Security.txt verplicht voor overheidsorganisaties

Onlangs is de internetstandaard security.txt toegevoegd aan de ‘Pas toe of leg uit’-lijst van Forum Standaardisatie, een adviescommissie met deskundigen van overheidsorganisaties, het bedrijfsleven en de wetenschap. Gemeenten, provincies, rijk, waterschappen en alle uitvoeringsorganisaties zijn nu verplicht om deze open standaard toe te passen. Voor alle andere organisaties in de publieke sector geldt een dringend advies om security.txt op hun webserver te plaatsen.

De standaard beschrijft een tekstbestand genaamd security.txt via welk organisaties contactinformatie kunnen publiceren op hun webserver. Beveiligingsonderzoekers en ethische hackers kunnen dankzij deze informatie direct met de juiste afdeling of persoon contact opnemen als zij een kwetsbaarheid vinden, wat het verhelpen van kwetsbaarheden kan versnellen.

Begin 2023 is een meting gedaan met Internet.nl waaruit naar voren kwam dat nog geen vijfde van de gemeten overheidswebsites een security.txt-bestand heeft. Met de verplichting wil het Forum Standaardisatie het gebruik verder vergroten. “Hoe meer websites dit implementeren, hoe beter we gebruik kunnen maken van het goede werk van ethische hackers. De overheid geeft hierin het goede voorbeeld”, zegt Theo Peters, lid van Forum Standaardisatie en CTO bij VNG Realisatie.

De meting laat ook zien dat verschillende Rijksoverheidsorganisaties al verwijzen naar het centrale security.txt-bestand van het Nationaal Cyber Security Centrum (NCSC). Forum Standaardisatie roept alle Rijksoverheidsorganisaties die gebruik willen maken van het centrale CVD-beleid van de Rijksoverheid, op dat ook te doen. Het NCSC heeft daarvoor een Handreiking security.txt met uitleg gepubliceerd.

In oktober 2022 deden het Digital Trust Center (DTC) en een groot aantal ambassadeurs een oproep aan bedrijven en IT-dienstverleners om security.txt te gebruiken. Sinds die oproep is het aantal Nederlandse domeinnamen dat voorzien is van een security.txt-bestand gegroeid naar ruim 88.000.

Het Digital Trust Center gebruikt security.txt om het Nederlandse bedrijfsleven sneller te kunnen waarschuwen bij een ernstige cyberdreiging en juicht dan ook toe dat bedrijven dit eenvoudige security.txt-bestand aan de webserver toevoegen.

Gerelateerde artikelen

Zero trust: hoe maak ik het concreet?

Zero trust: hoe maak ik het concreet?

Jaarlijks zijn er tal van onderzoek- en adviesbureaus met allerlei overzichten van strategische trends in IT en cybersecurity. Steevast is zero trust onderdeel van deze lijstjes, met over het algemeen een toelichting in de trant van ‘vertrouw niets zomaar, maar verifieer. Maar wat moet je hier nu concreet mee als CIO, CISO of IT-manager?

Gebrekkige compliance: Nederlandse bedrijven vatbaar voor datalekken

Gebrekkige compliance: Nederlandse bedrijven vatbaar voor datalekken

Meer dan een derde van alle Nederlandse bedrijven zakte vorig jaar voor hun compliance-audit. Daardoor lopen ze een tien keer grotere kans op een datalek. Tien procent werd in 2023 slachtoffer van een ransomware-aanval. Van al die bedrijven betaalde vier procent losgeld. Dat stelt Thales in zijn meest recente Data Threat Report.

Twee derde werknemers gokt met security

Twee derde werknemers gokt met security

Ruim twee derde van Nederlandse werknemers brengt de organisatie bewust in gevaar, wat tot ransomware- of malware-infecties, datalekken of financieel verlies leidt. Meer dan vier op de vijf van de onderzochte organisaties maakte in 2023 ten minste één succesvolle aanval mee.

Overheid lanceert NIS2-Quickscan

Overheid lanceert NIS2-Quickscan

Op 29 februari heeft de Rijksoverheid de NIS2-Quickscan gelanceerd waarmee organisaties zich kunnen voorbereiden op de nieuwe Europese NIS2-richtlijn. Deze richtlijn is gericht op het vergroten van de digitale weerbaarheid van bedrijven en organisaties in de EU.