De testtool Internet.nl kijkt vanaf nu ook of het tekstbestand security.txt aanwezig is op de webserver van bedrijven en organisaties. Hierdoor wordt het voor ethische hackers eenvoudiger om kwetsbaarheden sneller te melden bij de juiste persoon. Later dit jaar zal security.txt worden toegevoegd aan de API en het dashboard van Internet.nl.
Dat valt te lezen op Internet.nl, een initiatief van het Platform Internetstandaarden, een samenwerkingsverband van partijen uit de internetgemeenschap en de Nederlandse overheid.
DTC positief over security.txt
Security.txt is het resultaat van jarenlang brainstormen en discussiëren tussen het bedrijfsleven, beveiligingsspecialisten en de Rijksoverheid. In essentie is security.txt nets meer dan een gestandaardiseerd tekstbestand met contactinformatie dat bedrijven en overheidsinstanties op hun webserver plaatsen. Ethische hackers en cybersecurityspecialisten kunnen deze gegevens gebruiken om direct contact te zoeken met de juiste persoon binnen een organisatie als ze een kwetsbaarheid in hun IT-systemen hebben gevonden. Het idee is dat experts niet onnodig veel tijd kwijt zijn om de juiste contactpersoon te vinden, waardoor hackers en cybercriminelen minder kans krijgen om er misbruik te maken van te maken.
Het Digital Trust Center (DTC) zei eerder dit jaar positief te zijn over security.txt. “Het DTC staat immers voor het weerbaar maken van ondernemend Nederland en dit relatief simpel te implementeren security.txt-protocol kan daaraan een positieve bijdrage leveren. Het melden van beveiligingslekken zal gemakkelijker worden en waarschijnlijk vaker gebeuren. Daardoor kunnen bedrijven hun maatregelen treffen en hun digitale weerbaarheid verhogen”, zo zei het adviesorgaan over de beoogde beveiligingsstandaard.
Snelheid van groot belang bij beveiligingsprobleem
Ieder moment kunnen beveiligingsonderzoekers en ethische hackers kwetsbaarheden of exploits vinden op websites of IT-systemen. Beheerders en organisaties willen vanzelfsprekend zo snel mogelijk hier van af weten zodat ze maatregelen kunnen nemen om het lek te dichten. Momenteel is het vaak niet duidelijk waar een securityspecialist terecht kan als hij een kwetsbaarheid ontdekt. Daardoor gaat er waardevolle tijd verloren en hebben hackers en internetcriminelen een groter tijdsvenster om er misbruik van te maken.
Snelheid is van groot belang als een lek aan het licht komt, zo zegt het DTC dat regelmatig Nederlandse bedrijven waarschuwt voor beveiligingsproblemen. De nieuwe beveiligingsstandaard security.txt kan hierbij helpen door contactgegevens beschikbaar te stellen. Het DTC adviseert bedrijven en organisaties om een security.txt tekstbestand op hun webserver te publiceren en actueel te houden.
Open, vrij en veilig internet
Om te zien of het bedrijfsleven deze maatregel implementeert, controleert de testtool Internet.nl op de aanwezigheid van een security.txt tekstbestand. “Samen met het DTC hebben we eraan gewerkt dat Internet.nl nu ook test op security.txt|, zo vertelt Gerben Klein Baltink, voorzitter van Platform Internetstandaarden.
“Door een eenvoudige toevoeging van dit gestandaardiseerde format aan jouw webdomein, is het voor ‘helpende hackers’ makkelijker geworden om de juiste contacten te leggen als zij bij jou een kwetsbaarheid aantreffen. Ik wil daarom organisaties van harte aanmoedigen om een security.txt-bestand te publiceren en via Internet.nl te checken of dit op de juiste manier is gedaan. Zo houden we het internet samen open, vrij en veilig.”
Security.txt voorlopig alleen aanbevolen status
Voorlopig wordt de aanwezigheid van security.txt enkel aanbevolen. Dat betekent dat de aan- of afwezigheid van het tekstbestand nog niet wordt meegewogen in de totaalscore van het testresultaat van Internet.nl. Nog voor het einde van het jaar wordt de security.txt test toegevoegd aan de API en het dashboard van Internet.nl.
Forum Standaardisatie onderzoekt momenteel of de security.txt-standaard geschikt is om te verplichten aan de overheid via plaatsing op de ‘pas toe of leg uit’-lijst. Dat is een adviescommissie die publieke organisaties helpt met het veilig uitwisselen van gegevens. Deze groep bestaat uit deskundigen uit de overheidssector, het bedrijfsleven en de wetenschap.
