انهيار نظام الإنذار السيبراني: أزمة في قواعد بيانات الثغرات الأمنية CVE وNVD وتأثيرها على الأمن الرقمي العالمي

شهدت مجتمعات الأمن السيبراني حالة من القلق والهلع مع ظهور أزمات في نظام تصنيف الثغرات الأمنية المعروف بـ CVE (القائمة المشتركة للثغرات والمخاطر) وقاعدة البيانات الوطنية للثغرات (NVD). يُشبه خبراء الأمن مثل جين إيستيرلي فقدان CVE بـ “تمزيق بطاقة الفهرسة من كل مكتبة دفعة واحدة”، حيث تعتمد فرق الدفاع السيبراني على هذه الأدوات لتنظيم وفهم التهديدات الأمنية التي تواجهها.

دور CVE وNVD في الأمن السيبراني

تمثل CVE قائمة فهرسة مركزية لكل ثغرة أمنية معروفة، تشبه بطاقة مكتبية فريدة لكل ضعف. أما قاعدة البيانات الوطنية للثغرات (NVD) فتوفر مراجعات تحليلية تفصيلية مع معلومات حول شدة الثغرة ونطاق تأثيرها وقابلية استغلالها، مما يجعلها أداة حيوية لفهم المخاطر واتخاذ القرارات الأمنية.

الأزمة الحالية والأسباب

في 2024، شهدت NVD توقفًا جزئيًا عن تحديث قاعدة بياناتها بسبب مشاكل في تمويل البرنامج، حيث أوقفت وكالة الأمن السيبراني والبنية التحتية الأمريكية (CISA) تمويلًا قيمته 3.7 مليون دولار نتيجة “مشكلات إدارية في العقود”. في الوقت نفسه، تعرض المعهد الوطني للمعايير والتكنولوجيا (NIST) إلى تخفيض ميزانيته بنسبة 12% تقريبًا، مما أثر على قدرته على معالجة التراكم المتزايد من الثغرات.

للحد من الأزمة، أطلقت CISA برنامجًا جديدًا يُدعى “Vulnrichment” يهدف إلى تقديم بيانات محسّنة ومدعومة للسوق بطريقة موزعة، تسمح لعدة شركاء معتمدين بنشر المعلومات التحليلية، وتقليل الاعتماد على الحكومة كمزود وحيد لهذه البيانات.

جهود المعالجة والتحديات المستمرة

تسارع NIST لتوظيف متعاقدين لمواجهة تراكم الثغرات التي تجاوزت 25,000 ثغرة في انتظار المعالجة، وهو رقم يفوق عشر مرات أعلى رقم سابق في 2017. رغم العودة لمستويات معالجة ما قبل الأزمة، فإن تدفق الثغرات الجديدة يتزايد بشكل يفوق القدرة على المعالجة.

التداعيات والتدخلات الحكومية

أدت هذه الأزمة إلى تداعيات سياسية وقانونية، حيث فتح وزارة التجارة الأمريكية تحقيقًا في NVD، بينما طالبت مجموعة من نواب الحزب الديمقراطي بالكونغرس بإجراء تحقيقات أوسع حول برامج CVE وNVD. في الوقت ذاته، تتغير معايير الثقة في هذه الأدوات الحيوية، مما يدفع فرق الأمن إلى البحث عن ضوابط إضافية خارج قواعد البيانات الرسمية.

ضعف البنية التحتية الرقمية الأمريكية والعالمية

تعكس هذه الأزمة ضعفًا جوهريًا في بنية الأمن السيبراني العالمية، التي تعتمد بشكل كبير على تمويل واهتمامات مؤسسات أمريكية قد تتغير في أي وقت، ما يعرض خدمات الأمن السيبراني الأساسية لمخاطر التوقف أو التقليل.

زيادة عدد الثغرات وتحديات المستقبل

تجاوز عدد الثغرات المسجلة في CVE 300,000 ثغرة حتى يوليو 2025، مع معدلات زيادة غير متوقعة تصل أحيانًا إلى 10% سنويًا. تعاني NVD من تأخير نشر تحليلات الثغرات، أحيانًا لأسابيع أو أشهر مقارنةً بمصادر خاصة أو تحذيرات من البائعين، مما يزيد من صعوبة استجابة المؤسسات الأمنية.

تشير الأزمة إلى ضرورة إعادة النظر في كيفية تمويل وإدارة قواعد بيانات الثغرات الأمنية التي تمثل الدعامة الأساسية لحماية البنى التحتية الرقمية، مع ضرورة تطوير حلول بديلة تضمن استمرار تحديث وتحليل الثغرات في ظل التحديات المتزايدة.