O ENISA δημιούργησε Ευρωπαϊκή Βάση Δεδομένων Ευπαθειών (European Vulnerability Database – EUVD),

Μια νέα σημαντική εξέλιξη για την ευρωπαϊκή κυβερνοασφάλεια ανακοίνωσε ο ENISA (European Union Agency for Cybersecurity) παρουσιάζοντας το EUVD – European Vulnerability Database, μια κεντρική πλατφόρμα για την καταγραφή αλλά και διαχείριση ευπαθειών στην ΕΕ που μπορείτε να δείτε εδώ https://euvd.enisa.europa.eu/

Ο Ευρωπαϊκός Οργανισμός την Κυβερνοασφάλεια (ENISA) έθεσε σε λειτουργία τη νέα Ευρωπαϊκή Βάση Δεδομένων Ευπαθειών (European Vulnerability Database – EUVD), στο πλαίσιο της εφαρμογής της Οδηγίας NIS2, με στόχο την ενίσχυση της ασφάλειας και της ανθεκτικότητας του ευρωπαϊκού ψηφιακού χώρου. Η βάση δεδομένων συγκεντρώνει αξιόπιστες και αξιοποιήσιμες πληροφορίες για ευπάθειες που επηρεάζουν προϊόντα και υπηρεσίες Τεχνολογιών Πληροφορικής και Επικοινωνιών, παρέχοντας στοιχεία για μέτρα μετριασμού κινδύνου και την κατάσταση εκμετάλλευσής τους.

Η Henna Virkkunen, Εκτελεστική Αντιπρόεδρος της Ευρωπαϊκής Επιτροπής για την Τεχνολογική Κυριαρχία, την Ασφάλεια και τη Δημοκρατία , δήλωσε: «Η Βάση Δεδομένων Ευπάθειας της ΕΕ αποτελεί ένα σημαντικό βήμα προς την ενίσχυση της ασφάλειας και της ανθεκτικότητας της Ευρώπης. Συγκεντρώνοντας πληροφορίες για ευπάθειες σχετικές με την αγορά της ΕΕ, αναβαθμίζουμε τα πρότυπα κυβερνοασφάλειας, επιτρέποντας τόσο στους ενδιαφερόμενους φορείς του ιδιωτικού όσο και του δημόσιου τομέα να προστατεύουν καλύτερα τους κοινόχρηστους ψηφιακούς μας χώρους με μεγαλύτερη αποτελεσματικότητα και αυτονομία».

Ο Juhan Lepassaar, Εκτελεστικός Διευθυντής του ENIS A, δήλωσε: «Ο ENISA επιτυγχάνει ένα ορόσημο με την εφαρμογή της απαίτησης βάσης δεδομένων για τρωτά σημεία από την Οδηγία NIS 2. Η ΕΕ είναι πλέον εξοπλισμένη με ένα απαραίτητο εργαλείο που έχει σχεδιαστεί για να βελτιώσει σημαντικά τη διαχείριση των τρωτών σημείων και των κινδύνων που σχετίζονται με αυτά. Η βάση δεδομένων διασφαλίζει διαφάνεια σε όλους τους χρήστες των προϊόντων και υπηρεσιών ΤΠΕ που επηρεάζονται και θα αποτελέσει μια αποτελεσματική πηγή πληροφοριών για την εύρεση μέτρων μετριασμού».

Γιατί μια Ευρωπαϊκή Βάση Δεδομένων για τα Τρωτά Σημεία;

Στόχος της EUVD είναι να διασφαλίσει υψηλό επίπεδο διασύνδεσης των δημόσια διαθέσιμων πληροφοριών που προέρχονται από πολλαπλές πηγές, όπως CSIRT, προμηθευτές, καθώς και υπάρχουσες βάσεις δεδομένων. Για την επίτευξη αυτού του στόχου, η πλατφόρμα βασίζεται σε μια ολιστική προσέγγιση. Ως διασυνδεδεμένη βάση δεδομένων, η EUVD επιτρέπει την καλύτερη ανάλυση και διευκολύνει τη συσχέτιση των τρωτών σημείων διευκολύνοντας το λογισμικό ανοιχτού κώδικα Vulnerability-Lookup, επιτρέποντας έτσι την βελτιωμένη διαχείριση των κινδύνων στον κυβερνοχώρο.

Η EUVD προσφέρει επομένως μια αξιόπιστη, πιο διαφανή και ευρύτερη πηγή πληροφοριών και βελτιώνει περαιτέρω την επίγνωση της κατάστασης, περιορίζοντας παράλληλα την έκθεση σε απειλές.

Σε ποιον απευθύνεται η EUVD;

Η βάση δεδομένων είναι προσβάσιμη στο ευρύ κοινό για την αναζήτηση πληροφοριών σχετικά με τρωτά σημεία που επηρεάζουν προϊόντα και υπηρεσίες πληροφορικής. Απευθύνεται επίσης σε προμηθευτές συστημάτων δικτύου και πληροφοριών και σε οντότητες που χρησιμοποιούν τις υπηρεσίες τους. Οι τεκμηριωμένες πληροφορίες στην EUVD απευθύνονται επίσης σε αρμόδιες εθνικές αρχές, όπως το δίκτυο CSIRT της ΕΕ, καθώς και σε ιδιωτικές εταιρείες και ερευνητές.

Πώς λειτουργεί;

Οι συγκεντρωτικές πληροφορίες της βάσης δεδομένων εμφανίζονται μέσω πινάκων ελέγχου. Η EUVD προσφέρει τρεις προβολές πίνακα ελέγχου: για κρίσιμα τρωτά σημεία, για τρωτά σημεία που έχουν υποστεί εκμετάλλευση και για τρωτά σημεία που συντονίζονται από την ΕΕ. Τα Συντονισμένα από την ΕΕ Τρωτά Σημεία παραθέτουν τα τρωτά σημεία που συντονίζονται από τις Ευρωπαϊκές Ομάδες CSIRT και περιλαμβάνουν τα μέλη του δικτύου των Ομάδων CSIRT της ΕΕ.

Οι πληροφορίες για τα τρωτά σημεία που συλλέγονται και αναφέρονται προέρχονται από βάσεις δεδομένων ανοιχτού κώδικα. Πρόσθετες πληροφορίες προστίθενται μέσω συμβουλών και ειδοποιήσεων που εκδίδονται από εθνικές ομάδες CSIRT, οδηγιών μετριασμού και ενημέρωσης κώδικα που δημοσιεύονται από προμηθευτές, μαζί με σημάνσεις για τρωτά σημεία που έχουν υποστεί εκμετάλλευση. Τα αρχεία δεδομένων EUVD ενδέχεται να περιλαμβάνουν:

• Μια περιγραφή της ευπάθειας·
• Προϊόντα ή υπηρεσίες ΤΠΕ που επηρεάζονται ή/και επηρεαζόμενες εκδόσεις, η σοβαρότητα της ευπάθειας και ο τρόπος με τον οποίο θα μπορούσε να αξιοποιηθεί·
• Πληροφορίες σχετικά με τις υπάρχουσες σχετικές διαθέσιμες ενημερώσεις κώδικα ή οδηγίες που παρέχονται από τις αρμόδιες αρχές, συμπεριλαμβανομένων των CSIRT, και απευθύνονται στους χρήστες σχετικά με τον τρόπο μετριασμού των κινδύνων.

Ο ρόλος του ENISA στο οικοσύστημα ευπάθειας

Για την εκπλήρωση των απαιτήσεων της οδηγίας NIS2, ο ENISA ξεκίνησε συνεργασία με διάφορους  οργανισμούς, συμπεριλαμβανομένου του προγράμματος CVE του MITRE . Ο ENISA βρίσκεται σε επαφή με το MITRE για να κατανοήσει τον αντίκτυπο και τα επόμενα βήματα μετά την ανακοίνωση σχετικά με τη χρηματοδότηση του Προγράμματος Κοινών Ευπαθειών και Ανοιγμάτων. Τα δεδομένα CVE, τα δεδομένα που παρέχονται από προμηθευτές ΤΠΕ που αποκαλύπτουν πληροφορίες για ευπάθειες μέσω συμβουλευτικών δελτίων και οι σχετικές πληροφορίες, όπως ο Κατάλογος Γνωστών Εκμεταλλευόμενων Ευπαθειών του CISA, μεταφέρονται αυτόματα στο EUVD. Αυτό θα επιτευχθεί επίσης με την υποστήριξη των κρατών μελών που έχουν θεσπίσει εθνικές πολιτικές Συντονισμένης Αποκάλυψης Ευπαθειών (CVD) και έχουν ορίσει ένα από τα CSIRT τους ως συντονιστή, καθιστώντας τελικά το EUVD μια αξιόπιστη πηγή για βελτιωμένη επίγνωση της κατάστασης στην ΕΕ.

Ως Αρχή Αριθμοδότησης CVE (CNA) , ο ENISA μπορεί να καταχωρεί τρωτά σημεία και να υποστηρίζει την αποκάλυψη τρωτών σημείων από τον Ιανουάριο του 2024, σε σχέση με:

• τρωτά σημεία σε προϊόντα πληροφορικής που ανακαλύφθηκαν από τις ίδιες τις CSIRT της ΕΕ· και
• τρωτά σημεία που αναφέρονται σε CSIRT της ΕΕ για συντονισμένη γνωστοποίηση, εφόσον δεν εμπίπτουν στο πεδίο εφαρμογής άλλης Αρχής Αριθμοδότησης CVE.

Ποια είναι η διαφορά μεταξύ της EUVD και της Ενιαίας Πλατφόρμας Αναφοράς CRA;

Η ειδοποίηση για τρωτά σημεία που έχουν υποστεί ενεργή εκμετάλλευση θα καταστεί υποχρεωτική για τους κατασκευαστές έως τον Σεπτέμβριο του 2026. Αυτή η διαδικασία ειδοποίησης θα ισχύει για τρωτά σημεία που επηρεάζουν προϊόντα υλικού και λογισμικού με ψηφιακά στοιχεία. Η Ενιαία Πλατφόρμα Αναφοράς (SRP) που προβλέπεται από τον  Νόμο για την Κυβερνοανθεκτικότητα (CRA) θα είναι το εργαλείο που θα χρησιμοποιείται για τον σκοπό αυτό. Είναι σημαντικό να επισημανθεί ότι η SRP διαφέρει, επομένως, από την EUVD που θεσπίζεται από την Οδηγία NIS2.

Τι ακολουθεί; 
Το 2025 θα αφιερωθεί στην περαιτέρω βελτίωση και ανάπτυξη της EUVD και όλων των σχετικών υπηρεσιών. Για τον σκοπό αυτό, ο ENISA θα συγκεντρώσει σχόλια.

Πληροφορίες για το πλαίσιο

 Coordinated Vulnerability Disclosure (CVD)  

Το CVD μπορεί να περιγραφεί ως ένα μοντέλο αποκάλυψης ευπαθειών που επιχειρεί να περιορίσει την απειλή εκμετάλλευσης ευπαθειών, διασφαλίζοντας ότι οι ευπάθειες αποκαλύπτονται στο κοινό αφού δοθεί στα υπεύθυνα μέρη επαρκής χρόνος για να αναπτύξουν μια επιδιόρθωση, μια ενημέρωση κώδικα ή να παράσχουν μέτρα μετριασμού.

Common Vulnerabilities and Exposures (CVE) Programme    

Η αποστολή του προγράμματος CVE είναι να εντοπίζει, να ορίζει και να καταγράφει δημόσια γνωστοποιημένα τρωτά σημεία στον κυβερνοχώρο. Υπάρχει ένα αρχείο CVE για κάθε τρωτό σημείο στον κατάλογο. Τα τρωτά σημεία ανακαλύπτονται, στη συνέχεια αντιστοιχίζονται και δημοσιεύονται από οργανισμούς από όλο τον κόσμο που έχουν συνεργαστεί με το Πρόγραμμα CVE. Οι εταίροι δημοσιεύουν αρχεία CVE για να κοινοποιούν συνεπείς περιγραφές των τρωτών σημείων. Οι επαγγελματίες της τεχνολογίας πληροφοριών και της κυβερνοασφάλειας χρησιμοποιούν τα αρχεία CVE για να διασφαλίσουν ότι συζητούν το ίδιο ζήτημα και για να συντονίσουν τις προσπάθειές τους για την ιεράρχηση και την αντιμετώπιση των τρωτών σημείων.

CVE Numbering Authorities (CNAs)

Οι CNA είναι οργανισμοί υπεύθυνοι για την τακτική εκχώρηση αναγνωριστικών CVE σε τρωτά σημεία, καθώς και για τη δημιουργία και δημοσίευση πληροφοριών σχετικά με την ευπάθεια στο σχετικό αρχείο CVE. Κάθε CNA έχει συγκεκριμένο πεδίο ευθύνης για τον εντοπισμό και τη δημοσίευση τρωτών σημείων. Ο ENISA είναι πλέον εξουσιοδοτημένος να εκχωρεί αναγνωριστικά CVE (CVE IDs) και να δημοσιεύει αρχεία CVE για τρωτά σημεία που ανακαλύπτονται από ή αναφέρονται σε CSIRT της ΕΕ, σύμφωνα με τους ειδικούς ρόλους συντονιστή τους.

Common Security Advisory Framework (CSAF)

Το CSAF είναι ένα πρότυπο για μηχαναγνώσιμες συμβουλές ασφαλείας. Μια τέτοια τυποποιημένη μορφή για την πρόσληψη πληροφοριών συμβουλών για ευπάθειες απλοποιεί τις διαδικασίες διαλογής και αποκατάστασης για τους κατόχους περιουσιακών στοιχείων. Δημοσιεύοντας συμβουλές ασφαλείας χρησιμοποιώντας το CSAF, οι προμηθευτές θα μειώσουν τον χρόνο που απαιτείται για τις επιχειρήσεις για να κατανοήσουν τον οργανωτικό αντίκτυπο και να προωθήσουν την έγκαιρη αποκατάσταση.