The National Institute of Standards and Technology (NIST) har nyligen meddelat ett betydelsefullt beslut att sluta tilldela allvarlighetsgrader till sårbarheter som anses ha lägre prioritet. Detta steg har tagits som ett svar på den dramatiska ökningen av inlämnade sårbarheter, vilket har lett till en överbelastning av NIST:s resurser. Från och med den 15 april kommer NIST endast att ge detaljerade analyser och allvarlighetsbedömningar för sårbarheter som uppfyller specifika kriterier, såsom de som ingår i CISA:s katalog över kända utnyttjade sårbarheter, påverkar amerikansk federal programvara eller involverar kritisk programvara enligt Executive Order 14028.

Den globala cybersäkerhetsindustrin kan påverkas av detta beslut på flera sätt. För det första, genom att begränsa vilka sårbarheter som får en allvarlighetsbedömning, kan det bli svårare för företag och organisationer att snabbt identifiera och prioritera vilka sårbarheter som behöver åtgärdas. Detta kan potentiellt öka risken för cyberattacker, särskilt om mindre allvarliga sårbarheter förblir oupptäckta och utnyttjas av angripare innan de kan åtgärdas.

NIST:s beslut har också satt ljuset på den växande trenden med att outsourca cybersäkerhetsuppgifter. För att hantera arbetsbelastningen har NIST inlett samarbeten med externa aktörer, såsom cybersäkerhetsföretaget Analygence. Detta kan signalera en bredare rörelse inom sektorn mot att involvera fler privata aktörer för att förstärka cybersäkerhetskapaciteten. För svenska och nordiska företag och organisationer innebär detta att det kan bli en fördröjning i bedömningen av sårbarheter, vilket i sin tur kan öka risken för attacker om dessa sårbarheter inte hanteras i tid.

NIST:s National Vulnerability Database (NVD) är en central resurs som används av säkerhetsforskare, mjukvaruleverantörer, statliga myndigheter och IT-proffs världen över. Genom att tillhandahålla detaljerade analyser och allvarlighetsgrader hjälper NVD till att göra CVE-poster användbara för riskhantering. Även om alla inskickade CVE:er fortfarande kommer att listas i NVD, kommer de som inte uppfyller de nya kriterierna att kategoriseras som "Not Scheduled" och därmed inte få samma detaljerade behandling.

Sammanfattningsvis kan NIST:s beslut att sluta bedöma mindre kritiska sårbarheter få betydande konsekvenser för cybersäkerhetslandskapet. För företag och organisationer blir det viktigare än någonsin att ha egna strategier för att identifiera och hantera säkerhetsrisker. I Sverige och Norden, där digital säkerhet redan är ett högt prioriterat område, kan detta leda till ytterligare investeringar i lokala säkerhetslösningar och samarbeten för att säkerställa att säkerhetsåtgärderna håller jämna steg med den ständigt föränderliga hotbilden.