Overheden verplicht om security.txt toe te passen

Nederlandse gemeenten, provincies, rijk, waterschappen en alle uitvoeringsorganisaties krijgen het ‘dringend advies’ om security.txt toe te passen. Per 25 mei 2023 is internetstandaard security.txt toegevoegd aan de ‘Pas toe of leg uit-lijst‘ van Forum Standaardisatie.

De standaard beschrijft een tekstbestand genaamd security.txt waarin een overheidsorganisatie  contactinformatie kan publiceren op de eigen webserver. Beveiligingsonderzoekers en ethische hackers kunnen dankzij deze informatie direct met de juiste afdeling of persoon contact opnemen als zij een kwetsbaarheid vinden. Dit kan het verhelpen van de kwetsbaarheden versnellen. En dat geeft cybercriminelen minder kans om er misbruik van te maken.

“Hoe meer websites dit implementeren, hoe beter we gebruik kunnen maken van het goede werk van ethisch hackers. De overheid geeft hierin het goede voorbeeld”, aldus Theo Peters, CTO bij VNG Realisatie en lid van Forum Standaardisatie.

Meting gedaan met Internet.nl

Begin dit jaar is een meting gedaan met Internet.nl. Daaruit kwam naar voren dat nog geen 20% van de gemeten overheidswebsites een security.txt-bestand heeft. Wel verwijzen verschillende Rijksoverheidsorganisaties al naar het centrale security.txt-bestand van het Nationaal Cyber Security Centrum (NCSC). Forum Standaardisatie roept alle Rijksoverheidsorganisaties die gebruik willen maken van het centrale CVD-beleid van de Rijksoverheid, op om dat ook te doen. Het NCSC heeft daarvoor een Handreiking security.txt met uitleg gepubliceerd.

Gebruik door bedrijfsleven

In oktober 2022 deden het Digital Trust Center (DTC) en een groot aantal ambassadeurs een oproep aan bedrijven en IT-dienstverleners om security.txt te gebruiken. Sinds die oproep is het aantal Nederlandse domeinnamen dat voorzien is van een security.txt-bestand gegroeid naar ruim 88.000.