DEBATT

tangentbord händer blå ton

”USA riskerar cybersäkerheten  globalt – EU måste ta över”

DEBATT. När USA brister i sitt stöd för en viktig hörnsten inom global cybersäkerhet måste EU och Sverige ta ett större ansvar, skriver Emanuel Lipschütz.

Publicerad

Det här är en debattartikel. Åsikterna som framförs är skribentens egna.

Amerikanska åtgärder för att skära ner myndighetsutövning riskerar att drabba en mycket viktig komponent i det globala arbetet med cybersäkerhet: den globala sårbarhetsdatabasen CVE. Det riskerar cybersäkerheten för alla västländer. Nu står hoppet till EU för att få fram ett godtagbart alternativ och här har Sverige en möjlighet.

Den nuvarande amerikanska regeringen är som bekant på väg att förvandla amerikansk myndighetsutövning, inklusive samarbetsorganisationer, till ett kalhygge.  

Men det finns hopp, trots allt. 2026 införs lagstiftning på EU-nivå, som en del av Cyber Resilience Act, som innebär kraftigt ökade krav på att rapportera sårbarheter som påverkar produkter med digitala inslag.

Det handlar om indraget stöd till organisationen Mitre som driver den kritiska CVE-databasen (Common Vulnerabilities and Exposures) för sårbarheter. Det är ingen överdrift att säga att sårbarhetsdatabasen CVE är en av de absolut viktigaste hörnstenarna i det globala cybersäkerhetsarbetet. 

Nu löste det sig med CVE-databasen på kort sikt, då stödet förlängdes för elva månader i april. Men det är oklart hur det blir på lång sikt. Det här är oroväckande av flera skäl:

  • CVE är det etablerade verktyget för att registrera och söka information om sårbarheter och säkerhetshål. Utan CVE blir det avsevärt svårare att snabbt skydda sig mot nya sårbarheter.
  • CVE är den globala standarden för att identifiera och benämna sårbarheter. Utan en sådan ökar risken för incidenter med negativa följder dramatiskt. Man kommer att missa att skydda sig mot problem, om olika parter inte benämner sårbarheter på samma sätt.
  • På lång sikt kommer alla i världen som arbetar med cybersäkerhet att få problem med att hitta information om aktuella sårbarheter som är så heltäckande som möjligt. Det gör det lättare för hotaktörer att hitta och utnyttja offer.

Men det finns hopp, trots allt. 2026 införs lagstiftning på EU-nivå, som en del av Cyber Resilience Act, som innebär kraftigt ökade krav på att rapportera sårbarheter som påverkar produkter med digitala inslag. Rapporteringen ska ske via ett verktyg som kallas Single Reporting Platform. Om CVE-databasen försvinner, eller försämras, kommer det att bli svårare att sköta den rapporteringen på ett optimalt sätt.

Men en skadeskjuten CVE-databas innebär att incitamenten för EU att ta fram en alternativ lösning stärks, vilket är positivt för cybersäkerhet globalt, oavsett USA. EU gör bara vad kommissionen och, eller koalitioner av medlemsländer är villiga att prioritera.

Emanuel Lipschütz, Cyber Defencely.

Om Sverige kan driva på och bli en del av en stabil EU-baserad lösning på detta problem så innebär det en chans att ta en större roll inte bara vad gäller cybersäkerhet, utan för digitalisering i största allmänhet.

Om det inte löser sig med CVE-databasen, eller ett väl fungerande alternativ, kommer det bli svårare att arbeta med cybersäkerhet. 

Hotaktörerna är de enda som har anledning att vara nöjda med det. När de styrande i USA slutar agera som de vuxna i rummet är det hög tid för Sverige och EU att ta stafettpinnen.

Emanuel Lipschütz, cybersäkerhetsexpert på Cyber Defencely

DELTA I DEBATTEN

Vill du skriva en debattartikel eller en replik?

Kontakta Ny Tekniks debattsida på debatt@nyteknik.se

Tänk på detta:

• Texten ska vara unik för Ny Teknik.

• Texten ska vara max 4 000 tecken inklusive mellanslag.

• Undvik förkortningar och utropstecken.

• Peka ut och beskriv ett problem eller en lösning, samt hur du eller ni vill lösa problemet eller ta vara på möjligheten.

• Var tydlig med vem du eller ni debatterar med och varför.

• Bifoga gärna porträttbild och ange fotobyline.

läs mer
cybersäkerhet debatt

Lediga jobb