Security.txt verplicht voor websites overheid

Dit artikel delen:
alarm

Nederlandse gemeenten, provincies, het Rijk, waterschappen en alle uitvoeringsorganisaties zijn per 25 mei 2023 verplicht om de open standaard security.txt toe te passen op hun website. Zo moet in één keer duidelijk zijn waar kwetsbaarheden gemeld kunnen worden. Ict-dienstverleners gebruiken de verwijzing voor kwetsbaarheidsmeldingen ook steeds vaker.

De standaard omvat een tekstbestand, security.txt genaamd ,waarin contactinformatie gepubliceerd wordt via de webserver. Beveiligingsonderzoekers en ethische hackers kunnen met die informatie direct met de juiste afdeling of persoon contact opnemen als zij een kwetsbaarheid vinden. Door het bestand moeten kwetsbaarheden sneller verholpen worden.

Security.txt is op 25 mei 2023 toegevoegd aan de 'Pas toe of leg uit'-lijst van Forum Standaardisatie. De verplichting sluit aan bij de Baseline Informatiebeveiliging Overheid (BIO), die voorschrijft dat overheidsorganisaties een procedure moeten hebben voor het ontvangen en afhandelen van kwetsbaarheidsmeldingen. Een zogenoemde coordinated vulnerability disclosure (cvd) procedure. Security.txt moet ethische hackers direct naar de juiste ingang voor deze procedure leiden.

Gebruik binnen de overheid

Begin 2023 is door Intenet.nl een meting gedaan waaruit blijkt dat bijna twintig proccent van de gemeten overheidswebsites een security.txt-bestand heeft. Met de verplichting wil het Forum Standaardisatie het gebruik verder vergroten.

‘Hoe meer websites dit implementeren, hoe beter we gebruik kunnen maken van het goede werk van ethisch hackers. De overheid geeft hierin het goede voorbeeld’, aldus Theo Peters, cto bij VNG Realisatie en lid van Forum Standaardisatie.

Ict-dienstverleners

In oktober 2022 deden het Digital Trust Center (DTC) en een aantal securitytech-ambassadeurs een oproep aan bedrijven en ict-dienstverleners om security.txt te gebruiken. Sinds die oproep is het aantal Nederlandse domeinnamen dat voorzien is van een security.txt-bestand volgens die organisatie gegroeid naar ruim 88.000.

DTC gebruikt security.txt om het Nederlandse bedrijfsleven sneller te kunnen waarschuwen (notificeren) bij een ernstige cyberdreiging en juicht de verplichting voor overheden toe.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Reacties

Het zou ook helpen als deze contactinformatie op de website zelf staat. Vroeger had je vaak "webmaster" op een site staan. Tegenwoordig staan bij "contact" verschillende functiegroepen (meestal direct of indirect gerelateerd aan verkoop) maar de webmaster is niet meer te vinden. Dat is niet alleen goed voor security gerelateerde zaken maar ook voor andere (tik)fouten op een pagina.

Kijk maar even naar de Computable Contact pagina: hoofdredacteur, klantenservice, adverteren, lezersreacties, persberichten. Maar geen webmaster (of hoe je het dan ook wil noemen).

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden
Nieuwsbrief

Wil je dagelijks op de hoogte gehouden worden van het laatste ict-nieuws, trends en ontwikkelingen? Abonneer je dan op onze gratis nieuwsbrief.

Vul een geldig e-mailadres in
Vacatures Security

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2023-05-30T16:46:00.000Z Pim van der Beek


Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.