Het Digital Trust Center (DTC) is voorstander om het Security.txt-protocol aan te wijzen als de nieuwe standaard om beveiligingslekken te melden. Het protocol kan volgens de instantie bijdragen aan het vergroten van de digitale weerbaarheid van bedrijven. Er kleven enkele nadelen aan het protocol, maar deze wegen niet op tegen de winst die ermee behaald kan worden.
Dat schrijft het DTC in een persverklaring.
Kwetsbaarheden melden is van groot belang
Cyberaanvallen en andere digitale dreigingen hebben vandaag de dag een steeds grotere impact op onze samenleving. Een aanval op bijvoorbeeld een energiebedrijf of internetserviceprovider kan de maatschappij ernstig ontwrichten. De politie ontvangt jaarlijks zo’n 200 aangiftes van ransomware-aanvallen, zo schreef minister van Justitie en Veiligheid Dilan Yesilgöz-Zegerius onlangs in een brief aan de Tweede Kamer. Vanwege de maatschappelijke impact van aanvallen met gijzelsoftware, is de minister een groot voorstander om hackers harder aan te pakken.
Zelfs als een cyberaanval geen grote gevolgen heeft voor de samenleving, zijn bedrijven er bij gebaat om hun digitale weerbaarheid op te schroeven. Het bedrijfsleven en organisaties hebben er baat bij als ze op de hoogte worden gesteld van een beveiligingslek op een webserver. Of een configuratiefout in hun netwerk- en informatiesystemen die misbruik mogelijk maakt.
Beveiligingsonderzoekers gebruiken tools om dergelijke kwetsbaarheden op te sporen. Zij weten vaak echter niet waar ze deze kunnen melden. Het gevolg is dat dergelijke relevante informatie niet bij de belanghebbenden terecht komt. Dat is niet zonder risico: hackers gebruiken immers dezelfde technieken om beveiligingsproblemen op te sporen. En te misbruiken.
‘Weerbaar maken van ondernemend Nederland’
Sinds 2017 werkt de Internet Engineering Task Force (IETF) aan een standaard om beveiligingslekken op een efficiënte manier te melden. Na vijf jaar nadenken en discussiëren met de community is ‘Security.txt’ het eindresultaat. Dat is een bestand waarmee bedrijven, overheidsorganen, organisaties en instanties melding kunnen maken voor het omgaan met beveiligingslekken.
Het DTC is positief over de voorgestelde standaard. “Het DTC staat immers voor het weerbaar maken van ondernemend Nederland en dit relatief simpel te implementeren Security.txt-protocol kan daaraan een positieve bijdrage leveren. Het melden van beveiligingslekken zal gemakkelijker worden en waarschijnlijk vaker gebeuren. Daardoor kunnen bedrijven hun maatregelen treffen en hun digitale weerbaarheid verhogen”, zo schrijft de instantie in een persbericht.
Voordelen van Security.txt
Eén van de voordelen is volgens het DTC dat Security.txt “aanzienlijke tijdswinst” oplevert. “Nu gaat er nog wel eens kostbare tijd verloren doordat we contactgegevens moeten zoeken bij de lijsten met IP-adressen. Door contactgegevens in het Security.txt-bestand op te nemen, bereikt het DTC de kwetsbare bedrijven sneller en kan een onderneming eerder starten met schadebeperkende maatregelen”, aldus Kim van der Veen, projectleider bij het DTC.
Tevens benadrukt ze dat Security.txt onderdeel zou kunnen worden van de cyberhygiëne. “Het verbetert immers je weerbaarheid tegen cyberaanvallen omdat je sneller op de hoogte bent van door cyberonderzoekers geconstateerde beveiligingslekken”, aldus Van der Veen. Security.txt is bovendien een veiligheidsmaatregel die snel, eenvoudig en zonder hoge kosten is in te voeren.
Nadelen wegen niet op tegen de voordelen
Het DTC erkent dat er risico’s kleven aan het Security.txt-protocol. Zo bevat het document contactgegevens van bedrijven en organisaties die meldingen over beveiligingslekken willen ontvangen. Hackers en cybercriminelen zouden deze gegevens kunnen misbruiken voor kwaadaardige doeleinden, zoals spam of phishing. Een ander realistisch scenario is dat internetcriminelen een phishingmail vermommen als een melding van een beveiligingslek wanneer ze het naar het contactadres van Security.txt sturen.
Het DTC benadrukt dat je deze risico’s ook loopt als je een contactpagina met e-mailadres publiceert. Of als je in je responsible disclosure pagina een abuse-adres opgeeft. Volgens de ontwikkelaars van Security.txt wegen deze nadelen echter niet op tegen de voordelen. Om het risico op spam of phishing te minimaliseren, is het verstandig om afspraken te maken wie er binnen een organisatie verantwoordelijk is om meldingen te beoordelen en om maatregelen te treffen.
Het DTC gaat de komende tijd met ondernemers en IT-dienstverleners in gesprek om de bekendheid van de beveiligingsstandaard te vergroten. “Mogelijk kan een gerichte campagne hierbij helpen”, denkt Van der Veen.
