Het Amerikaanse National Institute of Standards and Technology (NIST), een organisatie die onder andere verantwoordelijk is voor het opstellen van cybersecurityrichtlijnen voor de Amerikaanse overheid, heeft meer tijd nodig om de achterstand met het verwerken van kwetsbaarheden in de NVD-database weg te werken. De National Vulnerability Database (NVD) bevat informatie over bekende kwetsbaarheden in soft- en hardware en wordt door het NIST als een essentieel onderdeel van de Amerikaanse cybersecurity-infrastructuur beschouwd. Wereldwijd wordt er echter ook op grote schaal gebruik van gemaakt.

Het NIST heeft echter te maken met een 'backlog' van kwetsbaarheden die moeten worden onderzocht. De NVD-database bevat allerlei informatie over kwetsbaarheden, alsmede hun impact. Kwetsbaarheden in de database worden geïdentificeerd aan de hand van een Common Vulnerabilities and Exposures (CVE) nummer. Tussen 15 februari en 9 april werden er bijna zesduizend CVE-nummers aan de database toegevoegd. In april werd bekend dat duizenden van deze kwetsbaarheden nog moesten worden geanalyseerd. Het CVE-nummer mag dan zijn uitgegeven, informatie over deze beveiligingslekken ontbreekt in de database.

Eind mei liet het NIST weten dat het een contract aan een derde partij had toegekend om te helpen met het verwerken van kwetsbaarheden in de NVD-database. Binnen een aantal maanden zou de situatie weer moeten zijn zoals die voor februari van dit jaar was. Gisteren kwam het NIST met een update waarin het stelt dat de initiële schatting voor het wegwerken van de achterstand te optimistisch was. Alle bekende, actief aangevallen kwetsbaarheden zijn inmiddels weggewerkt, maar een hoop andere beveiligingslekken nog niet.

Volgens het NIST heeft de vertraging te maken met data over nog weg te werken CVE-nummers die het van Authorized Data Providers (ADP's) ontvangt. Deze informatie wordt aangeleverd in een formaat die het NIST naar eigen zeggen op dit moment niet efficiënt kan importeren en verwerken. Er worden nu nieuwe systemen ontwikkeld om inkomende ADP-data efficiënter te verwerken.

Authorized Data Publishers kunnen aanvullende informatie aan CVE-records toevoegen met betrekking tot risicoscores, verwijzingen en eigenschappen. Op dit moment is het Amerikaanse cyberagentschap CISA de enige ADP. De overheidsinstantie voorziet CVE-records van informatie over bekend misbruik en aanvullende informatie over risicoscore en aard van de kwetsbaarheid. Het NIST geeft geen nieuwe schatting wanneer de achterstand is weggewerkt.