we als Europa serieus werk willen maken van digitale soevereiniteit, dan begint dat hier. Door niet langer gebruik te maken van de Amerikaanse goodwill, maar wel door zelf het heft in handen te nemen.”
Dit is een ingezonden bijdrage van Orange Cyberdefense. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.