Security.txt, een beveiligingsstandaard die contactgegevens bevat van een bedrijf of organisatie, is sinds vorige week verplicht voor overheidsorganen. Nederlandse gemeenten, provincies, de Rijksoverheid, waterschappen en alle uitvoeringsorganisaties zijn sinds 25 mei verplicht om deze open standaard toe te passen. Voor andere instanties in de publieke sector geldt het dringende advies om Security.txt toe te passen.
Dat maakt het Digital Trust Center (DTC) vandaag bekend.
Dit is security.txt in een notendop
Security.txt is een gestandaardiseerd tekstbestand dat bedrijven en organisaties op hun webserver plaatsen. Het bestand is voor ethische hackers die een kwetsbaarheid hebben ontdekt en dit willen doorgeven aan de betreffende instantie. Het vinden van de juiste contactpersoon kan een tijdrovende klus zijn. Daardoor gaat er waardevolle tijd verloren waardoor hackers en cybercriminelen langer de tijd hebben om deze kwetsbaarheid uit te buiten.
Het security.txt tekstbestand, dat na jarenlang discussiëren en brainstormen tot stand is gekomen, brengt allerlei voordelen met zich mee. Om te beginnen verkort het de zoektocht naar de juiste contactinformatie. Daarnaast kunnen ontwikkelaars en programmeurs sneller maatregelen treffen om een beveiligingslek te dichten. De kans dat er hierdoor slachtoffers vallen is daardoor een stuk kleiner. Tot slot is het goed voor het verbeteren van de digitale weerbaarheid van een bedrijf.
‘De overheid geeft het goede voorbeeld’
Het DTC is altijd voorstander geweest van de nieuwe beveiligingsstandaard. Samen met cybersecurityexperts pleiten ze er al geruime tijd voor om Security.txt verplicht te stellen voor overheidsinstanties. Om dat doel te bereiken stelde het DTC ambassadeurs aan om de beveiligingsstandaard te promoten bij IT-dienstverleners, de Rijksoverheid en het bedrijfsleven.
Na veel inspanning heeft het DTC het voor elkaar gekregen dat Security.txt sinds donderdag 25 mei verplicht is voor Nederlandse overheidsorganen. De Rijksoverheid, provincies, gemeenten, waterschappen en uitvoeringsorganisaties als DUO en het UWV moeten sindsdien het digitale tekstbestand op hun webserver plaatsen. Voor andere organisaties in de publieke sector geldt vooralsnog een dringend advies om de nieuwe beveiligingsstandaard toe te passen.
Forum Standaardisatie, dat bedrijven en organisaties in de publieke sector adviseert over het gebruik van ICT-standaarden, is blij met de verplichting van het gebruik van Security.txt voor overheidsorganisaties. “Hoe meer websites dit implementeren, hoe beter we gebruik kunnen maken van het goede werk van ethisch hackers. De overheid geeft hierin het goede voorbeeld”, zo zegt Theo Peters, Chief Technology Officer (CTO) bij VNG Realisatie en lid van Forum Standaardisatie.
Stappenplan voor implementatie Security.txt
Uit een peiling die begin dit jaar werd uitgevoerd, bleek dat bijna 20 procent van de overheidsinstanties in ons land gebruikmaakte van Security.txt. Volgens de laatste berekeningen maken momenteel meer dan 88.000 Nederlandse domeinnamen gebruik van de beveiligingsstandaard. Het DTC juicht dit toe. “Hopelijk is dit een begin van bredere acceptatie van deze eenvoudige maatregel die bijdraagt aan een digitaal veiliger ondernemend bedrijfsleven”, aldus Kim van der Veen, projectleider DTC Notificatiedienst.
Wil je ook aan de slag met Security.txt, maar weet je niet hoe er ermee moet beginnen? Het DTC heeft een stappenplan online gezet om Security.txt in slechts vier stappen te implementeren. Het Nationaal Cyber Security Centrum (NCSC) heeft een uitvoerige handreiking over dit onderwerp online gezet.
