214/69 (IT) ประจำวันอังคารที่ 21 เมษายน 2569
สถาบันมาตรฐานและเทคโนโลยีแห่งชาติสหรัฐฯ (NIST) ประกาศปรับเปลี่ยนแนวทางการจัดระดับความรุนแรงและวิเคราะห์ช่องโหว่ความปลอดภัยในฐานข้อมูล National Vulnerability Database (NVD) โดยมีผลตั้งแต่วันที่ 15 เมษายนนี้เป็นต้นไป การตัดสินใจดังกล่าวเกิดขึ้นเนื่องจากปริมาณการรายงานช่องโหว่ (CVE) ทั่วโลกพุ่งสูงขึ้นอย่างก้าวกระโดดถึง 263% และยังมีแนวโน้มเพิ่มขึ้นอย่างต่อเนื่องในปี 2026 จนทำให้ทรัพยากรของหน่วยงานไม่สามารถวิเคราะห์ข้อมูลเชิงลึก เช่น การระบุระดับความรุนแรง หรือรายชื่อผลิตภัณฑ์ที่ได้รับผลกระทบ ให้ครอบคลุมทุกรายการได้ทันท่วงทีเหมือนในอดีต
ภายใต้เกณฑ์การคัดกรองใหม่ NIST จะเลือกวิเคราะห์เจาะลึกเฉพาะช่องโหว่ที่เข้าเงื่อนไขสำคัญ 3 ประการ ได้แก่ 1. ช่องโหว่ที่มีหลักฐานว่าถูกใช้โจมตีจริงและปรากฏในบัญชี Known Exploited Vulnerabilities (KEV) ของ CISA 2. ช่องโหว่ที่ส่งผลกระทบต่อซอฟต์แวร์ของรัฐบาลกลางสหรัฐฯ และ 3. ช่องโหว่ในซอฟต์แวร์วิกฤตตามคำสั่งประธานาธิบดี (EO 14028) สำหรับช่องโหว่อื่นที่ไม่เข้าเกณฑ์จะยังคงถูกเพิ่มรายชื่อลงในฐานข้อมูล NVD ตามปกติเพื่อให้มีเลขรหัสอ้างอิง แต่จะถูกจัดสถานะเป็น Not Scheduled ซึ่งผู้ใช้งานจะต้องอ้างอิงคะแนนความรุนแรงจากหน่วยงานผู้ส่งรายงาน (CNA) เช่น บริษัทผู้ผลิตซอฟต์แวร์ หรือ MITRE แทน
ผลกระทบจากนโยบายนี้มีนัยสำคัญต่อวงการความมั่นคงปลอดภัยไซเบอร์ในวงกว้าง เนื่องจาก NVD ถูกใช้งานโดยนักวิจัย ผู้พัฒนาซอฟต์แวร์ หน่วยงานภาครัฐ และผู้เชี่ยวชาญด้าน IT ทั่วโลก NIST ยอมรับว่านโยบายใหม่อาจทำให้ช่องโหว่บางรายการที่มีความเสี่ยงสูงถูกมองข้ามได้ จึงเปิดช่องทางให้ผู้ที่เกี่ยวข้องสามารถส่งคำขอเพิ่มข้อมูลสำหรับช่องโหว่ที่ต้องการความสนใจเป็นพิเศษได้ทางอีเมล nvd@nist[.]gov ทั้งนี้ปัญหาความล่าช้าในการประมวลผลข้อมูลเกิดขึ้นมาตั้งแต่ปี 2567 แต่การประกาศครั้งนี้ถือเป็นการยืนยันอย่างเป็นทางการว่า NIST จะมุ่งเน้นเฉพาะช่องโหว่ที่มีความเสี่ยงเชิงระบบสูงสุดเป็นสำคัญ