MITRE alerta para possível encerramento do programa CVE com fim de contrato com o governo dos EUA

A MITRE Corporation anunciou nesta terça-feira que sua gestão do programa CVE — responsável por catalogar publicamente as vulnerabilidades de cibersegurança — pode estar chegando ao fim ainda nesta semana. O motivo seria a decisão do governo federal dos EUA de não renovar o contrato com a organização sem fins lucrativos.

Yosry Barsoum, vice-presidente da MITRE e diretor do Centro para a Segurança Nacional, afirmou ao portal Recorded Future News que o financiamento para desenvolver, operar e modernizar o programa CVE, bem como projetos relacionados como o CWE (Common Weakness Enumeration), se encerrará na quarta-feira, 16 de abril.

Um porta-voz da MITRE confirmou que, com o término do contrato, não será mais possível adicionar novas vulnerabilidades ao banco de dados CVE, e o site oficial será eventualmente desativado. No entanto, os registros históricos continuarão disponíveis no GitHub.

O programa CVE (Common Vulnerabilities and Exposures) é um dos pilares centrais da cibersegurança global, utilizado por fornecedores de segurança, governos e operadores de infraestrutura crítica para identificar e tratar falhas de segurança.

Barsoum destacou que o governo continua tentando viabilizar a continuidade do papel da MITRE no projeto e que a organização permanece comprometida com o CVE como um recurso global. A MITRE tem dialogado com representantes do Departamento de Segurança Interna (DHS) nas últimas semanas para tentar encontrar uma solução que mantenha o programa em operação.

Criado em 1999, o programa CVE sempre foi mantido pela MITRE com apoio financeiro da divisão de segurança cibernética da CISA (Agência de Segurança Cibernética e Infraestrutura), vinculada ao DHS. Em comunicado, a CISA reconheceu ser a principal patrocinadora do projeto e afirmou estar trabalhando urgentemente para mitigar os impactos da interrupção e manter os serviços do CVE.

A CISA, no entanto, não respondeu a perguntas sobre os motivos para o fim do contrato, o futuro do site do CVE e se outro fornecedor assumirá a função desempenhada pela MITRE. Em uma carta enviada ao conselho do CVE, Barsoum alertou para possíveis impactos, incluindo o enfraquecimento de bancos de dados nacionais de vulnerabilidades, ferramentas de segurança, operações de resposta a incidentes e infraestrutura crítica.

Membros do conselho do CVE — que inclui representantes do governo e grandes empresas de tecnologia — não responderam aos pedidos de comentário. Uma fonte anônima da MITRE revelou que o DHS e a CISA estão permitindo que diversos contratos relacionados à cibersegurança expirem. No mês anterior, a CISA já havia anunciado o corte de verbas para o MS-ISAC e o Election ISAC, entidades fundamentais na proteção de organizações críticas nos EUA.

Reconhecida como uma das instituições mais respeitadas na área de cibersegurança, a MITRE presta suporte a diversas agências federais nas áreas de defesa, saúde, aviação e muito mais. Especialistas se mostraram alarmados com a possível descontinuidade do programa CVE. Casey Ellis, fundador da empresa Bugcrowd, destacou que o CVE é essencial para a gestão de vulnerabilidades, resposta a incidentes e proteção de infraestruturas críticas. “Uma interrupção abrupta desses serviços pode rapidamente se transformar em um problema de segurança nacional,” alertou.

Via - RFN