Alternativas Europeias ao CVE? Ou como a CISA agora só publica via Twatter…

Olá a todos.

Certamente este post pode parecer algo como o jantar de ontem re-aquecido, mas pelo aspecto a novela que envolveu os registos CVE o mês passado ainda não foi ultrapassada, e relembra um problema extremamente importante para todos os que olham para a segurança no IT como algo fundamental nas nossas empresas e Clientes.
Toda esta novela e as temporadas seguintes vieram mostrar a dependência europeia de sistemas norte-americanos para gerir vulnerabilidades de software, o que tem sido um tema cada vez mais sensível no contexto da cibersegurança.
O sistema CVE (Common Vulnerabilities and Exposures – criado nos Estados Unidos) e a CSIA (agência americana da qual derivam muitos alertas e políticas sobre o tema) foram e são ambos tidos como padrões globais para o registo e partilha de informação sobre vulnerabilidades.
No entanto, o facto de este sistema ser gerido fora da Europa levantou, nos últimos anos, sérias questões sobre a soberania digital da União Europeia (UE) e com o risco intermitente de desaparecer, mostraram que talvez seja altura da Europa ter as suas próprias soluções de gestão deste tipo de riscos.

Na pratica, a crescente instabilidade geopolítica e o foco na autossuficiência digital tornaram mais evidente a necessidade de alternativas europeias robustas. A resposta da UE tem vindo a materializar-se através da ENISA (Agência da União Europeia para a Cibersegurança), que está a desenvolver um ecossistema de divulgação coordenada de vulnerabilidades, bem como a base de dados europeia de vulnerabilidades (EUVD).

ENISA

Falemos um pouco sobre a história do CVE e o seu domínio americano.

O sistema CVE foi criado em 1999 por iniciativa do MITRE Corporation, financiado pelo governo dos EUA. Tem como função padronizar a identificação de vulnerabilidades em software e hardware, facilitando a comunicação entre fabricantes, investigadores, empresas de segurança e utilizadores.

Atualmente, cada vulnerabilidade registada recebe um identificador único (CVE ID), sendo os dados armazenados num repositório centralizado. O problema? Esse repositório é norte-americano, gerido por uma entidade fora do controlo europeu. Isso significa que, na prática, a Europa depende de um sistema externo para gerir uma parte crítica da sua segurança informática.

A natureza centralizada e extraterritorial deste sistema levou a um debate aceso sobre os riscos de depender de infraestruturas fora da jurisdição europeia, especialmente em cenários de conflito económico, bloqueios tecnológicos ou divergências políticas.

A resposta da Europa: CVD e EUVD

A primeira grande peça da estratégia europeia é a promoção da CVD (Divulgação Coordenada de Vulnerabilidades), um processo pelo qual vulnerabilidades identificadas por investigadores ou entidades são reportadas de forma responsável aos fornecedores antes de serem tornadas públicas.

A ENISA tem liderado o desenvolvimento de boas práticas, diretrizes e apoio técnico para os Estados-Membros criarem estruturas nacionais de CVD. Alguns países da UE já adotaram leis e procedimentos que obrigam à notificação de vulnerabilidades, criando um ecossistema mais confiável e colaborativo.

Paralelamente, está em curso a criação da EUVD (European Vulnerability Database), prevista na Diretiva NIS2. Esta base de dados, gerida pela ENISA, pretende agregar e partilhar vulnerabilidades de forma segura, transparente e automatizada, utilizando o padrão CSAF (Common Security Advisory Framework), que permite a disseminação automática de alertas e avisos de segurança legíveis por máquinas.

Uma alternativa real ou uma solução intermédia?

Inicialmente, a visão e mandato proposto da EUVD era ambicioso: uma base de dados europeia completa, independente do sistema CVE. Contudo, em 2024, a ENISA clarificou que a agência não iria manter um repositório ativo com registos públicos de vulnerabilidades, como inicialmente previsto no Cyber Resilience Act. Em vez disso, a prioridade será criar um ponto de notificação centralizado e mecanismos de partilha coordenada com as autoridades competentes.

A decisão prática de evitar a criação de um repositório pode estar relacionada com o receio de se tornar um alvo para ciberataques ou com dificuldades de gestão e manutenção. Ainda assim, a iniciativa permanece relevante como forma de reduzir a dependência estrutural do CVE.

A ENISA como CNA: um passo técnico importante

Um dos marcos mais significativos foi a certificação da ENISA como CVE Numbering Authority (CNA). Isto significa que a agência europeia pode agora emitir identificadores CVE diretamente, em colaboração com CSIRTs nacionais e fornecedores europeus.

Ao fim do dia, representa um passo intercalar entre a dependência total do sistema americano e uma autonomia plena. Com a ENISA como CNA, a Europa ganha mais controlo sobre os prazos, a confidencialidade e a gestão dos registos de vulnerabilidades descobertas dentro da sua jurisdição.

E sobre a Diretiva NIS2 e o Cyber Resilience Act?

Estes dois instrumentos legislativos moldam o futuro da cibersegurança na UE. A Diretiva NIS2 obriga os operadores de setores críticos a adotarem medidas mais rigorosas de gestão de riscos e notificação de incidentes. Parte dessas obrigações passa pela integração com sistemas de notificação de vulnerabilidades, como o que a ENISA está a desenvolver.

Por sua vez, o Cyber Resilience Act (CRA) pretende impor requisitos de cibersegurança aos produtos com elementos digitais comercializados na UE. A proposta inicial previa uma base de dados europeia pública de vulnerabilidades, mas a resistência de alguns setores e preocupações sobre segurança levaram a uma abordagem mais conservadora.

Mesmo com estas limitações, o CRA obriga os fabricantes a reportar vulnerabilidades à ENISA, reforçando a função da agência como hub europeu para a coordenação da resposta a falhas de segurança.

Mas Por que é importante uma alternativa europeia?

Os eventos dos últimos 100 dias, mostram que sem sombra para duvidas, o panorama norte-americano está demasiado instável para ser considerado seguro. Demasiados actores, demasiados interesses, demasiado desconhecimento do que é falado e debatido.
Assim sendo, construir, ter e manter uma alternativa europeia apresenta-se fundamental porque?

  • Soberania Digital: Depender de sistemas externos é arriscado. Uma interrupção no acesso ao CVE (por decisão política, legal ou técnica) poderia comprometer seriamente a capacidade de resposta europeia.
  • Privacidade e jurisdição: Ter um sistema gerido segundo as regras de proteção de dados da UE é crucial para garantir a conformidade legal e a confiança dos utilizadores.
  • Adaptação regional: As necessidades de cibersegurança europeias podem diferir das norte-americanas. Uma solução feita à medida permite maior agilidade e pertinência local.
  • Fomento à indústria: Um ecossistema europeu de divulgação de vulnerabilidades cria oportunidades para start-ups, centros de investigação e fornecedores locais de cibersegurança.

Obstáculos à autonomia plena

Apesar dos avanços, há desafios significativos na adopção deste novo formato:

  • Integração com o CVE: A maioria dos sistemas de segurança usa o CVE como referência. Criar um sistema paralelo exige compatibilidade e adição de valor para justificar a transição.
  • Escalabilidade: Manter uma base de dados segura, atualizada e confiável é exigente em recursos humanos e financeiros.
  • Adesão da indústria: Os grandes fabricantes de software ainda vêm o CVE como padrão de facto. Mudar essa perceção requer tempo e provas concretas de eficiência.

E chegamos ao fim deste post semanal um pouco menos técnico e mais em overhead para chamar a atenção do risco que estamos todos como europeus a correr quando dependemos de infraestrutura e padrões que podem sofrer influencias ou chegar ao ponto de serem encerrados por uma potencia estrangeira.
A iniciativa da ENISA e da UE para criar uma alternativa europeia ao CVE é um passo essencial rumo à autonomia digital. Embora a solução atual ainda dependa parcialmente do sistema americano, já representa um avanço significativo na capacidade europeia de gerir vulnerabilidades com mais controlo, segurança e adaptação à sua realidade legal e política.

O futuro passa por continuar a desenvolver mecanismos de notificação automatizados, investir em colaboração entre Estados-Membros e fomentar uma cultura de segurança digital baseada em responsabilidade partilhada. A soberania digital não se constrói de um dia para o outro, mas a Europa está, finalmente, a dar os passos certos nesse sentido.

Até ao post da próxima semana!
Um abraço

Nuno