Агентство Європейського Союзу з питань кібербезпеки (ENISA) розробило Європейську базу даних вразливостей (EUVD), як це передбачено Директивою NIS2. Сервіс EUVD, який підтримується ENISA, тепер працює.
База даних надає агреговану, надійну та дієву інформацію, таку як заходи щодо пом’якшення та статус експлуатації вразливостей у сфері кібербезпеки, що впливають на продукти та послуги інформаційно-комунікаційних технологій (ІКТ).
Хенна Вірккунен, виконавчий віцепрезидент Європейської Комісії з питань технологічного суверенітету, безпеки та демократії, зазначила: «Європейська база даних вразливостей – це важливий крок до зміцнення безпеки та стійкості Європи. Об’єднуючи інформацію про вразливості, релевантну для ринку ЄС, ми підвищуємо стандарти кібербезпеки, дозволяючи як приватному, так і державному сектору краще захищати наші спільні цифрові простори з більшою ефективністю та автономією».
Юхан Лепассаар, виконавчий директор ENISA, заявив: «ENISA досягла важливого етапу, реалізувавши вимогу щодо бази даних вразливостей, передбачену Директивою NIS2. ЄС тепер оснащений важливим інструментом, призначеним для значного покращення управління вразливостями та пов’язаними з ними ризиками. База даних забезпечує прозорість для всіх користувачів уражених ІКТ-продуктів і послуг та стане ефективним джерелом інформації для пошуку заходів пом’якшення».
Чому потрібна Європейська база даних вразливостей?
Метою EUVD є забезпечення високого рівня взаємозв’язку загальнодоступної інформації з різних джерел, таких як CSIRTs, постачальники та існуючі бази даних. Для досягнення цієї мети платформа використовує цілісний підхід. Як взаємопов’язана база даних, EUVD дозволяє проводити кращий аналіз і сприяє кореляції вразливостей, використовуючи програмне забезпечення з відкритим кодом Vulnerability-Lookup, що сприяє покращенню управління ризиками кібербезпеки.
EUVD пропонує надійне, прозоріше та ширше джерело інформації, а також покращує ситуаційну обізнаність, обмежуючи вплив загроз.
Для кого призначена EUVD?
База даних доступна широкому загалу для ознайомлення з інформацією про вразливості, що впливають на ІТ-продукти та послуги. Вона також адресована постачальникам мережевих та інформаційних систем, а також організаціям, які використовують їхні послуги. Документована інформація в EUVD також призначена для компетентних національних органів, таких як мережа CSIRTs ЄС, а також для приватних компаній і дослідників.
Як це працює?
Агрегована інформація бази даних відображається через інформаційні панелі. EUVD пропонує три перегляди інформаційних панелей: для критичних вразливостей, для експлуатованих вразливостей та для координованих у ЄС. Список координованих вразливостей ЄС включає вразливості, що координуються європейськими CSIRTs, та членів мережі CSIRTs ЄС.
Зібрана та задокументована інформація про вразливості походить із баз даних із відкритим кодом. Додаткова інформація додається через рекомендації та попередження, видані національними CSIRTs, настанови щодо виправлення та патчів, опубліковані постачальниками, а також позначки про експлуатовані вразливості. Дані EUVD можуть включати:
- Опис вразливості;
- Уражені ІКТ-продукти або послуги та/або їхні версії, ступінь серйозності вразливості та способи її експлуатації;
- Інформацію про наявні патчі або рекомендації від компетентних органів, включаючи CSIRTs, для користувачів щодо пом’якшення ризиків.
Роль ENISA в екосистемі вразливостей
Для виконання вимог Директиви NIS2 ENISA розпочала співпрацю з різними організаціями ЄС та міжнародними організаціями, включаючи програму CVE від MITRE. ENISA контактує з MITRE, щоб зрозуміти вплив та подальші кроки після оголошення про фінансування програми Common Vulnerabilities and Exposures. Дані CVE, дані, надані постачальниками ІКТ, що розкривають інформацію про вразливості через рекомендації, а також відповідна інформація, така як каталог відомих експлуатованих вразливостей CISA, автоматично передаються до EUVD. Це також буде досягнуто за підтримки держав-членів, які встановили національні політики координованого розкриття вразливостей (CVD) і призначили один зі своїх CSIRTs координатором, що врешті зробить EUVD надійним джерелом для підвищення ситуаційної обізнаності в ЄС.
Як орган із присвоєння номерів CVE (CNA), ENISA може реєструвати вразливості та підтримувати їх розкриття з січня 2024 року щодо:
- вразливостей в ІТ-продуктах, виявлених самими CSIRTs ЄС;
- вразливостей, повідомлених CSIRTs ЄС для координованого розкриття, якщо вони не входять до сфери іншого органу з присвоєння номерів CVE.
Яка різниця між EUVD та платформою єдиного звітування CRA?
Повідомлення про активно експлуатовані вразливості стане обов’язковим для виробників із вересня 2026 року. Цей процес повідомлення застосовуватиметься до вразливостей, що впливають на апаратне та програмне забезпечення з цифровими елементами. Платформа єдиного звітування (SRP), передбачена Законом про кіберстійкість (CRA), буде інструментом для цієї мети. Важливо підкреслити, що SRP відрізняється від EUVD, створеної за Директивою NIS2.
Що далі?
2025 рік буде присвячений подальшому вдосконаленню та розвитку EUVD і всіх пов’язаних із нею сервісів. Для цього ENISA збиратиме відгуки.
Додаткова інформація
Координоване розкриття вразливостей (CVD)
CVD можна описати як модель розкриття вразливостей, яка намагається обмежити загрозу їх експлуатації, забезпечуючи розкриття вразливостей для громадськості після того, як відповідальні сторони отримали достатньо часу для розробки виправлення, патчу або надання заходів пом’якшення.
Програма Common Vulnerabilities and Exposures (CVE)
Місія програми CVE полягає в ідентифікації, визначенні та каталогізації публічно розкритих вразливостей у сфері кібербезпеки. Для кожної вразливості існує один запис CVE. Вразливості виявляються, а потім призначаються та публікуються організаціями з усього світу, які співпрацюють із програмою CVE. Партнери публікують записи CVE для передачі узгоджених описів вразливостей. Фахівці з інформаційних технологій та кібербезпеки використовують записи CVE, щоб переконатися, що вони обговорюють одну й ту саму проблему, і координувати свої зусилля для визначення пріоритетів та усунення вразливостей.
Органи з присвоєння номерів CVE (CNAs)
CNAs – це організації, відповідальні за регулярне присвоєння ідентифікаторів CVE вразливостям, а також за створення та публікацію інформації про вразливість у відповідному записі CVE. Кожен CNA має певну сферу відповідальності за ідентифікацію та публікацію вразливостей. ENISA тепер уповноважена присвоювати ідентифікатори CVE (CVE IDs) і публікувати записи CVE для вразливостей, виявлених або повідомлених CSIRTs ЄС, відповідно до їхніх ролей координаторів.
Common Security Advisory Framework (CSAF)
CSAF – це стандарт для машинозчитуваних рекомендацій із безпеки. Такий стандартизований формат для отримання інформації про рекомендації щодо вразливостей спрощує процеси класифікації та виправлення для власників активів. Публікуючи рекомендації з безпеки за допомогою CSAF, постачальники скоротять час, необхідний підприємствам для розуміння організаційного впливу та забезпечення своєчасного виправлення.
Сайт EU Vulnerability Database
За інформацією ENISA - Press Release May 13,2025