Shopping cart

Magazines cover a wide array subjects, including but not limited to fashion, lifestyle, health, politics, business, Entertainment, sports, science,

TnewsTnews
Cyber News and Update

Berakhirnya Pendanaan AS untuk Program CVE/CWE: Ancaman Krisis Keamanan Siber Global?

By - Fuad April 16, 2025 Comments (0) 5 Mins Read
Berakhirnya Pendanaan AS untuk Program CVE/CWE: Ancaman Krisis Keamanan Siber Global?

Arlington, VA — MITRE, organisasi nirlaba yang mengelola program Common Vulnerabilities and Exposures (CVE) dan Common Weakness Enumeration (CWE), mengumumkan bahwa pendanaan pemerintah AS untuk kedua inisiatif kritis ini resmi berakhir hari ini, 16 April 2025. Keputusan ini memicu kekhawatiran luas di kalangan pakar keamanan siber global, yang menyebutnya sebagai “ancaman eksistensial” bagi ekosistem keamanan digital.

Mengapa Program CVE/CWE Vital?

Program CVE dan CWE adalah tulang punggung standar global untuk identifikasi kerentanan keamanan. CVE memberikan ID unik pada setiap kerentanan, memungkinkan vendor, peneliti, dan instansi pemerintah mengoordinasikan respons terhadap ancaman. Sementara itu, CWE mengklasifikasikan kelemahan perangkat lunak yang menjadi akar masalah. Keduanya menjadi basis data untuk alat seperti National Vulnerability Database (NVD) milik NIST dan digunakan oleh ribuan perusahaan, termasuk raksasa teknologi seperti Microsoft, Google, dan Cisco.

Selama dua dekade, MITRE bertindak sebagai CVE Numbering Authority (CNA) utama dengan dukungan pendanaan dari Departemen Keamanan Dalam Negeri AS (DHS). Tanpa aliran dana ini, operasi harian program—seperti validasi kerentanan, penerbitan ID CVE, dan koordinasi dengan 300+ mitra CNA global—terancam lumpuh.

Dampak yang Diperkirakan

Menurut pernyataan MITRE dan analisis komunitas keamanan, penghentian pendanaan dapat menyebabkan:

  1. Kelumpuhan Database Kerentanan: NVD dan platform lain bergantung pada aliran data CVE. Tanpa pembaruan, deteksi ancaman menjadi tertunda atau tidak akurat.
  2. Gangguan Respons Insiden: Tim keamanan perusahaan dan lembaga pemerintah mungkin kesulitan merespons serangan tanpa referensi CVE terbaru.
  3. Risiko pada Infrastruktur Kritikal: Sektor energi, kesehatan, dan transportasi yang mengandalkan CVE/NVD untuk patch kerentanan berpotensi terpapar serangan siber.

Jean Easterly, mantan Direktur CISA, menyebut situasi ini sebagai “krisis keamanan nasional yang belum pernah terjadi sebelumnya”. Dalam cuitannya, ia menekankan:

“CVE adalah bahasa universal komunitas keamanan. Tanpa ini, kita buta terhadap ancaman yang terus berkembang.”

Sementara itu, Casey Ellis, pendiri platform Bugcrowd, memperingatkan bahwa “vendor mungkin kembali ke sistem yang terfragmentasi, memperlambat mitigasi kerentanan secara global.”

Upaya Mitigasi dan Respons Pemerintah

Meskipun kontrak DHS dengan MITRE telah berakhir, Cybersecurity and Infrastructure Security Agency (CISA) menyatakan sedang berkoordinasi dengan MITRE dan mitra swasta untuk “memastikan kelangsungan layanan CVE/CWE”. Namun, rincian teknis belum diungkap.

Masalah ini diperparah oleh backlog di National Institute of Standards and Technology (NIST), yang tertunda dalam memproses 5.000+ entri CVE untuk NVD. Keterlambatan ini telah menyebabkan keluhan dari komunitas keamanan sejak awal 2024.

Apa Selanjutnya?

MITRE belum mengonfirmasi apakah akan menanggung biaya operasi CVE/CWE secara mandiri atau mencari pendanaan alternatif. Beberapa opsi yang diusulkan pakar termasuk:

  • Alokasi dana darurat dari Kongres AS.
  • Kolaborasi dengan perusahaan teknologi besar untuk membentuk konsorsium pendanaan.
  • Alihkan manajemen CVE ke entitas lain seperti CISA atau organisasi internasional.

Referensi dan Sumber

  1. Wawancara dengan Jean Easterly: Twitter @JEasterly
  2. Analisis Casey Ellis di Bugcrowd Blog: bugcrowd.com/cve-crisis

✍️ Catatan Editor:
Keputusan ini terjadi di tengah meningkatnya serangan siber global, termasuk eksploitasi kerentanan zero-day pada infrastruktur kesehatan dan energi. Tanpa sistem CVE yang berfungsi, kemampuan dunia untuk merespons ancaman ini mungkin terancam. Pemangku kepentingan mendesak transparansi dari pemerintah AS dan MITRE untuk segera menyelesaikan kebuntuan ini.

Update: CISA Berikan Talangan Dana Darurat untuk Program CVE/CWE!

17 April 2025

Arlington, VA — Setelah heboh ancaman penghentian layanan program Common Vulnerabilities and Exposures (CVE) dan Common Weakness Enumeration (CWE), Cybersecurity and Infrastructure Security Agency (CISA) mengumumkan perpanjangan dana darurat 11 bulan untuk MITRE, organisasi pengelola program tersebut. Keputusan ini diambil tepat sebelum tenggat waktu kontrak berakhir pada 16 April 2025, mencegah krisis keamanan siber global 149.

Detail Perpanjangan Dana CISA

  1. Kontrak 11 Bulan: CISA menggunakan opsi perpanjangan kontrak dengan MITRE untuk memastikan layanan CVE/CWE tetap berjalan hingga Maret 2026. Dana ini akan digunakan untuk operasional harian, termasuk penerbitan ID CVE, koordinasi dengan CNA global, dan pemeliharaan database 17.
  2. Respons Cepat atas Tekanan Komunitas: Keputusan ini muncul setelah peringatan MITRE dan protes keras dari pakar keamanan seperti Jean Easterly (eks Direktur CISA) dan Casey Ellis (Pendiri Bugcrowd), yang menyebut penghentian CVE sebagai “ancaman keamanan nasional” 1011.
  3. Pernyataan MITRE: Yosry Barsoum, Wakil Presiden MITRE, menyatakan bahwa “pemerintah telah mengidentifikasi pendanaan tambahan untuk menjaga operasional program” dan berterima kasih atas dukungan global selama 24 jam terakhir 13.

Lahirnya CVE Foundation: Upaya Mandiri Komunitas

Meski dana darurat CISA menyelamatkan situasi, komunitas keamanan siber global tidak tinggal diam. Sejumlah anggota CVE Board meluncurkan CVE Foundation, lembaga nirlaba independen yang bertujuan:

  • Mengurangi Ketergantungan pada Pemerintah AS: Struktur pendanaan sebelumnya dianggap rentan karena bergantung pada satu sponsor 26.
  • Menjaga Netralitas dan Keberlanjutan: Fondasi ini akan mengelola CVE sebagai inisiatif komunitas global, bukan hanya kepentingan AS 311.
  • Mencegah “Single Point of Failure”: Transisi ke model mandiri diharapkan memperkuat ekosistem manajemen kerentanan 613.

Menurut Kent Landfield, salah satu penggagas CVE Foundation, “CVE adalah fondasi pertahanan siber global. Jika tidak mandiri, kita semua rentan” 211.

Dampak dan Reaksi Global

  1. Kekecewaan atas Ketidakpastian Jangka Panjang: Meski dana darurat diberikan, masa depan CVE pasca-Maret 2026 masih gelap. Casey Ellis (Bugcrowd) menyebut insiden ini “mengikis kepercayaan pada proses CVE” 69.
  2. Inisiatif Regional sebagai Cadangan: Uni Eropa meluncurkan European Vulnerability Database (EUVD) untuk mengumpulkan data kerentanan dari berbagai sumber, mengurangi ketergantungan pada AS 311.
  3. Kesiapan Sektor Swasta: Perusahaan seperti VulnCheck sudah memesan 1.000 ID CVE untuk 2025 sebagai antisipasi gangguan 37.

Apa Selanjutnya?

  • Negosiasi Pendanaan Permanen: CISA dan MITRE masih perlu merancang skema pendanaan berkelanjutan, termasuk kemungkinan alokasi dana Kongres AS atau kolaborasi dengan konsorsium swasta 413.
  • Transisi ke CVE Foundation: Proses ini diprediksi rumit, tetapi diyakini sebagai solusi terbaik untuk netralitas global 26.
  • Peran Komunitas: Pakar seperti Satnam Narang (Tenable) menyarankan organisasi untuk mendiversifikasi sumber intelijen ancaman, seperti memantau GitHub Advisories atau OSV 29.

Referensi dan Sumber Terkait

  1. Pengumuman Resmi CISA: BleepingComputer 1
  2. Pembentukan CVE Foundation: Forbes 2
  3. Respons MITRE & VulnCheck: The Hacker News 3
  4. Analisis Kebijakan Trump: Reuters 4
  5. Kritik dari Pakar: WIRED 13

✍️ Catatan Editor:
Krisis ini mengingatkan dunia bahwa infrastruktur kritis seperti CVE tidak boleh bergantung pada satu entitas. Meski dana darurat menyelamatkan situasi, transparansi dan kolaborasi global menjadi kunci untuk masa depan keamanan siber.

Artikel ini diperbarui pukul 12.00 WIB, 17 April 2025.

 

Leave a Reply

Your email address will not be published. Required fields are marked *

Related Posts

Anatomi Kegagalan OTP: Mengapa Account Takeover (ATO) Tetap Merajalela di Tahun 2026?Application Security

Anatomi Kegagalan OTP: Mengapa Account Takeover

BY-Fuad February 16, 2026
Ekosistem Keamanan Siber dan Tantangan Menuju 2030Application Security

Ekosistem Keamanan Siber dan Tantangan Menuju

BY-Fuad February 10, 2026
OPERASI CARACAS: ANATOMI PERANG MODERN DAN PELAJARAN KEDAULATAN DIGITAL UNTUK INDONESIACyber War

OPERASI CARACAS: ANATOMI PERANG MODERN DAN

BY-Fuad January 6, 2026
OPERASI 300 MENIT: BEDAH TEKNIS PENCULIKAN PRESIDEN VENEZUELACase Studies

OPERASI 300 MENIT: BEDAH TEKNIS PENCULIKAN

BY-Fuad January 6, 2026
Membedah Infrastruktur LockBit 5.0 yang Terekspos Akibat Kelalaian OPSECCase Studies

Membedah Infrastruktur LockBit 5.0 yang Terekspos

BY-Fuad December 10, 2025
AI Menambal Kode, Siapa Menambal Krisis Talenta Siber Indonesia?Application Security

AI Menambal Kode, Siapa Menambal Krisis

BY-Fuad October 20, 2025