Forum Standaardisatie heeft op 25 mei 2023 de standaard security.txt toegevoegd aan haar ‘Pas toe of leg uit’-lijst. Hiermee zijn Nederlandse gemeenten, provincies, rijk, waterschappen en alle uitvoeringsorganisaties verplicht om deze open standaard toe te passen.
Wat is security.txt?
De meeste organisaties en bedrijven hebben wel eens te maken gehad met een cyberaanval. Een van de oorzaken hiervan kan een beveiligingslek in je IT-systeem zijn. Bijvoorbeeld door het niet tijdig updaten van de software of een verkeerde configuratie. Hiermee zet je de deur open voor cybercriminelen. Ethische hackers of cyberonderzoekers met goede bedoelingen willen je waarschuwen. Maar hoe bereiken ze je? Security.txt is een standaard die beschrijft hoe je een tekstbestand met contactinformatie kunt publiceren op je webserver. Hierin kunnen ethische hackers of cyberonderzoekers lezen met welke afdeling of persoon zij contact op kunnen nemen als zij een kwetsbaarheid vinden. Zo kun je het probleem sneller oplossen en een cyberaanval voorkomen.
Aansluiting bij de BIO
De Baseline Informatiebeveiliging Overheid (BIO) geeft aan dat overheidsorganisaties een procedure moeten hebben voor het ontvangen en afhandelen van kwetsbaarheidsmeldingen. Dit heet een Coordinated Vulnerability Disclosure (CVD) procedure. Security.txt zorgt ervoor dat deze procedure makkelijk vindbaar is voor ethische hackers. Zo maak je je procedure beter toegankelijk.
Gebruik security.txt vergroten
Bij overheidswebsites wordt security.txt nog niet veel toegepast. Internet.nl heeft begin 2023 een onderzoek gedaan. Hieruit blijkt dat bijna 20% van de Nederlandse overheidswebsites een security.txt bestand heeft. Het verplicht stellen van de standaard security.txt voor de overheid zal dit gebruik nog meer vergroten.
Ook het bedrijfsleven kan nog een flinke stap zetten. In oktober 2022 heeft het Digital Trust Center (DTC) een oproep gedaan aan bedrijven en IT-verleners om security.txt te gebruiken. Inmiddels is het aantal websites met een security.txt toegenomen tot ruim 88.000.
Zelf aan de slag
Er is een aantal hulpmiddelen beschikbaar om je te helpen security.txt ook aan je eigen website toe te voegen.
- Meer informatie over de standaard security.txt (Forum Standaardisatie)
- Test je website op security.txt (Internet.nl)
- Handreiking met meer informatie over de standaard en hoe die toegepast kan worden (Nationaal Cyber Security Centrum – NCSCV)
- Stappenplan implementatie security.txt in 5 minuten (Digital Trust Center – DTC)
- Security.txt voor IT-dienstverleners (Digital Trust Center – DTC)
Open Spreekuur
Op 7 juni organiseert Forum Standaardisatie een online Open Spreekuur. Heb je nog vragen over de standaard of de toepassing ervan? Zij helpen je graag verder.
Meer informatie
security.txt verplicht voor overheid (nieuwsbericht Forum Standaardisatie)
