Advertentie
digitaal / Nieuws

Mogelijk verplicht securitymeldpunt voor overheidssites

'Waar kunnen ethische hackers kwetsbaarheden bij jouw organisatie melden? Publiceer een security.txt-bestand en test het met Internet․nl.'

14 oktober 2022
cybersecuritytoets
Shutterstock

Het Forum Standaardisatie doet nu onderzoek of de standaard voor security.txt - een standaard tekstbestand op websites met daarin contactinformatie voor melding van kwetsbaarheden - verplicht moet worden gesteld voor gebruik door de overheid.

Inkoopadviseur

Gemeente Apeldoorn
Inkoopadviseur

CAO-onderhandelaar (24-36 uur)

CMHF Overheid
CAO-onderhandelaar (24-36 uur)

Die adviescommissie met deskundigen uit de overheidssector, het bedrijfsleven en de wetenschap kijkt nu of dit tekstbestand met contactinformatie voor securitymeldingen geschikt is voor 'promotie' tot verplichte overheidsstandaard.

Een jaar geleden heeft AG Connect een inventarisatie gedaan van de nut van en noodzaak voor security.txt onder security-experts en belanghebbenden in Nederland. Toen hebben onder meer ict-beveiligingsorganisaties Digital Trust Center (DTC) en het Nationaal Cyber Security Centrum (NCSC) aangegeven nut te zien in security.txt. Terwijl er ook kleine kanttekeningen zijn te plaatsen bij dit tekstbestand voor cybersecurity, waren er toen wel overwegend lovende reacties. Frank Breedijk, CISO bij Schuberg Philis, zei: 'Ik wil er zelfs voor pleiten dat dit wordt opgenomen in sites als SSLlabs, securityheaders en internet.nl'.

Verplichting en dringend advies

Breedijks pleidooi lijkt nu gehoor te vinden. Het Forum Standaardisatie meldt op Twitter dat het onderzoek doet om security.txt verplicht te stellen voor de overheid. Dit zou dan lopen via de 'pas toe of leg uit'-lijst. Daarbij wordt de verplichting aan overheidsinstanties opgelegd om bepaalde standaarden toe te passen ténzij ze onderbouwd uitleggen waarom ze afwijken van die lijst. 'Sommige belangrijke open standaarden worden te weinig gebruikt, waardoor onze digitale samenleving kwetsbaar, inefficiënt of niet toegankelijk is voor iedereen', legt het Forum Standaardisatie uit over dit overheidsbeleid.

De verplichting geldt voor gemeenten, provincies, rijk, waterschappen en alle uitvoeringsorganisaties. Voor alle andere organisaties in de publieke sector geldt het gebruik van de standaarden op de ‘pas toe of leg uit’-lijst als een (formeel) dringend advies. Overigens geldt er hierbij wel een grens qua aanschafwaarde van ict-diensten en -producten die 50.000 euro of meer bedragen.

Al op gang gekomen

De bekendmaking dat het Forum Standaardisatie serieus naar security.txt kijkt, is in reactie op een tweet van Internet.nl. Die organisatie is vorig jaar al door security-expert en DIVD-mede-grondlegger Breedijk genoemd in zijn pleidooi voor brede omarming van security.txt. Internet.nl doet nu de algemene oproep om dat tekstbestand te gebruiken. 'Waar kunnen ethische hackers kwetsbaarheden bij jouw organisatie melden? Publiceer een security.txt-bestand en test het met Internet․nl.'

Daarbij verwijst de Nederlandse internetorganisatie naar zijn websitetest die begin deze week is uitgebreid met het standaard tekstbestand voor securitymeldingen. Dat nieuwe testonderdeel is ontwikkeld samen met het DTC. 'Door een eenvoudige toevoeging van dit gestandaardiseerde format aan jouw webdomein is het voor "helpende hackers" makkelijker geworden om de juiste contacten te leggen als zij bij jou een kwetsbaarheid aantreffen', legt Gerben Klein Baltink, voorzitter van het Platform Internetstandaarden, uit.

Lente 2023

Het Forum Standaardisatie heeft eind vorige maand besloten een expertonderzoek in te stellen naar eventuele overheidsverplichting van security.txt. Dit levert naar verwachting in het komende voorjaar een uitslag op.

Bron: AG Connect

Plaats als eerste een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.

Advertentie