Standaard security.txt nu verplicht voor overheid

Wat is security.txt?

De meeste organisaties en bedrijven hebben wel eens te maken gehad met een cyberaanval. Een van de oorzaken hiervan kan een beveiligingslek in je IT-systeem zijn. Bijvoorbeeld door het niet tijdig updaten van de software of een verkeerde configuratie. Hiermee zet je de deur open voor cybercriminelen. Ethische hackers of cyberonderzoekers met goede bedoelingen willen je waarschuwen. Maar hoe bereiken ze je? Security.txt is een standaard die beschrijft hoe je een tekstbestand met contactinformatie kunt publiceren op je webserver. Hierin kunnen ethische hackers of cyberonderzoekers lezen met welke afdeling of persoon zij contact op kunnen nemen als zij een kwetsbaarheid vinden. Zo kun je het probleem sneller oplossen en een cyberaanval voorkomen.

Aansluiting bij de BIO

De Baseline Informatiebeveiliging Overheid (BIO)(link naar andere website) geeft aan dat overheidsorganisaties een procedure moeten hebben voor het ontvangen en afhandelen van kwetsbaarheidsmeldingen. Dit heet een Coordinated Vulnerability Disclosure (CVD) procedure. Security.txt zorgt ervoor dat deze procedure makkelijk vindbaar is voor ethische hackers. Zo maak je je procedure beter toegankelijk.

Gebruik security.txt vergroten

Bij overheidswebsites wordt security.txt nog niet veel toegepast. Internet.nl heeft begin 2023 een onderzoek gedaan. Hieruit blijkt dat bijna 20% van de Nederlandse overheidswebsites een security.txt bestand heeft. Het verplicht stellen van de standaard security.txt voor de overheid zal dit gebruik nog meer vergroten.

Ook het bedrijfsleven kan nog een flinke stap zetten. In oktober 2022 heeft het Digital Trust Center (DTC) een oproep gedaan aan bedrijven en IT-verleners om security.txt te gebruiken. Inmiddels is het aantal websites met een security.txt toegenomen tot ruim 88.000.

Open Spreekuur

Op 7 juni organiseert Forum Standaardisatie een online Open Spreekuur. Heb je nog vragen over de standaard of de toepassing ervan? Zij helpen je graag verder.