Security.txt nieuwe standaard bij melden van beveiligingslekken?

Bedrijven zijn er bij gebaat om snel op de hoogte gesteld te worden als er een digitale kwetsbaarheid in hun netwerk- of informatiesystemen is. Vaak gaat het om een beveiligingslek op een webserver of een configuratiefout die misbruik mogelijk maakt. Cyberonderzoekers kunnen via scanning dergelijke kwetsbaarheden op het spoor komen. Als niet duidelijk is waar dit gemeld kan worden, komt deze informatie mogelijk niet bij de belanghebbende terecht. Dat is zonde, want kwaadwillenden kunnen met dezelfde technieken het beveiligingslek óók vinden. En misbruiken.

Om ervoor te zorgen dat een vinder van een beveiligingslek dit op een efficiënte manier kan melden bij de belanghebbende, wordt er sinds 2017 aan een universele standaard gewerkt door de Internet  Engineering Task Force (IETF). De IETF is een standaardenorganisatie die zich via discussies binnen de internetcommunity bezighoudt met het ontwikkelen van vrijwillige internetstandaarden. Het protocol dat de uitkomst is van 5 jaar lang overleg heet “security.txt” en wordt ook aangeduid als RFC 9116. Het is nog geen universele standaard, maar wordt wel al door gezaghebbende cybersecurity organisaties zoals NCSC UK aanbevolen als onderdeel van een ‘responsible disclosure’-beleid. Met een responsible disclosure-beleid nodig je de vinder van een beveiligingslek uit om dit op een discrete manier te melden bij een vooropgegeven contactadres zodat je als eigenaar of beheerder de mogelijkheid hebt om de kwetsbaarheid snel op te lossen.

Wordt Security.txt een nieuwe internetstandaard?

Het Digital Trust Center (DTC) is positief over deze voorgestelde standaard. Het DTC staat immers voor het weerbaar maken van ondernemend Nederland en dit relatief simpel te implementeren Security.txt-protocol kan daaraan een positieve bijdrage leveren. Het melden van beveiligingslekken zal gemakkelijker worden en waarschijnlijk vaker gebeuren. Daardoor kunnen bedrijven hun maatregelen treffen en hun digitale weerbaarheid verhogen.

Security.txt levert ook aanzienlijke tijdwinst op. Cyberonderzoekers en melders van kwetsbaarheden kunnen aan de hand van security.txt direct de juiste persoon of afdeling waarschuwen. Hier kan het DTC uit eigen ervaring putten. Sinds 2021 waarschuwt het DTC Nederlandse bedrijven als er bij hen een ernstig beveiligingslek geconstateerd is. “Nu gaat er nog wel eens kostbare tijd verloren doordat we contactgegevens moeten zoeken bij de lijsten met IP-adressen. Door contactgegevens in het Security.txt-bestand op te nemen, bereikt het DTC de kwetsbare bedrijven sneller en kan een onderneming eerder starten met schadebeperkende maatregelen”, aldus Kim van der Veen, projectleider bij het DTC.

Eenvoudige implementatie van Security.txt

Het opnemen van een Security.txt is vrij eenvoudig en kost weinig tijd. Wat je nodig hebt is de medewerking van iemand die toegang heeft tot je webserver. Op Securitytxt.org vind je een handig tooltje waarmee je een eigen security.txt-bestand genereert. Ook staat er beschreven waar dit bestand geplaatst moet worden om te voldoen aan de voorgestelde standaard. Zie bijvoorbeeld de security.txt van het DTC (die doorlinkt naar de security.txt van NCSC.nl als centraal meldpunt voor kwetsbaarheden bij overheidsorganisaties).  

Wat zijn de risico’s of nadelen?

De ontwikkelaars van deze Security.txt standaard melden het risico op spam en nepmeldingen. Doordat je een contactadres publiceert voor het ontvangen van meldingen, kunnen spammers en scammers dit adres vinden en gebruiken voor andere doeleinden, bijvoorbeeld phishing. Dit risico loop je ook als je op je website een contact e-mailadres gepubliceerd hebt (bijvoorbeeld info@bedrijfsnaam.nl) of als je in je ‘responsible disclosure’-pagina een abuse-adres hebt opgegeven. We kunnen er wel van uit gaan dat scammers een phishingmail zullen vermommen als een melding van een beveiligingslek wanneer ze het naar het contactadres van security.txt sturen. Iets om beducht op te zijn. Volgens de ontwikkelaars van Security.txt wegen deze nadelen niet op tegen de voordelen, namelijk waardevolle informatie toegespeeld krijgen over een kwetsbaarheid binnen je bedrijf.

Naast het risico op spam of phishing kan het zijn dat je als bedrijf niet precies weet wat je met de kwetsbaarheidsmeldingen moet doen. Bespreek in dat geval met je IT-dienstverlener of het wenselijk is dat hun contactadres in security.txt wordt opgenomen. Het opvoeren van 2 abuse-adressen is overigens ook mogelijk. Maak in dat geval goede afspraken wie verantwoordelijk is om de meldingen te beoordelen en actie te ondernemen.

Security.txt als vast onderdeel van security maatregelen?

Het DTC is positief over de potentie van security.txt als standaard. Kim van der Veen: “Dit zou onderdeel van je bedrijfshygiëne kunnen worden. Het verbetert immers je weerbaarheid tegen cyberaanvallen omdat je sneller op de hoogte bent van door cyberonderzoekers geconstateerde beveiligingslekken”. Deze veiligheidsmaatregel is bovendien vrij eenvoudig en zonder hoge kosten door te voeren. Daarom gaat het DTC de komende tijd graag met ondernemers en IT-dienstverleners overleggen of deze voorgenomen standaard het verdient om bredere bekendheid te verkrijgen bij het Nederlandse bedrijfsleven. “Mogelijk kan een gerichte campagne hierbij helpen”, aldus Kim van der Veen.

Denk je mee over dit onderwerp?

Ben je ondernemer of verantwoordelijk voor de cybersecurity binnen je bedrijf en wil je meedenken over dit onderwerp? Meld je dan aan bij de DTC Community. De DTC Community is een online platform waarop informatie over en ervaringen met veilig digitaal ondernemen worden uitgewisseld door ondernemers, security- en IT-specialisten.

 

Veilig digitaal ondernemen

Wil je als ondernemer of security verantwoordelijke meldingen van ernstige cyberdreigingen voor bedrijven in je mailbox ontvangen? Sluit je dan aan bij de DTC Community.
Ter ondersteuning van ondernemers is er ook een breed palet aan cybersecurity informatie en een gereedschapskist met cybertools. Testen of je de basis al op orde hebt? Doe de Basisscan Cyberweerbaarheid.