Современное цифровое пространство кардинально изменило образ жизни миллиардов людей. Электронные коммуникации, коммерция, здравоохранение, энергетика и транспорт — всё это стало неотъемлемой частью нашей повседневности и основывается на программном обеспечении, которое должно быть максимально безопасным и надежным. Однако фундаментальная глобальная система оповещения о критических уязвимостях в программных продуктах, от которых зависит безопасность всего цифрового мира, сегодня переживает серьезный кризис. Центральные компоненты этой системы — Национальная база уязвимостей США (National Vulnerability Database, NVD) и программа Common Vulnerabilities and Exposures (CVE) — испытывают значительные трудности с поддержанием стандартов своевременного обнаружения и публикации информации о новых угрозах. Разрыв связей и сокращение финансирования привели к задержкам в обработке и публикации данных, создавая масштабный бэклог из десятков тысяч неучтенных или недоанализированных уязвимостей.
В феврале 2024 года NVD внезапно прекратила публиковать новые записи, а уже в апреле программа CVE оказалась под угрозой, что вызвало волну тревоги в профессиональных сообществах кибербезопасности. Задержки в публикациях создают критический разрыв в цикле жизнедеятельности безопасности ПО: компании и специалисты не могут вовремя выявлять и устранять угрозы, что открывает путь к успешным атакам злоумышленников. Одним из ключевых факторов сложившейся ситуации стало уменьшение федерального финансирования. Национальный институт стандартов и технологий (NIST), ответственный за управление NVD, в 2024 году столкнулся с сокращением бюджета примерно на 12%, тогда как Агентство по кибербезопасности и безопасности инфраструктуры (CISA) прекратило ежегодное финансирование в размере 3,7 миллиона долларов. В ответ на это CISA запустила программу "Vulnrichment", направленную на расширение и децентрализацию анализа уязвимостей с привлечением сторонних организаций, что должно было разгрузить централизованную систему.
Несмотря на все усилия, ситуация остается напряженной. Несмотря на увеличение численности подрядчиков в NIST, в настоящее время в базе данных находится свыше 25 тысяч уязвимостей в ожидании обработки, что почти в 10 раз превышает предыдущий максимум в 2017 году. Такое накопление вызывает серьезные опасения, что систематически появляются новые уязвимости, которые остаются без должного внимания и анализа. Это напрямую повышает риски для пользователей — от частных лиц и малого бизнеса до критических институций вроде больниц и энергетических компаний. На практике это означает, что выходящие обновления безопасности и предупреждения о новых уязвимостях могут задерживаться на недели и даже месяцы, что предоставляет хакерам дополнительное окно для проведения атак.
Стремительный рост числа уязвимостей, превышающий 300 тысяч зарегистрированных CVE, отражает лишь часть реальной картины, поскольку многие известные, но неофициально идентифицированные уязвимости остаются вне публичного внимания. Это, в свою очередь, стимулирует компании более активно использовать коммерческие решения по управлению уязвимостями, предоставляемые такими игроками, как Qualys, Rapid7 или Tenable. Эти платформы предлагают собственные методы выявления и оценки угроз, часто интегрируя данные из нескольких источников и выдавая собственные рейтинги риска. Тем не менее не все компании способны позволить себе такие инструменты, особенно это касается стартапов и компаний с ограниченным бюджетом, что приводит к неравенству в уровне киберзащиты и увеличивает риски для всей цифровой экосистемы. На фоне замедления работы официальных систем другие государства и организации предпринимают попытки создать альтернативные решения.
Китай развивает собственные базы данных уязвимостей, однако их достоверность и прозрачность вызывают вопросы ввиду государственной цензуры. Европейский союз начал ускоренную разработку собственной базы и концепции распределенного международного реестра уязвимостей, что говорит о росте геополитической конкуренции в области кибербезопасности. Кроме того, проблематика уязвимостей поднимает вопросы ответственности разработчиков программного обеспечения. Долгие годы индустрия уклонялась от прямой ответственности за проблемы безопасности, прячась за юридическими условиями в лицензионных соглашениях, которые часто невозможно прочитать или понять целиком из-за огромного объема текста. Однако общество начинает требовать перемен: примеры масштабных сбоев, такие как авария из-за обновления CrowdStrike в 2024 году, когда миллионы компьютеров по всему миру вышли из строя, поднимают вопрос об ответственности и необходимости реформирования правового поля в сфере ПО.
Одна из предлагаемых мер — внедрение «программных деклараций» (Software Bill of Materials, S-BOM), которые будут предоставлять подробный состав компонентов ПО и помогать выявлять потенциально уязвимые участки. Это позволит организациям лучше управлять рисками и будет способствовать повышению прозрачности и ответственности среди поставщиков программного обеспечения. С ростом объемов данных и сложности анализа системы явно нуждаются в автоматизации. Искусственный интеллект рассматривается экспертами как перспективный инструмент для ускорения процесса идентификации и анализа уязвимостей. Тем не менее, технологии ИИ пока остаются несовершенными, и ошибочные данные в кибербезопасности могут привести к катастрофическим последствиям.
Поэтому на данный момент акцент ставится на стратегическую автоматизацию с высоким уровнем точности. Расслоение и фрагментация базы уязвимостей подчеркивают необходимость международного и межведомственного сотрудничества, а также стабильного финансирования со стороны государства. Без этого опасность расширения «цифровой темноты», когда организации остаются без доступа к актуальной информации о угрозах, может стать не только технической, но и экономической, политической проблемой. Переход к интегрированным, устойчивым и децентрализованным моделям управления информацией об уязвимостях напоминает исторический процесс развития интернета, который изначально контролировался отдельными национальными структурами и постепенно перешел к международному сотрудничеству и открытой модели управления. Аналогичные трансформации происходят и в сфере кибербезопасности, что способно обеспечить более широкий доступ к критическим данным и повысить уровень глобальной безопасности.
В итоге современный кризис в системе оповещения о киберугрозах — знак того, что устаревшие модели требуют обновления и адаптации к новым реалиям цифрового мира. Это вызов не только для государственных структур, но и для всего сообщества специалистов, разработчиков и пользователей, которые вместе должны строить надежную защиту от постоянно растущих и меняющихся угроз. Только совместные усилия и инновации в управлении информацией, финансировании и законодательстве помогут избежать катастрофических последствий и сохранить цифровую безопасность для всех.
