Olá a todos.
Certamente este post pode parecer algo como o jantar de ontem re-aquecido, mas pelo aspecto a novela que envolveu os registos CVE o mês passado ainda não foi ultrapassada, e relembra um problema extremamente importante para todos os que olham para a segurança no IT como algo fundamental nas nossas empresas e Clientes.
Toda esta novela e as temporadas seguintes vieram mostrar a dependência europeia de sistemas norte-americanos para gerir vulnerabilidades de software, o que tem sido um tema cada vez mais sensível no contexto da cibersegurança.
O sistema CVE (Common Vulnerabilities and Exposures – criado nos Estados Unidos) e a CSIA (agência americana da qual derivam muitos alertas e políticas sobre o tema) foram e são ambos tidos como padrões globais para o registo e partilha de informação sobre vulnerabilidades.
No entanto, o facto de este sistema ser gerido fora da Europa levantou, nos últimos anos, sérias questões sobre a soberania digital da União Europeia (UE) e com o risco intermitente de desaparecer, mostraram que talvez seja altura da Europa ter as suas próprias soluções de gestão deste tipo de riscos.
Na pratica, a crescente instabilidade geopolítica e o foco na autossuficiência digital tornaram mais evidente a necessidade de alternativas europeias robustas. A resposta da UE tem vindo a materializar-se através da ENISA (Agência da União Europeia para a Cibersegurança), que está a desenvolver um ecossistema de divulgação coordenada de vulnerabilidades, bem como a base de dados europeia de vulnerabilidades (EUVD).
Falemos um pouco sobre a história do CVE e o seu domínio americano.
O sistema CVE foi criado em 1999 por iniciativa do MITRE Corporation, financiado pelo governo dos EUA. Tem como função padronizar a identificação de vulnerabilidades em software e hardware, facilitando a comunicação entre fabricantes, investigadores, empresas de segurança e utilizadores.
Atualmente, cada vulnerabilidade registada recebe um identificador único (CVE ID), sendo os dados armazenados num repositório centralizado. O problema? Esse repositório é norte-americano, gerido por uma entidade fora do controlo europeu. Isso significa que, na prática, a Europa depende de um sistema externo para gerir uma parte crítica da sua segurança informática.
A natureza centralizada e extraterritorial deste sistema levou a um debate aceso sobre os riscos de depender de infraestruturas fora da jurisdição europeia, especialmente em cenários de conflito económico, bloqueios tecnológicos ou divergências políticas.
A resposta da Europa: CVD e EUVD
A primeira grande peça da estratégia europeia é a promoção da CVD (Divulgação Coordenada de Vulnerabilidades), um processo pelo qual vulnerabilidades identificadas por investigadores ou entidades são reportadas de forma responsável aos fornecedores antes de serem tornadas públicas.
A ENISA tem liderado o desenvolvimento de boas práticas, diretrizes e apoio técnico para os Estados-Membros criarem estruturas nacionais de CVD. Alguns países da UE já adotaram leis e procedimentos que obrigam à notificação de vulnerabilidades, criando um ecossistema mais confiável e colaborativo.
Paralelamente, está em curso a criação da EUVD (European Vulnerability Database), prevista na Diretiva NIS2. Esta base de dados, gerida pela ENISA, pretende agregar e partilhar vulnerabilidades de forma segura, transparente e automatizada, utilizando o padrão CSAF (Common Security Advisory Framework), que permite a disseminação automática de alertas e avisos de segurança legíveis por máquinas.
Uma alternativa real ou uma solução intermédia?
Inicialmente, a visão e mandato proposto da EUVD era ambicioso: uma base de dados europeia completa, independente do sistema CVE. Contudo, em 2024, a ENISA clarificou que a agência não iria manter um repositório ativo com registos públicos de vulnerabilidades, como inicialmente previsto no Cyber Resilience Act. Em vez disso, a prioridade será criar um ponto de notificação centralizado e mecanismos de partilha coordenada com as autoridades competentes.
A decisão prática de evitar a criação de um repositório pode estar relacionada com o receio de se tornar um alvo para ciberataques ou com dificuldades de gestão e manutenção. Ainda assim, a iniciativa permanece relevante como forma de reduzir a dependência estrutural do CVE.
A ENISA como CNA: um passo técnico importante
Um dos marcos mais significativos foi a certificação da ENISA como CVE Numbering Authority (CNA). Isto significa que a agência europeia pode agora emitir identificadores CVE diretamente, em colaboração com CSIRTs nacionais e fornecedores europeus.
Ao fim do dia, representa um passo intercalar entre a dependência total do sistema americano e uma autonomia plena. Com a ENISA como CNA, a Europa ganha mais controlo sobre os prazos, a confidencialidade e a gestão dos registos de vulnerabilidades descobertas dentro da sua jurisdição.
E sobre a Diretiva NIS2 e o Cyber Resilience Act?
Estes dois instrumentos legislativos moldam o futuro da cibersegurança na UE. A Diretiva NIS2 obriga os operadores de setores críticos a adotarem medidas mais rigorosas de gestão de riscos e notificação de incidentes. Parte dessas obrigações passa pela integração com sistemas de notificação de vulnerabilidades, como o que a ENISA está a desenvolver.
Por sua vez, o Cyber Resilience Act (CRA) pretende impor requisitos de cibersegurança aos produtos com elementos digitais comercializados na UE. A proposta inicial previa uma base de dados europeia pública de vulnerabilidades, mas a resistência de alguns setores e preocupações sobre segurança levaram a uma abordagem mais conservadora.
Mesmo com estas limitações, o CRA obriga os fabricantes a reportar vulnerabilidades à ENISA, reforçando a função da agência como hub europeu para a coordenação da resposta a falhas de segurança.
Mas Por que é importante uma alternativa europeia?
Os eventos dos últimos 100 dias, mostram que sem sombra para duvidas, o panorama norte-americano está demasiado instável para ser considerado seguro. Demasiados actores, demasiados interesses, demasiado desconhecimento do que é falado e debatido.
Assim sendo, construir, ter e manter uma alternativa europeia apresenta-se fundamental porque?
- Soberania Digital: Depender de sistemas externos é arriscado. Uma interrupção no acesso ao CVE (por decisão política, legal ou técnica) poderia comprometer seriamente a capacidade de resposta europeia.
- Privacidade e jurisdição: Ter um sistema gerido segundo as regras de proteção de dados da UE é crucial para garantir a conformidade legal e a confiança dos utilizadores.
- Adaptação regional: As necessidades de cibersegurança europeias podem diferir das norte-americanas. Uma solução feita à medida permite maior agilidade e pertinência local.
- Fomento à indústria: Um ecossistema europeu de divulgação de vulnerabilidades cria oportunidades para start-ups, centros de investigação e fornecedores locais de cibersegurança.
Obstáculos à autonomia plena
Apesar dos avanços, há desafios significativos na adopção deste novo formato:
- Integração com o CVE: A maioria dos sistemas de segurança usa o CVE como referência. Criar um sistema paralelo exige compatibilidade e adição de valor para justificar a transição.
- Escalabilidade: Manter uma base de dados segura, atualizada e confiável é exigente em recursos humanos e financeiros.
- Adesão da indústria: Os grandes fabricantes de software ainda vêm o CVE como padrão de facto. Mudar essa perceção requer tempo e provas concretas de eficiência.
E chegamos ao fim deste post semanal um pouco menos técnico e mais em overhead para chamar a atenção do risco que estamos todos como europeus a correr quando dependemos de infraestrutura e padrões que podem sofrer influencias ou chegar ao ponto de serem encerrados por uma potencia estrangeira.
A iniciativa da ENISA e da UE para criar uma alternativa europeia ao CVE é um passo essencial rumo à autonomia digital. Embora a solução atual ainda dependa parcialmente do sistema americano, já representa um avanço significativo na capacidade europeia de gerir vulnerabilidades com mais controlo, segurança e adaptação à sua realidade legal e política.
O futuro passa por continuar a desenvolver mecanismos de notificação automatizados, investir em colaboração entre Estados-Membros e fomentar uma cultura de segurança digital baseada em responsabilidade partilhada. A soberania digital não se constrói de um dia para o outro, mas a Europa está, finalmente, a dar os passos certos nesse sentido.
Até ao post da próxima semana!
Um abraço
Nuno