Америка теряет контроль над базой уязвимостей — сотни угроз остаются без обработки
Сломалась не просто система — сломалась уверенность в том, что уязвимости кто-то отслеживает всерьёз.
Американские власти начали проверку Национальной базы уязвимостей (NVD), чтобы разобраться с накопившимися проблемами и ускорить обработку новых данных о киберугрозах.
Министерство торговли США объявило о старте аудита 20 мая — соответствующий меморандум опубликовал офис генерального инспектора. Проверка затронет деятельность Национального института стандартов и технологий (NIST), который отвечает за работу базы. Главная цель — выяснить, насколько эффективно агентство справляется с приёмом и обработкой уязвимостей и почему в прошлом году возник серьёзный сбой в работе системы.
Аудит должен помочь выявить слабые места в управлении проектом и предотвратить подобные сбои в будущем. По словам исполняющего обязанности помощника генерального инспектора Кевина Райана, работа начнётся немедленно, а в ближайшее время планируется согласовать все детали с представителями NIST.
Проблемы в NVD начались после прекращения важного контракта в начале 2024 года. Его расторжение нарушило работу аналитической части проекта, и база перестала справляться с поступающими данными. В результате сотни новых уязвимостей оставались без должной оценки — это породило серьёзное узкое место в системе кибербезопасности США. Подобные проблемы с базами данных уязвимостей случались и ранее , что подчёркивает важность надёжной защиты критически важной инфраструктуры.
Весной 2025 года на конференции VulnCon в Северной Каролине представители NIST — менеджер проекта Tanya Brewer и глава отдела компьютерной безопасности Matthew Scholl — рассказали об усилиях по выходу из кризиса. В частности, команда пересматривает процессы анализа и всё активнее внедряет автоматизацию. Также рассматриваются способы применения искусственного интеллекта , чтобы ускорить обработку новых угроз и ликвидировать отставание.
Важность правильного функционирования NVD трудно переоценить — эта база является ключевым элементом глобальной системы идентификации уязвимостей CVE , которой пользуются специалисты по кибербезопасности по всему миру для своевременного выявления и устранения угроз в программном обеспечении.