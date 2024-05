Het Amerikaanse National Institute of Standards and Technology (NIST), een organisatie die onder andere verantwoordelijk is voor het opstellen van cybersecurityrichtlijnen voor de Amerikaanse overheid, wil de achterstand met het verwerken van kwetsbaarheden in de NVD-database de komende maanden inlopen. De National Vulnerability Database (NVD) bevat informatie over bekende kwetsbaarheden in soft- en hardware en wordt door het NIST als een essentieel onderdeel van de Amerikaanse cybersecurity-infrastructuur beschouwd. Wereldwijd wordt er echter gebruik van gemaakt.

Het NIST heeft echter te maken met een 'groeiende backlog' van kwetsbaarheden die moeten worden onderzocht. De NVD-database bevat allerlei informatie over kwetsbaarheden, alsmede hun impact. Kwetsbaarheden in de database worden geïdentificeerd aan de hand van een Common Vulnerabilities and Exposures (CVE) nummer. Tussen 15 februari en 9 april werden er 5800 CVE-nummers aan de database toegevoegd, maar vorige maand werd bekend dat meer dan tweeduizend van deze kwetsbaarheden nog moeten worden geanalyseerd. Het nummer mag dan zijn uitgegeven, informatie over deze beveiligingslekken ontbreekt.

In een update laat het NIST nu weten dat het een contract aan een derde partij heeft toegekend om te helpen met het verwerken van kwetsbaarheden in de NVD-database. Binnen een aantal maanden zou de situatie weer moeten zijn zoals die voor februari van dit jaar was. Daarnaast zal de 'backlog' van CVE's die sinds februari niet zijn verwerkt in samenwerking met het Amerikaanse cyberagentschap CISA worden aangepakt. NIST verwacht dat de achterstand tegen het eind van het 'fiscale jaar' zal zijn ingelopen. Een datum wordt niet gegeven, maar het fiscale jaar voor Amerikaanse overheidsdiensten eindigt op 30 september.