Per qualche ora, il mondo della cybersicurezza ha trattenuto il fiato. MITRE – sì, proprio quella no-profit che da 25 anni tiene in piedi uno dei pilastri della sicurezza informatica globale – aveva lanciato l’allarme: “Attenzione, il contratto con il governo non è stato rinnovato. Se non arrivano i fondi, non possiamo più aggiornare il database CVE”. Panico tra i professionisti del settore, che sanno benissimo cosa significa perdere un riferimento così fondamentale.
Il cuore della sicurezza digitale ha tremato
Il CVE (Common Vulnerabilities and Exposures) è, in pratica, l’elenco universale delle falle informatiche. Un sistema che assegna a ogni vulnerabilità un nome e un codice unico, così che tutti – aziende, ricercatori, sviluppatori – parlino la stessa lingua. Senza questo database, capire se un problema di sicurezza è stato già individuato, analizzato o risolto diventa un rompicapo. E le patch? Le analisi? Il rischio? Tutto si complicherebbe.
La notizia ha fatto il giro del settore a una velocità lampo. Il motivo? Semplice: MITRE è il punto di partenza. Altri, come il NIST o la CISA, contribuiscono a integrare e diffondere, ma senza MITRE il sistema CVE semplicemente non gira. E poi c’è anche un altro dettaglio da non sottovalutare: MITRE si occupa pure del programma CWE (Common Weakness Enumeration), cioè la “mappa” delle cause che generano quelle vulnerabilità. Insomma, un nodo cruciale.
Dietro la mancata conferma del contratto, pare ci siano i soliti problemi di budget. CISA, l’agenzia federale americana per la cybersicurezza, ha subito tagli pesanti già durante l’amministrazione Trump. Si parla del 40% del personale a rischio. Quindi, non sorprende che anche un progetto storico come il CVE abbia rischiato di rimanere senza ossigeno.
Ma proprio quando sembrava tutto compromesso, ecco il colpo di scena: contratto rinnovato in extremis. CISA ha annunciato che manterrà il supporto a MITRE, rassicurando che non ci saranno interruzioni nei servizi. Un sospiro di sollievo per l’intera comunità, e anche un promemoria importante: la cybersicurezza non è un lusso. È un’infrastruttura critica, invisibile magari, ma vitale per tutto quello che oggi si basa su sistemi digitali. Cioè… praticamente tutto.
Morale della storia? Non diamo per scontati i meccanismi che tengono in piedi il mondo digitale. E magari, ogni tanto, diamogli anche il credito che meritano.
