Nederlandse gemeenten, provincies, het Rijk, waterschappen en alle uitvoeringsorganisaties zijn per 25 mei 2023 verplicht om de open standaard security.txt toe te passen op hun website. Zo moet in één keer duidelijk zijn waar kwetsbaarheden gemeld kunnen worden. Ict-dienstverleners gebruiken de verwijzing voor kwetsbaarheidsmeldingen ook steeds vaker.
De standaard omvat een tekstbestand, security.txt genaamd ,waarin contactinformatie gepubliceerd wordt via de webserver. Beveiligingsonderzoekers en ethische hackers kunnen met die informatie direct met de juiste afdeling of persoon contact opnemen als zij een kwetsbaarheid vinden. Door het bestand moeten kwetsbaarheden sneller verholpen worden.
Security.txt is op 25 mei 2023 toegevoegd aan de ‘Pas toe of leg uit’-lijst van Forum Standaardisatie. De verplichting sluit aan bij de Baseline Informatiebeveiliging Overheid (BIO), die voorschrijft dat overheidsorganisaties een procedure moeten hebben voor het ontvangen en afhandelen van kwetsbaarheidsmeldingen. Een zogenoemde coordinated vulnerability disclosure (cvd) procedure. Security.txt moet ethische hackers direct naar de juiste ingang voor deze procedure leiden.
Gebruik binnen de overheid
Begin 2023 is door Intenet.nl een meting gedaan waaruit blijkt dat bijna twintig proccent van de gemeten overheidswebsites een security.txt-bestand heeft. Met de verplichting wil het Forum Standaardisatie het gebruik verder vergroten.
‘Hoe meer websites dit implementeren, hoe beter we gebruik kunnen maken van het goede werk van ethisch hackers. De overheid geeft hierin het goede voorbeeld’, aldus Theo Peters, cto bij VNG Realisatie en lid van Forum Standaardisatie.
Ict-dienstverleners
In oktober 2022 deden het Digital Trust Center (DTC) en een aantal securitytech-ambassadeurs een oproep aan bedrijven en ict-dienstverleners om security.txt te gebruiken. Sinds die oproep is het aantal Nederlandse domeinnamen dat voorzien is van een security.txt-bestand volgens die organisatie gegroeid naar ruim 88.000.
DTC gebruikt security.txt om het Nederlandse bedrijfsleven sneller te kunnen waarschuwen (notificeren) bij een ernstige cyberdreiging en juicht de verplichting voor overheden toe.
Het zou ook helpen als deze contactinformatie op de website zelf staat. Vroeger had je vaak “webmaster” op een site staan. Tegenwoordig staan bij “contact” verschillende functiegroepen (meestal direct of indirect gerelateerd aan verkoop) maar de webmaster is niet meer te vinden. Dat is niet alleen goed voor security gerelateerde zaken maar ook voor andere (tik)fouten op een pagina.
Kijk maar even naar de Computable Contact pagina: hoofdredacteur, klantenservice, adverteren, lezersreacties, persberichten. Maar geen webmaster (of hoe je het dan ook wil noemen).