1 op 10 gemeenten gebruikt verplichte standaard

Sinds afgelopen week zijn overheden verplicht om de internetstandaard security.txt te publiceren op hun websites. Deze standaard geeft ethische hackers en onderzoekers de mogelijkheid om direct contact op te nemen als zij kwetsbaarheden aantreffen op de site. Dat verkleint de kans dat cybercriminelen er in de tussentijd misbruik van maken. Momenteel is een derde van de overheidsdomeinen op de juiste manier voorzien van security.txt. Bij gemeenten is het tien procent.

Verplichting komt niet als verrassing

Forum Standaardisatie had al enige tijd een consultatie lopen over het verplichtstellen van de internetstandaard. Het nieuws dat de standaard nu op de ‘Pas toe of leg uit’-lijst staat, mag dan ook niet als een verrassing zijn gekomen voor overheden. Toch lijkt slechts een deel zich op de naderende verplichting te hebben voorbereid. 

Nog veel werk te verrichten

Op basisbeveiliging.nl is te zien dat er nog veel werk te verrichten is. De site test automatisch of de webserver van de overheid een security.txt-bestand op de juiste locatie aanbiedt, of het opgehaald kan worden en of de syntax van de inhoud klopt. 533 overheidsdomeinen zijn op 1 juni 2023 op de juiste manier voorzien van de standaard, blijkt uit de test. Daar staan 975 domeinen tegenover die nog niet gebruikmaken van de standaard (de site checkt geen subdomeinen). 80 van de 492 gemeten overheidsorganisaties gebruikt de standaard op al hun sites, vaak de kleinere. De gegevens waarvan basisbeveiliging.nl gebruikmaakt voor de test zijn afkomstig van Internet.nl.

Soms bijna goed, maar niet helemaal

Van de gemeenten kleuren er 33 groen in het overzicht. Op 1 mei 2023 waren dat er overigens nog 51. Elger Jonker van de Internet Cleanup Foundation, die basisbeveiliging.nl bijhoudt, laat weten dat dat komt omdat er in juni net iets strenger wordt gekeken naar de syntax van het bestand. ‘Dit moet eindigen op een nieuwe regel, wat nog niet altijd gebeurt.’ Onder dit wat strengere beleid voldoet dus slechts een tiende van de gemeenten aan de wettelijk vereiste standaard.

Andere overheden

Bij de waterschappen zijn er 6 organisaties die het security.txt-bestand overal toepassen en 16 waar nog iets ontbreekt. Van de provincies passen er 3 de standaard toe (Zuid-Holland, Groningen en Limburg om precies te zijn). 9 provincies doen dat nog niet. Ook de koepelorganisaties IPO, Unie van Waterschappen en de Vereniging van Nederlandse gemeenten (VNG) zijn nog niet zo ver. De informatiebeveiligingsdienst (IBD) van de VNG gebruikt security.txt overigens wel.