Baza EUVD – nowy rozdział w zarządzaniu cyberzagrożeniami?

W świecie cyberbezpieczeństwa, gdzie każda luka może stać się furtką dla przestępców, rola publicznych baz danych o podatnościach jest nie do przecenienia. Przez lata globalnym standardem była amerykańska baza CVE prowadzona przez MITRE, ale ostatnie zawirowania za oceanem sprawiły, że Europa postanowiła ruszyć z własnym tematem. Oto oficjalnie ruszyła Europejska Baza Danych o Podatnościach – EUVD.

Dlaczego baza musiała powstać?

W ostatnich miesiącach amerykański system CVE borykał się z poważnymi problemami: niepewnością finansowania, opóźnieniami w publikowaniu informacji i ogólnym chaosem co do swojej przyszłości. W kwietniu 2025 r. istniała realna groźba, że MITRE straci kontrakt na prowadzenie CVE, co mogło zachwiać globalnym ekosystemem zarządzania podatnościami. Choć Amerykanie w ostatniej chwili przedłużyli finansowanie, zaufanie do stabilności tego rozwiązania zostało mocno nadszarpnięte.

W tym samym czasie Unia Europejska, za pośrednictwem agencji ENISA, przygotowywała się do wdrożenia własnej, niezależnej bazy – EUVD. Projekt powstał w ramach dyrektywy NIS2 i miał za zadanie zapewnić Europie większą suwerenność, przejrzystość i efektywność w zarządzaniu podatnościami.

Baza dostępna jest pod adresem https://euvd.enisa.europa.eu/

Jak działa EUVD?

Jak spojrzymy na interfejs, klasyfikację, wyszukiwarkę to gołym okiem da się zauważyć podobieństwa z CVE. Dlaczego z tego nie korzystać skoro się sprawdza? Poza tym baza korzysta z wielu źródeł: otwarte rejestry podatności, ostrzeżenia i zalecenia CSRITowe czy wytyczne producentów dotyczące aktualizacji i ograniczenia skutków podatności. Innymi słowy mamy tutaj: wizualizacje, agregacje danych i opis podatności.

Rozdrobnienie czy nowa jakość?

Pojawienie się EUVD to nie tylko odpowiedź na amerykańskie zawirowania, ale również sygnał, że światowy ekosystem zarządzania podatnościami może się rozproszyć. Oprócz EUVD i CVE pojawiły się już inne inicjatywy, jak Global Security Database czy próby tworzenia nowych systemów numeracji podatności. Eksperci zwracają uwagę, że choć podział może nieść pewne ryzyka (np. rozbieżności w numeracji czy dublowanie zgłoszeń), to jednak wzrost konkurencji i regionalnych inicjatyw może przełożyć się na lepszą jakość danych i szybszą reakcję na zagrożenia. Chociaż patrząc na rozdrobnienie nazewnictw grup APT to… może być różnie ;-).

Na dziś ENISA deklaruje współpracę z MITRE i innymi podmiotami, by zapewnić jak największą spójność danych. Jednak przyszłość globalnego ekosystemu zarządzania podatnościami pozostaje otwarta. Jedno jest pewne: Europa właśnie zyskała potężne narzędzie, które może podnieść poziom bezpieczeństwa cyfrowego w regionie – i być może wpłynąć w jakimś stopniu na standardy na całym świecie.

~Tomek Turba