Internetstandaard Security.txt verplicht voor overheid

Nederlandse gemeenten, provincies, het rijk, waterschappen en alle uitvoeringsorganisaties moeten voortaan verplicht de internetstandaard security.txt toepassen. Die internetstandaard is op 25 mei toegevoegd aan de 'Pas toe of leg uit'-lijst van Forum Standaardisatie, meldt het Digital Trust Center (DTC).

Contactformulier voor ethische hackers

Security.txt is een tekstbestand waarin contactinformatie opgenomen staat voor beveiligingsonderzoekers en ethische hackers. Mochten zij een kwetsbaarheid vinden, dan kunnen zij met deze informatie direct contact opnemen met de juiste afdeling of persoon om hun vondst verantwoord te melden. Daardoor kan het verhelpen van kwetsbaarheden versneld worden en krijgen cybercriminelen minder kans om er misbruik van te maken. Het tekstbestand kan gepubliceerd worden op de eigen website van overheidsorganisaties.

Pas toe of leg uit

Nu de internetstandaard is toegevoegd aan de 'Pas toe of leg uit'-lijst, moeten alle overheidsorganisaties deze verplicht toepassen, aldus Digital Trust Center in een aankondiging. Forum Standaardisatie hoopt dat met de verplichting het gebruik van security.txt vergroot wordt. ’Hoe meer websites dit implementeren, hoe beter we gebruik kunnen maken van het goede werk van ethische hackers. De overheid geeft hierin het goede voorbeeld’, aldus Theo Peters, CTO bij VNG Realisatie en lid van Forum Standaardisatie. Voor alle andere organisaties in de publieke sector geldt nu een dringend advies om de standaard toe te passen.

Uit een meting van begin 2023 kwam naar voren dat bijna 20 procent van de gemeten overheidswebsites een security.txt-bestand heeft. Ook verwijzen verschillende rijksoverheidsorganisaties al naar het centrale security.txt-bestand van het NCSC (Nationaal Cyber Security Centrum). Dat centrale bestand is in maart dit jaar geïntroduceerd door het NCSC, samen met een handreiking voor organisaties van de rijksoverheid om deze beveiligingsstandaard te implementeren.

Securitywereld enthousiast

Eerder is er vanuit de securitywereld al lovend gereageerd op security.txt. Beveiligingsexpert Brian Krebs smeekte de wereld in oktober 2021 bijvoorbeeld om deze standaard te omarmen, en securityconsultant Troy Hunt (maker van Have I Been Pwned?) riep eerder al op om security.txt op websites te plaatsen.

Ook Nederlandse beveiligingsexperts gaven destijds tegenover AG Connect aan veel voordelen te zien in het securitygerichte tekstbestand. ’Vanuit mijn perspectief als CISO is het natuurlijk zo dat het publiceren van dit soort informatie ook voor extra spam zorgt, maar het risico van een gemiste melding is zoveel hoger dat ik iedereen wil oproepen dit te implementeren’, zei CISO Frank Breedijk van Schuberg Philis destijds. DIVD-grondlegger Victor Gevers was eveneens positief: ’Dit is wel heel wenselijk. Het maakt het makkelijker om kwetsbaarheden te melden.’

Dit artikel verscheen eerder op AG Connect.