Het Digital Trust Center (DTC), onderdeel van het ministerie van Economische Zaken, komt met een nieuwe internetstandaard: security.txt. Via dit tekstbestand, dat wordt geplaatst op een afgesproken plaats op de webserver, moet een melding over een ernstige kwetsbaarheid sneller op de juiste plek terechtkomen. Bedrijven kunnen dan bij cyber-onraad sneller in actie komen.
In het bestand vermeldt een bedrijf de contactgegevens van de ict-verantwoordelijke die een melding over een beveiligingslek als eerste moet ontvangen. Volgens de makers gaat vaak veel tijd verloren aan het zoeken naar contactgegevens en het vinden van het juiste aanspreekpunt binnen een bedrijf. In die tijd slaan cybercriminelen vaak hun slag.
De nieuwe internetstandaard is officieel gedocumenteerd onder RFC 9116. Hij wordt momenteel beoordeeld door het Forum Standaardisatie. Deze organisatie beoordeelt of open ict-standaarden verplicht worden voor de Rijkoverheid.
Kleine moeite
De afgelopen maanden heeft DTC veel contact gehad met bedrijven, ict-dienstverleners en publieke organisaties over de mogelijkheden om deze standaard in te voeren. Volgens de organisatie leverde dat veel positieve geluiden op. ‘Het is een kleine moeite en levert een veel betere basis op om informatie te delen met kwetsbare bedrijven’, aldus het DTC.
Samen met andere organisaties in het digitale veiligheidsdomein wil het DTC bedrijven en ict-dienstverleners, zoals managed service providers en hostingbedrijven, stimuleren om security.txt te gebruiken.
Security,txt is gelanceerd tijdens de landelijke ‘cybersecuritymaand’ oktober. Bedrijven die ermee aan de slag willen, kunnen hier meer informatie vinden over security.txt.
Zoals het hier beschreven staat lijkt het net alsof het DTC security.txt heeft bedacht. Dat is dus absoluut niet het geval.
Je kan verwachten dat die contactgegevens ook gaan worden opgevraagd en gebruikt door criminelen, om er gerichte fishing attacks mee uit te voeren.