L’annuncio di un consorzio per rafforzare la NVD suscita dubbi tra gli esperti in materia di cyber sicurezza.
La National Vulnerability Database (NVD), il riferimento globale per la segnalazione delle vulnerabilità informatiche, sta attraversando una fase critica che mette a rischio l’efficacia della cyber security mondiale. Tanya Brewer, responsabile del programma NVD presso il National Institute of Standards and Technology (NIST), ha recentemente affermato che la creazione di un consorzio esterno potrebbe portare significativi miglioramenti al servizio. Tuttavia, questa soluzione è stata immediatamente oggetto di critica da parte di alcuni esperti di sicurezza informatica che temono ritardi nell’operatività del database, essenziale per identificare e correggere le vulnerabilità informatiche tempestivamente.
Dal febbraio scorso, la NVD ha cessato di fornire dati chiave, un cambiamento che ha limitato la capacità dei professionisti IT di gestire efficacemente le minacce informatiche. Le modifiche previste nel prossimo futuro, including alerts personalizzabili e nuovi tipi di dati, oltre allo sviluppo di un sistema per automatizzare parzialmente le analisi delle Common Vulnerability and Exposures (CVE), sono sicuramente promettenti ma richiedono tempo per essere implementate.
Il calo di attività della database è stato attribuito da Brewer a una serie di fattori tra cui incrementi nel volume dei dati e tagli di budget al suo ente. Questi fattori hanno portato a una prolungata fase di inattività, nonostante un notevole aumento delle comunicazioni email legate alla NVD, con uno staff che non è mai cresciuto oltre le 21 persone.
Al di là dell’istituzione del consorzio, l’ufficio del programma NVD sta ridistribuendo il personale e collaborando con altre agenzie per porre rimedio al problema attuale. Nel frattempo, continua a gestire gli aspetti prioritari, come rispondere a vulnerabilità rilevanti identificate dalla Cybersecurity and Infrastructure Security Agency.
Diverse sono state le voci critiche riguardo la proposta di formare un consorzio per migliorare la NVD. Dan Lorenc, CEO di Chainguard, sostiene che aggiungere strati di governance e burocrazia potrebbe rallentare il processo, mentre altri professonisti temono che la formazione effettiva di un consorzio possa richiedere fino a nove mesi, ritardando ulteriormente il ritorno alla piena funzionalità del database.
Risulta evidente come la National Vulnerability Database si trovi a un bivio. Nonostante siano emersi dei campanelli d’allarme riguardo la sostenibilità attuale del sistema e la sua capacità di rispondere efficacemente alle esigenze del settore della cyber security, è altrettanto chiaro che vengono compiuti sforzi per garantire che questa risorsa critica sia pronta a rispondere alle sfide future.