Securitymeldpunt mogelijk verplicht voor overheidssites
Het Forum Standaardisatie doet nu onderzoek of de standaard voor security.txt in de code voor websites verplicht moet worden gesteld voor gebruik door de overheid. Die adviescommissie met deskundigen uit de overheidssector, het bedrijfsleven en de wetenschap kijkt nu of dit tekstbestand met contactinformatie voor securitymeldingen geschikt is voor 'promotie' tot verplichte overheidsstandaard.
© Shutterstock.com
Shutterstock.com
Een jaar geleden heeft AG Connect een inventaris gedaan naar nut van en noodzaak voor security.txt onder security-experts en belanghebbenden in Nederland. Toen hebben onder meer ICT-beveiligingsorganisaties Digital Trust Center (DTC) en het Nationaal Cyber Security Centrum (NCSC) aangegeven nut te zien in security.txt. Terwijl er ook kleine kanttekeningen zijn te plaatsen bij dit tekstbestand voor cybersecurity, waren er toen wel overwegend lovende reacties. Frank Breedijk, CISO bij Schuberg Philis, zei: "Ik wil er zelfs voor pleiten dat dit wordt opgenomen in sites als SSLlabs, securityheaders en internet.nl".
Verplichting en dringend advies
Breedijks pleidooi lijkt nu gehoor te vinden. Het Forum Standaardisatie meldt op Twitter dat het onderzoek doet om security.txt verplicht te stellen voor de overheid. Dit zou dan lopen via de 'pas toe of leg uit'-lijst. Daarbij wordt de verplichting aan overheidsinstanties opgelegd om bepaalde standaarden toe te passen ténzij ze onderbouwd uitleggen waarom ze afwijken van die lijst. "Sommige belangrijke open standaarden worden te weinig gebruikt, waardoor onze digitale samenleving kwetsbaar, inefficiënt of niet toegankelijk is voor iedereen", legt het Forum Standaardisatie uit over dit overheidsbeleid.
De verplichting geldt voor gemeenten, provincies, rijk, waterschappen en alle uitvoeringsorganisaties. Voor alle andere organisaties in de publieke sector geldt het gebruik van de standaarden op de ‘pas toe of leg uit’-lijst als een (formeel) dringend advies. Overigens geldt er hierbij wel een grens qua aanschafwaarde van ICT-diensten en -producten die 50.000 euro of meer bedragen.
Al op gang gekomen
De bekendmaking dat het Forum Standaardisatie serieus naar security.txt kijkt, is in reactie op een tweet van Internet.nl. Die organisatie is vorig jaar al door security-expert en DIVD mede-grondlegger Breedijk genoemd in zijn pleidooi voor brede omarming van security.txt. Internet.nl doet nu de algemene oproep om dat tekstbestand te gebruiken. "Waar kunnen ethische hackers kwetsbaarheden bij jouw organisatie melden? Publiceer een security.txt-bestand en test het met Internet․nl."
Daarbij verwijst de Nederlandse internetorganisatie naar zijn websitetest die begin deze week is uitgebreid met het standaard tekstbestand voor securitymeldingen. Dat nieuwe testonderdeel is ontwikkeld samen met het DTC. "Door een eenvoudige toevoeging van dit gestandaardiseerde format aan jouw webdomein is het voor “helpende hackers” makkelijker geworden om de juiste contacten te leggen als zij bij jou een kwetsbaarheid aantreffen", legt Gerben Klein Baltink, voorzitter van het Platform Internetstandaarden, uit.
Lente 2023
Het Forum Standaardisatie heeft eind vorige maand besloten een expertonderzoek in te stellen naar eventuele overheidsverplichting van security.txt. Dit levert naar verwachting in het komende voorjaar een uitslag op.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee