En sårbarhet kan ses som en svaghet eller en brist i en hårdvara eller mjukvara. Inom cybersäkerhet pratar man mycket om just sårbarheter och sårbarhetshantering, till stor del eftersom det är vanligt att hotaktörer utnyttjar tekniska sårbarheter i olika syften. Det kan handla om att få initial åtkomst till en IT-miljö eller ett system men det kan också vara för att exempelvis säkra högre behörigheter i en systemmiljö eller att flytta skadlig kod mellan olika enheter i ett nätverk. En sårbarhet benämns ofta som en så kallad CVE (Common Vulnerabilities and Exposures) där sårbarhetens allvarlighetsgrad sätts tillsammans med året den hittades och ett löpnummer. En så kallad Zero Day sårbarhet är en känd sårbarhet men som ännu inte åtgärdats av tillverkaren/leverantören av exempelvis mjukvaran.  

Den amerikanska organisationen MITRE ATT&CK^® som ligger bakom CVE-programmet är en viktig resurs inom cybersäkerhetssektorn men det finns nu en oro för att finansieringen av CVE-programmet är hotad på grund av neddragningar i budgeten för (CISA) Cybersecurity and Infrastructure Security Agency. Detta är en konsekvens av neddragen finansiering från den amerikanska regeringen;

Trump proposes major cut to CISA’s budget, citing false ‘censorship’ claims | Cybersecurity Dive

Om finansieringen upphör, kommer inga nya CVE:er att läggas till och webbplatsen för CVE-programmet kommer så småningom att stängas. Just nu lever programmet på en 11 månader lång finansieringsgaranti. Cybersecuritydive.com, skrev nyligen;

”Cybersecurity and Infrastructure Security Agency har nått en överenskommelse om att förnya finansieringen för ett sårbarhetsprogram för programvara som används av informationssäkerhetsgemenskapen för att ta itu med säkerhetsbrister.

Finansieringen kommer att återställas under en period av 11 månader, enligt tjänstemän som är bekanta med beslutet.”

I kölvattnet av denna osäkerhet, så har EU i maj 2025 lanserat en ny sårbarhetsdatabas för att samla information om cybersäkerhetsproblem som påverkar olika produkter och tjänster.

Vad innebär detta?

På den amerikanska sidan följer detta trenden gällande nerskärningar och minskat stöd inom flera sektorer. Detta innebär ytterligare brasved till det faktum att Europa inte kan förlita sig på amerikanska tjänster och amerikanskt stöd i en verkligen med stor politisk osäkerhet och ”skiftande vindar”. CVE-programmet och fortsatt aktivt arbete med identifiering och kategorisering av sårbarheter är extremt viktigt för oss som arbetar inom säkerhetsområdet.