La gestione delle vulnerabilità, elemento chiave della sicurezza informatica, ha vissuto un momento cruciale il 16 aprile 2025, influenzando profondamente il panorama del settore.
L’annuncio shock di Mitre, che ha dichiarato la cessazione dei finanziamenti governativi statunitensi per il programma delle CVE (Common Vulnerabilities and Exposures), ha gettato nel caos il settore e ha acceso un dibattito rovente, per capire chi debba farsi carico della gestione delle vulnerabilità in un mondo globalizzato e incerto come quello in cui ci troviamo.
Indice degli argomenti
Gestione CVE: la cronologia degli eventi
La risposta a questa domanda, però, non è così semplice e ha implicazioni profonde per la sicurezza informatica globale soprattutto delle infrastrutture critiche dei Paesi.
Attualmente siamo di fronte a un ecosistema globale in rapida evoluzione che richiede una gestione adeguata delle vulnerabilità soprattutto nel contesto europeo, al fine di evitare una dipendenza completa dalle infrastrutture statunitensi.
L’impatto di questa scelta sarà cruciale e obbligherà i professionisti e le istituzioni ad interrogarsi sul futuro dell’ecosistema delle vulnerabilità, non dando più nulla per scontato soprattutto a fronte delle politiche globali degli stati.
Ecco la cronologia degli eventi:
- febbraio 2025: si teme che il contratto CVE di Mitre non venga rinnovato;
- 10 aprile: MITRE annuncia la fine dei finanziamenti per CVE e CWE dal 16 aprile;
- 16 aprile a mezzanotte: il programma CVE cessa le operazioni. Mitre interrompe l’emissione di nuovi CVE;
- 16 aprile: l’UE lancia GCVE.eu, una banca dati distribuita;
- 16 aprile: CISA prolunga temporaneamente i finanziamenti NVD.
- 23 aprile : CISA, nella figura di Matt Hartman, dichiara in un comunicato stampa di essere impegnata a sostenere e migliorare il programma CVE.
Problematiche legate ai finanziamenti governativi extra UE
La dipendenza da finanziamenti governativi extra europei, come nel caso del programma delle CVE gestito da Mitre, presenta numerose criticità. Innanzitutto, le dinamiche politiche globali possono influenzare in modo significativo la continuità e l’efficacia di tali programmi.
La decisione iniziale della Cybersecurity and Infrastructure Security Agency (CISA) del governo statunitense di non rinnovare il contratto con la Mitre Corporation e interrompere così i finanziamenti ne è un esempio lampante.
A fronte del possibile impatto globale di non assicurare la continuità operativa del programma CVE (Common Vulnerabilities and Exposures), CISA è intervenuta successivamente estendendo nuovamente il finanziamento ed evitando così l’interruzione di uno dei pilastri fondamentali della sicurezza informatica globale.
Questa instabilità mette in pericolo, però, la capacità delle istituzioni di pianificare e gestire piani di vulnerability management efficaci con rischi concreti di rilevanza nazionale.
Le dinamiche politiche globali, la sovranità e l’autonomia nella gestione delle vulnerabilità
Le dinamiche politiche globali hanno un impatto diretto sulla gestione delle vulnerabilità informatiche. Con l’aumento delle tensioni geopolitiche, la sicurezza informatica assume un ruolo strategico rilevante.
La gestione delle CVE, se influenzata da finanziamenti governativi di Paesi non europei, può essere strumentalizzata come leva politica, causando potenziali interruzioni dei fondi che mettono a rischio la sicurezza delle infrastrutture critiche.
La gestione delle vulnerabilità all’interno del perimetro europeo riveste una rilevanza cruciale. La sovranità nella gestione delle CVE assicura che le politiche di sicurezza informatica siano libere da influenze politiche esterne, permettendo alle aziende europee di operare in un contesto più stabile e prevedibile, essenziale per garantire una sicurezza resiliente.
L’importanza della gestione europea delle CVE
La gestione delle vulnerabilità all’interno del perimetro europeo non solo offre maggiore stabilità, ma anche una migliore adattabilità alle specifiche esigenze del contesto europeo.
Le specificità del contesto europeo
Il contesto europeo presenta particolarità uniche in termini di regolamentazione, infrastrutture e minacce informatiche. Le diverse normative presenti nei vari Paesi membri dell’Unione Europea richiedono un approccio armonizzato ma allo stesso tempo flessibile, in grado di adattarsi alle peculiarità locali.
Inoltre, le infrastrutture, che spaziano da quelle altamente tecnologiche a quelle ancora in fase di sviluppo, necessitano di strategie di gestione delle vulnerabilità che siano tanto diversificate quanto efficaci.
La gestione delle vulnerabilità deve quindi essere adattata a queste specificità, garantendo non solo una difesa robusta contro le minacce esistenti ma anche la capacità di risposta rapida ed efficace alle minacce emergenti. Ciò implica l’adozione di tecnologie all’avanguardia, la condivisione di informazioni in tempo reale tra gli Stati membri, e la formazione continua degli operatori del settore.
Il bivio
Siamo di fronte ad un bivio: da un lato, la necessità di una gestione centralizzata europea che possa migliorare significativamente la resilienza delle infrastrutture europee, centralizzando così anche la responsabilità; dall’altro, l’opzione di una gestione distribuita supportata da una coalizione internazionale che possa sfruttare l’esperienza della comunità che già definiscono le migliori pratiche e standard.
Richard Clarke, ex consigliere per la sicurezza nazionale degli Stati Uniti, ha affermato: “Non possiamo pensare alla sicurezza informatica come un problema di tecnologia, è un problema di politica“. E mai fu così vera questa affermazione in questo contesto.
La stabilità e la continuità del programma CVE
Dopo aver reso pubblico l’annuncio, il governo statunitense ha ripristinato i fondi destinati al programma CVE. Ma bisognas capire per quanto tempo sarà possibile. Il loro comunicato stampa rassicura che la CISA è attivamente impegnata nel sostenere questo programma cruciale per la sicurezza informatica globale.
Tuttavia, questa incertezza sottolinea l’urgenza di agire prontamente per garantire la continuità e il miglioramento di un programma che permette alle aziende di pianificare e gestire piani di gestione delle vulnerabilità in modo efficace.
Il rischio futuro di ritrovarsi allo sbando, come accadeva in passato, è troppo elevato per essere ignorato.
È ora di compiere un salto quantico verso un rinnovamento che assicuri una gestione robusta e affidabile delle vulnerabilità, fondamentale per la protezione delle infrastrutture critiche e per la sicurezza delle informazioni sensibili a livello globale.
L’approccio di Owasp
L’associazione Owasp (Open Worldwide Application Security Project) ha recentemente espresso preoccupazioni riguardo all’efficacia del programma CVE e alla sostenibilità del ruolo del governo degli Stati Uniti nella gestione del più grande database di vulnerabilità al mondo.
Il programma CVE, gestito da MITRE, è stato fondamentale per identificare, definire e catalogare le vulnerabilità di sicurezza informatica pubblicamente divulgate. Tuttavia, con l’evoluzione rapida del panorama delle minacce globali e l’aumento dell’uso di software open source, il programma CVE e il National Vulnerability Database (NVD) stanno faticando a soddisfare le esigenze di un ecosistema sempre più complesso.
In risposta a queste sfide, Owasp ha lanciato l’iniziativa “Unified Framework for Global Vulnerability Intelligence”, che mira a esplorare un modello federato per l’identificazione delle vulnerabilità.
Questo approccio decentralizzato coinvolge una coalizione internazionale di esperti e stakeholder, con l’obiettivo di superare le limitazioni dei sistemi centralizzati e fornire soluzioni che possano scalare con la complessità degli ecosistemi software moderni.
La lettera dei CISO a Enisa
Un approccio complementare lo hanno proposto numerosi Chief Information Security Officers (CISO), in collaborazione con collettivi di settore, si sono uniti scrivendo una lettera aperta all’organizzazione Enisa, dichiarando piena disponibilità a collaborare con la stessa e Mitre.
Questa iniziativa è un chiaro segnale della volontà di avere una gestione più resiliente e che possa tenere in considerazione del periodo storico in cui la sicurezza informatica si deve muovere e adattare per poter supportare le infrastrutture.
Il testo in italiano dell’open letter
Oggetto: Lettera aperta all’Enisa – Assicurare la continuità europea e la governance del programma CVE.
All’attenzione della Direzione dell’Enisa e del team Euvd
Gentile Direzione Enisa e Team EUVD,
in qualità di rappresentanti di varie comunità Ciso italiane, vorremmo esprimere la nostra sincera preoccupazione per il futuro del programma CVE (Common Vulnerabilities and Exposures), come indicato nella recente comunicazione di MITRE.
Il programma CVE è da tempo una pietra miliare per l’identificazione, il monitoraggio e la risposta coordinata delle vulnerabilità a livello globale. Qualsiasi interruzione di questo servizio avrebbe un impatto significativo sulla sicurezza informatica europea, con ripercussioni sui database nazionali delle vulnerabilità, sui fornitori di strumenti, sulle squadre di risposta agli incidenti e sulla protezione delle infrastrutture critiche, riducendo potenzialmente la nostra capacità collettiva di rispondere in modo efficace.
Il recente annuncio della costituzione della CVE Foundation – in risposta alla fine della sponsorizzazione governativa statunitense – rappresenta un momento importante per la comunità globale della sicurezza informatica. Per 25 anni, il programma CVE è stato il pilastro della gestione delle vulnerabilità, ma il suo futuro beneficerebbe di un più ampio sostegno internazionale.
Invitiamo rispettosamente l’Enisa a prendere in considerazione l’assunzione di un ruolo di coordinamento europeo – almeno temporaneo – per sviluppare un sistema alternativo europeo che preservi i dati CVE esistenti, garantendo al contempo la continuità di questi servizi essenziali, magari attraverso l’integrazione e l’ulteriore sviluppo della piattaforma EUVD attualmente in fase beta. Ciò rappresenterebbe un’alternativa affidabile, che eviterebbe future interruzioni del servizio e garantirebbe all’Europa una governance indipendente su una capacità di importanza così critica.
L’invito all’Enisa
Chiediamo cortesemente all’Enisa di contribuire a salvaguardare l’attuale ecosistema CVE e, avvalendosi delle competenze interdisciplinari delle associazioni sottoscritte, di esplorare possibili miglioramenti del sistema a beneficio dell’intera comunità europea.
Raccomandiamo inoltre che l’Enisa stabilisca un contatto diretto con il Mitre per esplorare le possibilità di collaborazione e supporto, contribuendo a garantire che l’Europa rimanga un partner attivo e affidabile nell’ecosistema globale di gestione delle vulnerabilità.
In qualità di Ciso e di membri delle principali associazioni italiane di cyber security, dichiariamo la nostra piena disponibilità a supportare Enisa e Mitre in qualsiasi veste tecnica, operativa o di advocacy.
Riteniamo che l’Europa abbia l’opportunità di adottare misure proattive per salvaguardare la propria resilienza digitale ed evitare la frammentazione. Ciò si allinea strettamente con i continui miglioramenti della solidità e della resilienza informatica promossi da molteplici direttive e regolamenti europei.
Siamo pronti a partecipare a qualsiasi gruppo di lavoro, task force o iniziativa che l’ENISA vorrà attivare su questo tema urgente.
Questo rappresenta un momento importante per la sicurezza informatica europea: una risposta coordinata rafforzerà la nostra resilienza collettiva e creerà un precedente positivo per la cooperazione internazionale.
Attendiamo la vostra risposta e restiamo a vostra disposizione per ulteriori discussioni.
Cordiali saluti,
Andrea Succi, creator of this initiative, on behalf of 45 Italian CISOs (or similar profiles) and of CISOs4A
Luca Moroni on behalf of CSA Cyber Security Angels
Alessandro Oteri on behalf PensieroSicuro Network.
Le richieste dei Ciso nella gestione delle CVE
Nella lettera, i CISO sottolineano l’importanza di creare un programma europeo di gestione delle CVE, indipendente dalle influenze politiche esterne.
I benefici di una tale iniziativa includono una maggiore sicurezza delle infrastrutture critiche, una miglior coordinazione tra i vari attori della sicurezza informatica e una risposta più rapida ed efficace alle minacce emergenti.
Il ruolo di Enisa
Enisa, l’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione, è chiamata a svolgere un ruolo centrale in questa transizione verso una gestione più autonoma delle vulnerabilità.
La lettera aperta indirizzata a Enisa sottolinea l’importanza di una leadership forte e determinata nella gestione delle CVE, che garantisca la continuità e l’efficacia del programma.
Questa iniziativa, se intrapresa da Enisa, potrebbe rappresentare un punto di svolta significativo per la sicurezza informatica europea. Oltre a garantire una maggiore protezione delle infrastrutture critiche, permetterebbe una miglior coordinazione tra i vari attori della sicurezza informatica, favorendo una risposta più rapida ed efficace alle minacce emergenti.
Enisa potrebbe quindi diventare il fulcro di una rete di collaborazione internazionale, capace di adattarsi dinamicamente ai cambiamenti del panorama globale della sicurezza informatica.
Prospettive future
La decisione di Cisa di rinnovare la collaborazione con Mitre per il programma CVE garantisce la continuità dei servizi essenziali di catalogazione delle vulnerabilità.
Come riportato, Cisa ha riconfermato i fondi necessari per evitare qualsiasi interruzione critica. Tuttavia, questo rinnovo non elimina del tutto i rischi di potenziali blocchi futuri.
È quindi imperativo che l’Europa si muova proattivamente nel panorama della sicurezza informatica, adottando misure che possano garantire una maggiore autonomia e resilienza operativa.
La recente comunicazione di Mitre e le problematiche legate ai finanziamenti governativi extra europei evidenziano la necessità di una gestione diversa delle vulnerabilità che possa tenere conto del contesto internazionale in cui la sicurezza informatica si sta evolvendo.
La sovranità nella gestione delle CVE è essenziale per garantire la sicurezza delle infrastrutture critiche e per rispondere in modo rapido ed efficace alle minacce informatiche.
La sicurezza informatica europea può diventare un esempio di resilienza e indipendenza, se supportata da una gestione differente che possa garantire stabilità e resilienza nella gestione delle vulnerabilità.
In un mondo in cui le minacce informatiche sono in continua evoluzione, è essenziale che l’Europa si doti di strumenti autonomi e resilienti.
Un’azione decisa e lungimirante potrebbe trasformare il panorama della sicurezza informatica europea, creando una rete di collaborazione internazionale capace di adattarsi dinamicamente ai cambiamenti globali.
L’interrogativo da porsi è se l’Europa riuscirà a liberarsi dalla sua dipendenza dalle realtà straniere per la sicurezza informatica o se dovremo aspettare che una catastrofe ci spinga finalmente a prendere il controllo del nostro destino digitale.
Solo il tempo lo dirà, ma una cosa è certa: l’inerzia non è più un’opzione.
