Nieuwe internetstandaard verplicht voor overheidswebsites

Sinds vorige week zijn alle overheidswebsites verplicht om te voldoen aan de internetstandaard security.txt. Deze open standaard biedt ethische hackers de mogelijkheid om contact op te nemen met de juiste afdeling of persoon wanneer een kwetsbaarheid wordt ontdekt.

Security.txt is een tekstbestand dat op de website wordt geplaatst, waarin de beheerder contactinformatie kan plaatsen. Beveiligingsonderzoekers en ethische hackers kunnen dankzij deze informatie direct met de juiste afdeling of persoon contact opnemen als zij een kwetsbaarheid vinden. Vaak is namelijk niet duidelijk bij wie een beveiligingsexpert moet zijn om zulke kwetsbaarheden te melden. De overheidsdienst Forum Standaardisatie heeft na onderzoek besloten om het plaatsen van security.txt verplicht te stellen. Uit het onderzoek kwam naar voren dat bijna 20% van de gemeten overheidswebsites een security.txt-bestand heeft.

Verplichting moet het gebruik verder stimuleren

Met de verplichting wil het Forum Standaardisatie het gebruik verder vergroten. “Hoe meer websites dit implementeren, hoe beter we gebruik kunnen maken van het goede werk van ethisch hackers. De overheid geeft hierin het goede voorbeeld”, aldus Theo Peters (CTO bij VNG Realisatie en lid van Forum Standaardisatie).

De meting laat ook zien dat verschillende Rijksoverheidsorganisaties al verwijzen naar het centrale security.txt-bestand van het Nationaal Cyber Security Centrum (NCSC). Forum Standaardisatie roept alle Rijksoverheidsorganisaties die gebruik willen maken van het centrale CVD-beleid van de Rijksoverheid, op om dat ook te doen. Het NCSC heeft daarvoor een Handreiking security.txt met uitleg gepubliceerd.

Ook DTC gebruikt security.txt

Overigens deden het Digital Trust Center en diverse ambassadeurs al in oktober vorig jaar een oproep aan bedrijven en IT-dienstverleners om security.txt te gebruiken. Sinds die oproep is het aantal Nederlandse domeinnamen dat voorzien is van een security.txt-bestand gegroeid naar ruim 88.000. Niet alleen ethische hackers kunnen gebruik maken van het bestand. Het Digital Trust Center gebruikt security.txt om het Nederlandse bedrijfsleven sneller te kunnen waarschuwen bij een ernstige cyberdreiging. De dienst hoopt dat de verplichting bij de overheid nu ook andere bedrijven en organisaties over de streep trekt.

Het formaat van het bestand is bedoeld om machinaal en menselijk leesbaar te zijn. De contactinformatie kan een e-mailadres, een telefoonnummer en/of een webpagina met bijvoorbeeld een webformulier zijn. Naast contactinformatie moet het security.txt bestand ook een vervaldatum bevatten. Daarnaast kan het ook andere relevante informatie voor beveiligingsonderzoekers bevatten, zoals een link naar het beleid voor het omgaan met meldingen van beveiligingskwetsbaarheden, een zogeheten Coordinated Vulnerability Disclosure Policy.

 

Bron: ChannelConnect (Security.txt vanaf nu verplicht voor overheidswebsites (channelconnect.nl))

Auteur: Marcel Debets (ChannelConnect)

Uitgelichte topics