Brede steun voor internetstandaard security.txt

“Cybercriminaliteit is industrieel schaalbaar, weerbaarheid nog niet.” Dit is één van de strategische thema’s die nu en in de komende jaren relevant zijn voor de digitale veiligheid van Nederland volgens de Nederlandse Cybersecuritystrategie 2022-2028 (NLCS).

In mei liet het Digital Trust Center (DTC) weten positief te zijn over de potentie van security.txt als standaard. Een rondgang van het DTC bij publieke en private organisaties in het cybersecuritydomein over het nut van security.txt, levert het beeld van brede steun op. Cybersecurityexperts zijn het erover eens dat deze relatief eenvoudige maatregel een oplossing kan zijn voor schaalbaarheid in het delen van dreigingsinformatie met bedrijven. Bij een dreigende situatie kunnen bedrijven sneller in actie komen en een cyberaanval mogelijk voorkomen.

Het belang van security.txt

Security.txt is een tekstbestand met daarin de contactgegevens van de IT-verantwoordelijke van een bedrijf of organisatie. Omdat het bestand op een afgesproken plaats op een webserver staat, kunnen beveiligingsonderzoekers, ethische hackers of doordelers van dreigingsinformatie zoals het DTC, een beveiligingsprobleem direct melden bij de juiste persoon of afdeling. Dat geeft bedrijven en organisaties de kans om maatregelen te treffen om schade te voorkomen of beperken. Dit komt de veiligheid in de gehele bedrijfsketen weer ten goede. 

Voor- en nadelen

Ook organisaties die dreigingsinformatie uitwisselen bevelen het gebruik van security.txt aan. Dat het meldproces efficiënter kan, ervaart het DTC zelf ook bij het doordelen van dreigingsinformatie met het bedrijfsleven.

Kim van der Veen, projectleider DTC-notificatiedienst: "Als IP-adressen die we van beveiligingsonderzoekers ontvangen te herleiden zijn naar domeinnamen, is er nog een uitdaging: het vinden van een e-mailadres of telefoonnummer van de IT-verantwoordelijke. Het gebruik van security.txt verandert dit en maakt het zelfs mogelijk om geautomatiseerd bedrijven te waarschuwen. Dit levert in zo'n dreigende situatie aantrekkelijke tijdwinst op."

Het publiceren van een e-mailadres op een openbaar toegankelijke plek, kan tot misbruik leiden. Het e-mailadres kan bijvoorbeeld gebruikt worden voor phishing of commerciële aanbiedingen. Cybersecurityexperts zijn het erover eens dat het risico van extra spam niet opweegt tegen het risico van een gemiste melding.

Aanbevolen standaard

De nieuwe internetstandaard is officieel gedocumenteerd onder RFC 9116 en wordt momenteel beoordeeld door Forum Standaardisatie. Deze organisatie besluit of open ICT-standaarden verplicht worden voor de Rijksoverheid. De uitkomst van dit expertonderzoek wordt komend voorjaar verwacht.

Platform Internetstandaarden, de organisatie achter Internet.nl, heeft al werk gemaakt van security.txt. Aan de websitetest op Internet.nl is in nauwe samenwerking met het DTC een nieuw testonderdeel voor security.txt toegevoegd. Dit testonderdeel controleert of het security.txt-bestand aanwezig is en uitgelezen kan worden.

Oproep tot gebruik van security.txt

Het DTC wil - samen met een groot aantal ambassadeurs het gebruik van security.txt door bedrijven en IT-dienstverleners stimuleren. Deze eenvoudige beveiligingsmaatregel kan een aanzienlijke verbetering opleveren voor de uitwisseling van dreigingsinformatie en daarmee de weerbaarheid van het Nederlandse bedrijfsleven. Voor de oproep om security.txt te gebruiken zijn diverse communicatiemiddelen beschikbaar in de Toolkit security.txt.

 

Veilig digitaal ondernemen

Wil je als ondernemer of security verantwoordelijke meldingen van ernstige cyberdreigingen voor bedrijven in je mailbox ontvangen? Sluit je dan aan bij de DTC Community.
Ter ondersteuning van ondernemers is er ook een breed palet aan cybersecurity informatie en een gereedschapskist met cybertools. Testen of je de basis al op orde hebt? Doe de Basisscan Cyberweerbaarheid.