De Verenigde Staten stonden op het punt zich terug te trekken uit een van de belang­rijkste funda­menten van wereld­wijde cyber­se­cu­rity: de finan­cie­ring van de CVE-database. Hoewel de VS inmid­dels hebben ingestemd met een tijde­lijke verlen­ging van elf maanden, blijft het onder­lig­gende signaal onver­an­derd. Voor Europa is dit opnieuw een geopo­li­tieke wake-upcall. Want stel dat de Ameri­kanen er daarna wél de stekker uittrekken, hoe zorgen we dan voor een oplos­sing, en belang­rijker nog: hoe nemen we als Europa einde­lijk zelf de regie?

Enorme afhankelijkheid

Overheden, softwa­re­le­ve­ran­ciers, securi­ty­be­drijven en CERT’s overal ter wereld vertrouwen op CVE-nummers als dé standaard om kwets­baar­heden te beheren. Zonder die referentie weet niemand meer wat écht urgent is, waar de grootste risico’s zitten of wat je als eerste moet patchen.

“En toch: al sinds 1999 draait vrijwel alles achter de schermen op Ameri­kaanse kosten”, benadrukt Jort Kollerie, strategic advisor bij Orange Cyber­de­fense. “In totaal is er zo’n 75 tot 125 miljoen dollar in gestoken in 25 jaar tijd. Een relatief klein bedrag, als je bedenkt hoeveel de wereld er dagelijks op bouwt.”

Publieke data geeft geen garanties

De gegevens uit de CVE-database zijn groten­deels openbaar. “Maar dat betekent nog niet dat je het beheer zomaar ergens anders onder­brengt”, legt Kollerie uit. “Achter de database schuilt een complex systeem van duizenden CVE Numbe­ring Autho­ri­ties (CNA’s) en vaste inter­na­ti­o­nale afspraken. Dit netwerk is gebaseerd op jaren­lange samen­wer­king en een stevige reputatie als neutrale partij.” Boven­dien kan de Ameri­kaanse overheid de overdracht van data vertragen of blokkeren als onder­deel van bredere geopo­li­tieke druk. Kortom: dit is niet zomaar een technisch project, maar een strate­gisch én diplo­ma­tiek dossier.

Wie het beheer wil voort­zetten, moet ook meer in huis hebben dan alleen toegang tot de data. Het vereist een stevige techni­sche infra­struc­tuur, ervaren mensen, een centraal coördi­na­tie­punt en het vertrouwen van inter­na­ti­o­nale softwa­re­le­ve­ran­ciers, securi­ty­be­drijven en CERT’s.

Kollerie: “Een Europees alter­na­tief is mogelijk. Dat lukt alleen met een stevige voorbe­rei­ding en uitvoe­ring. Als we echt werk willen maken van digitale autonomie, zullen we niet langer alleen maar moeten roepen om meer grip op cyber­se­cu­rity, maar ook bereid zijn om zelf flink te inves­teren in mensen, middelen en verantwoordelijkheid.”

Wat is er nodig voor een Europees alternatief?

De CVE-database wordt beheerd door MITRE, een onafhan­ke­lijke Ameri­kaanse non-profit­or­ga­ni­satie. Een Europees initi­a­tief is geen simpele kopie van wat zij doen. Het vraagt om politieke daadkracht, lange­ter­mijn­in­ves­te­ringen en vooral: vertrouwen vanuit de inter­na­ti­o­nale securi­ty­ge­meen­schap. Een succes­volle voort­zet­ting van de CVE-functie in Europa vereist volgens Kollerie onder meer de volgende bouwstenen:

1. Een Europese beheerorganisatie met mandaat en gezag

Er moet een centrale instantie worden aange­wezen die de dagelijkse operatie coördi­neert, verge­lijk­baar met de rol van MITRE. ENISA (het Europees Agent­schap voor Cyber­se­cu­rity) ligt voor de hand vanwege haar bestaande rol in Europese cyber­se­cu­rity-coördi­natie. Die rol moet worden uitge­breid met een formeel mandaat en voldoende capaci­teit, zowel technisch, organi­sa­to­risch als juridisch. Dit orgaan moet kunnen optreden als neutrale partij tussen lidstaten, bedrijven en onderzoekers.

2. Een robuust netwerk van CNA’s binnen Europa

CVE-nummers worden wereld­wijd uitge­geven door CVE Numbe­ring Autho­ri­ties (CNA’s): organi­sa­ties die meldingen verifi­ëren en publi­ceren. Europa heeft al enkele CNA’s, maar dat netwerk is incom­pleet en versnip­perd. We moeten toewerken naar een repre­sen­ta­tief, goed georga­ni­seerd netwerk van natio­nale CERTs, leveran­ciers en onder­zoeks­in­stel­lingen die als CNA kunnen optreden. Dat vraagt om standaarden, proce­dures en onder­linge afstemming.

3. Heldere governance-afspraken over eigenaarschap en transparantie

Een database voor kwets­baar­heden moet wereld­wijd vertrouwen genieten. Dat lukt alleen met volle­dige trans­pa­rantie over hoe kwets­baar­heden worden gevali­deerd, toege­wezen en gepubli­ceerd. Gover­nance betekent ook: wie beheert de data? Welke criteria gelden voor opname? Hoe voorkomen we politieke beïnvloe­ding of vertra­ging? Zonder duide­lijk en inter­na­ti­o­naal gedragen regels zullen leveran­ciers en CERT’s buiten Europa afhaken.

4. Een technische infrastructuur die schaalbaar en betrouwbaar is

De bestaande MITRE-infra­struc­tuur verwerkt tiendui­zenden meldingen per jaar. Europa zal zelf een platform moeten bouwen voor intake, verifi­catie, numme­ring en publi­catie van de kwets­baar­heden. Dat moet veilig, snel en schaal­baar zijn, met open inter­faces zodat leveran­ciers en andere stake­hol­ders snel updates kunnen integreren in hun tooling en producten.

5. Structurele financiering vanuit EU-niveau en/​of lidstaten

De kosten voor MITRE’s beheer van CVE bedragen naar schat­ting slechts 3 tot 5 miljoen dollar per jaar. Toch is ad-hoc finan­cie­ring geen optie. Er moet een struc­tu­reel budget komen, zodat het beheer stabiel, onafhan­ke­lijk en profes­si­o­neel kan worden ingericht. Europese finan­cie­ring via de EU-begro­ting ligt voor de hand, eventueel aange­vuld met bijdragen van lidstaten of publieke-private samen­wer­kingen met leveranciers.

6. Toegang tot de bestaande database en kennisinfrastructuur

Hoewel CVE-gegevens groten­deels openbaar zijn, zijn de bijbe­ho­rende tools, processen en netwerken dat niet. Een Europese beheerder moet ofwel formele afspraken maken met MITRE over datatoe­gang en overdracht, of op basis van de publieke data een eigen struc­tuur opnieuw bouwen. Dat laatste kost tijd en vergroot de kans op incon­sis­tentie. Zonder samen­wer­king met MITRE of de Ameri­kaanse overheid dreigt een dubbele admini­stratie, of erger: inter­na­ti­o­nale desin­te­gratie van het systeem.

Er zijn in Europa wel al eerste stappen gezet. Zo heeft ENISA inmid­dels de European Vulne­ra­bi­lity Database (EUVD) gelan­ceerd, een eigen openbare database voor kwets­baar­heden. De database bevindt zich nog in bèta en is zeker nog geen volwaardig alter­na­tief voor CVE. Toch laat Europa hiermee wel zien dat er een politiek en strate­gisch besef is ontstaan waar digitale veilig­heid niet alleen afhan­ke­lijk mag zijn van de Ameri­kaanse infra­struc­tuur. Echter zit er nog een flinke kloof tussen besef en een volwassen alter­na­tief. En die moet volgens Kollerie nu snel overbrugd worden.

Europa in actie

“De acties van de VS laten zien dat onze digitale infra­struc­tuur kwets­baar is, hoe betrouw­baar dat land tot nu toe ook is geweest”, vindt Kollerie. “Als we als Europa serieus werk willen maken van digitale soeve­rei­ni­teit, dan begint dat hier. Door niet langer gebruik te maken van de Ameri­kaanse goodwill, maar wel door zelf het heft in handen te nemen.”