โครงการ Common Vulnerabilities and Exposures (CVE) ได้รับการแจ้งเตือนเกี่ยวกับการหมดอายุของสัญญาเงินทุนจากรัฐบาลสหรัฐฯ เมื่อวันที่ 15 เมษายน 2025 โดย MITRE ซึ่งเป็นองค์กรที่ดูแลโครงการ CVE ได้ส่งจดหมายถึงคณะกรรมการโครงการเพื่อแจ้งว่าสัญญาจะหมดอายุในวันที่ 16 เมษายน 2025 อย่างไรก็ตาม ในคืนวันที่ 16 เมษายน 2025 หน่วยงาน Cybersecurity and Infrastructure Security Agency (CISA) ได้ดำเนินการขยายสัญญาออกไปอีก 11 เดือน เพื่อป้องกันการหยุดชะงักของบริการ
CVE คืออะไร ?
โครงการ Common Vulnerabilities and Exposures (CVE) เป็นระบบมาตรฐานกลางที่ใช้ระบุและติดตามช่องโหว่ด้านความมั่นคงปลอดภัยไซเบอร์ในซอฟต์แวร์และฮาร์ดแวร์ โดยแต่ละช่องโหว่จะได้รับหมายเลขประจำตัว (CVE ID) ที่ไม่ซ้ำกัน เช่น CVE-2025-12345 เพื่อให้สามารถอ้างอิงและจัดการได้อย่างเป็นระบบ
ประวัติของ CVE
- ก่อตั้ง: โครงการ CVE เริ่มต้นในเดือนพฤษภาคม 1999 โดย MITRE Corporation ซึ่งเป็นองค์กรไม่แสวงหาผลกำไรที่ได้รับการสนับสนุนจากรัฐบาลสหรัฐฯ
- เปิดตัวสู่สาธารณะ: รายการ CVE ชุดแรกที่ประกอบด้วย 321 รายการ ถูกเผยแพร่สู่สาธารณะในเดือนกันยายน 1999
- วัตถุประสงค์: เพื่อสร้างมาตรฐานกลางในการระบุช่องโหว่ที่เปิดเผยต่อสาธารณะ และลดความซ้ำซ้อนในการรายงานช่องโหว่จากแหล่งต่าง ๆ
โครงสร้างและการดำเนินงาน
- การบริหารจัดการ: MITRE Corporation ทำหน้าที่เป็นผู้ดูแลหลักของโครงการ CVE โดยได้รับการสนับสนุนจากหน่วยงาน Cybersecurity and Infrastructure Security Agency (CISA) ภายใต้กระทรวงความมั่นคงแห่งมาตุภูมิของสหรัฐฯ
- CVE Numbering Authorities (CNAs): องค์กรที่ได้รับสิทธิ์ในการกำหนดหมายเลข CVE สำหรับช่องโหว่ที่ค้นพบในผลิตภัณฑ์ของตนเอง เช่น Microsoft, Oracle, Red Hat เป็นต้น
- การประยุกต์ใช้: CVE ถูกนำไปใช้ในระบบต่าง ๆ เช่น National Vulnerability Database (NVD), ระบบจัดการช่องโหว่ (Vulnerability Management Systems), และเครื่องมือด้านความมั่นคงปลอดภัยอื่น
หากไม่มี CVE อะไรจะเกิดขึ้น ?
โลกไซเบอร์ในปัจจุบันต้องพึ่งพา “CVE” หรือ Common Vulnerabilities and Exposures อย่างหลีกเลี่ยงไม่ได้ ระบบนี้คือฐานข้อมูลกลางที่ระบุ “ช่องโหว่” (Vulnerabilities) ในซอฟต์แวร์และฮาร์ดแวร์ทั่วโลกอย่างเป็นมาตรฐาน แต่ในช่วงเดือนเมษายน 2025 ระบบอาจหยุดทำงานเพียงเพราะ… “เงินหมด” เหตุการณ์นี้ได้จุดประกายคำถามสำคัญว่า เราควรพึ่งพาแหล่งเดียวหรือไม่? และทางออกควรเป็นอย่างไร?
จุดเริ่มของวิกฤติ: รัฐบาลสหรัฐฯ ลังเลต่อสัญญา
MITRE ซึ่งเป็นองค์กรไม่แสวงผลกำไร ดำเนินโครงการ CVE มานานหลายสิบปี โดยได้รับเงินสนับสนุนหลักจากหน่วยงาน CISA (Cybersecurity and Infrastructure Security Agency) สังกัดกระทรวงความมั่นคงแห่งมาตุภูมิของสหรัฐฯ
แต่ในปีงบประมาณ 2025 สัญญาระหว่าง CISA และ MITRE ใกล้หมดอายุ และไม่มีการอนุมัติวงเงินสนับสนุนชุดใหม่ทันเวลา ส่งผลให้มีความเป็นไปได้ที่บริการทั้งหมดจะ “หยุดทำงาน” โดยไม่มีการแจ้งเตือนล่วงหน้า
CVE ไม่ใช่แค่ระบบเล็ก ๆ แต่คือโครงสร้างพื้นฐานระดับโลก
ระบบตรวจสอบและจัดการช่องโหว่เกือบทั้งหมดในโลก เช่น:
- NVD (National Vulnerability Database) ของ NIST
- ระบบแจ้งเตือนในผลิตภัณฑ์ Antivirus / SIEM / Vulnerability Assessment Tools
- ช่องโหว่ที่เกิดจากการแจ้งเตือนในระบบศูนย์ SoC (Security Operation Center)
ต่างอ้างอิง “CVE ID” เป็นรหัสหลัก หากระบบนี้ล่มลง จะเกิดผลกระทบเป็นลูกโซ่:
- การวิเคราะห์ช่องโหว่ล่าช้า
- ระบบแจ้งเตือนภัยไซเบอร์หยุดทำงาน
- การป้องกัน Zero-Day ล่าช้ากว่าปกติหลายวัน
ได้งบต่อ 11 เดือน แต่…
หลังแรงกดดันจากชุมชนและองค์กรเอกชนจำนวนมาก CISA ตัดสินใจ ขยายสัญญากับ MITRE อีก 11 เดือน แบบเฉพาะกิจเพื่อให้โครงการ CVE ยังเดินหน้าต่อได้ แต่ไม่มีใครรับประกันว่า ในปีถัดไป โครงการนี้จะไม่ตกอยู่ในความเสี่ยงอีกครั้ง
มีแหล่งข่าวจาก Wired ทางรัฐบาลสหรัฐอเมริกาลงงบประมาณให้ กับ CVE ปีล่ะหลายสิบล้านยูเอสดอลล่าร์ หรือถ้าเป็นสกุลเงินประเทศไทยก็กว่าหลายร้อยล้านบาทไทยต่อปีเพื่อให้มีการค้นคว้าวิจัยช่องโหว่ เพื่อออกค่า CVE อย่างต่อเนื่อง
การตั้ง “CVE Foundation” เพื่อระยะยาว
เพื่อลดการพึ่งพางบรัฐอย่างเดียว ทีมงาน CVE ประกาศจัดตั้ง CVE Foundation ซึ่งเป็นองค์กรไม่แสวงหาผลกำไรใหม่ ที่จะ:
- เป็นตัวกลางด้านการระดมทุนจากหลายภาคส่วน
- บริหารจัดการฐานข้อมูลอย่างเป็นอิสระ
- กระจายความรับผิดชอบผ่านชุมชนสากล
ทางเลือกอื่นหาก CVE หยุดทำงาน?
แม้ CVE จะเป็นระบบหลัก แต่ก็ยังมีทางเลือกหรือระบบเสริม เช่น:
- OSV (Open Source Vulnerabilities) โดย Google
- VulDB, ExploitDB, หรือ GitHub Security Advisories
- โครงการ Threat Intelligence เอกชน และ
- แนวคิด Decentralized Vulnerability Ledger บน Blockchain ที่หลายฝ่ายกำลังวิจัย
ข้อคิด: ความมั่นคงไซเบอร์ไม่ควรขึ้นกับรัฐเดียว
ในโลกที่การโจมตีทางไซเบอร์เป็นเรื่องระดับชาติ CVE ถือเป็น “โครงสร้างพื้นฐาน” ด้านความมั่นคงของโลก หากขึ้นกับรัฐเดียวโดยไม่มีแผนสำรองหรือองค์กรกลาง จะทำให้ทั้งระบบมีความเสี่ยงสูง
การเกิดขึ้นของ CVE Foundation อาจเป็นจุดเริ่มต้นของระบบ “ความมั่นคงแบบไร้พรมแดน” ที่ทุกคนร่วมมือกันอย่างแท้จริง
บทส่งท้าย
เหตุการณ์ CVE กำลังจากหายไป ไม่ใช่แค่ปัญหาด้านงบประมาณ แต่เป็น สัญญาณเตือนสำคัญ ให้กับผู้บริหารด้านความมั่นคงสารสนเทศทั่วโลกว่า ถึงเวลาหรือยังที่เราต้อง “กระจายความเสี่ยง” และสร้าง ระบบไซเบอร์ที่ยั่งยืนกว่าเดิม
Nontawatt Saraman