Wat is security.txt?

De standaard zelf is gratis. Besluit je zelf een security.txt bestand aan te maken en kun het zelf plaatsen op je webserver, dan zijn er dus geen kosten. Moet je voor het plaatsen een verzoek indienen bij je IT-dienstverlener, dan kunnen hier kosten voor worden gerekend. Afhankelijk van de complexiteit en de omvang van jouw IT-omgeving kunnen deze kosten verschillen. Het maken en plaatsen van security.txt is een zeer eenvoudige handeling waarvoor de inspanning naar alle waarschijnlijkheid minimaal is.

Wil je dat meldingen terecht komen bij een externe partij, bijvoorbeeld je IT-dienstverlener? Dan kunnen hier kosten voor worden gerekend. Je leverancier zal de meldingen dan moeten checken en de ernst ervan beoordelen. Het kan zijn dat dit een uitbreiding is van de bestaande dienstverleningsovereenkomst. In het geval kunnen er bijkomende kosten berekend worden.

Nee, het is niet moeilijk. In de basis is de security.txt technisch vrij eenvoudig. Voor het maken van de security.txt voor je organisatie zijn maar 2 variabelen verplicht: contactadres en vervaldatum. Met deze waarden zet je al een grote stap als het gaat om het ontvangen van meldingen over kwetsbaarheden.

In de security.txt standaard kun je optioneel nog 5 aspecten bekend maken. Bijvoorbeeld in welke taal je de melding verwacht, waar je beleidsregels voor het melden te vinden zijn en wat je encryptie key is als je deze berichten versleuteld wilt ontvangen. 

Voor het implementeren van security.txt is niet veel technische kennis nodig. Er zijn online tools en 'plugins' die het bestand automatisch genereren en plaatsen op je webserver. Mocht je niet de rechten hebben om het bestand op je webserver te plaatsen, raadpleeg dan de IT-dienstverlener die deze rechten wel heeft.

Ja, het is voor ondernemers of IT-verantwoordelijken het betrekkelijk eenvoudig om een security.txt bestand te maken. Of je het bestand op de server kunt plaatsen, is afhankelijk van de rechten die je hebt. Mogelijk moet je dit verzoek bij je IT-dienstverlener neerleggen. Bekijk welke stappen je doorloopt voor je het implementeren van security.txt.

Benieuwd naar de ervaringen van bedrijven die security.txt al geïmplementeerd hebben? Lees dan enkele ervaringsverhalen.

Wanneer je zelf een security.txt wil plaatsen, dan moet je de rechten hebben om bestanden op de webserver te plaatsen. Staat je website op een server waar alleen een webhosting bedrijf bij kan, dan heb je hun hulp nodig.

 
Wil  je kwetsbaarheden gemeld hebben in een  aparte mailbox? Dan is het belangrijk om deze mailbox alvast aan te maken als deze nog niet bestaat. Dit mailadres kun je dan opgeven in het security.txt-bestand.

Het security.txt-bestand plaats je op de webserver in een (nieuw aan te maken) "/.well-known/"-map. De URL die leidt naar je security.txt is dan bijvoorbeeld: "https://voorbeeldbedrijf.nl/.well-known/security.txt" 

In eerste instantie is het belangrijk om security.txt neer te zetten op het hoofddomein van je bedrijf. Hiermee bedoelen we het domein waar je bijvoorbeeld jouw bedrijfswebsite op hebt staan en waarvan de kans groot is dat je deze ook gebruikt om mee te e-mailen.

Met het plaatsen van een security.txt op je hoofddomein zet je al een grote stap en dit is voor veel bedrijven al afdoende.

• Heb je ook andere domeinen of subdomeinen? Plaats dan indien mogelijk ook een security.txt op deze locaties.
• Is een belangrijke applicatie alleen te benaderen via een IP-adres? Ook dan is het aan te raden om een security.txt in te richten.

Voor het neerzetten van een security.txt is het wel noodzakelijk dat er een webserver op draait waar het security.txt-bestand te plaatsen en benaderen is.

In het security.txt heb je opgegeven waar je de kwetsbaarheidsmeldingen wilt ontvangen. Zorg in eerst instantie dat er toezicht is op de binnenkomende meldingen. Wie beoordeelt de meldingen? Wie komt in actie?

Zorg dat de betrokkenen op de hoogte zijn en weten wat er van hen verwacht wordt. Maak indien nodig aanvullende afspraken hierover met je IT-dienstverlener.

Benieuwd hoe het implementeren van security.txt bij anderen gegaan is? Lees deze ervaringsverhalen van bedrijven die je voorgingen. 

Dit is de eerste keuze bij het implementeren van security.txt. Je kunt besluiten om de kwetsbaarheidsmeldingen naar een intern e-mailadres te laten sturen. Als je binnen je organisatie voldoende kennis en kunde hebt om de berichten te beoordelen en op te volgen, dan is dit een reële optie. Ontbreekt het aan deze mogelijkheden, dan is het advies om dit werkproces te beleggen bij een IT-dienstverlener. Besluit je zelf de meldingen op te volgen dan kun je ook nog per melding besluiten of je hier een externe leverancier voor raadpleegt.

In zekere zin is dit niet veel anders dan andere berichten die je binnenkrijgt. Er is altijd een risico op misleiding bijvoorbeeld in de vorm van phishing.

Enkele tips:

• Een goede anti-spam oplossing zorgt al voor een eerste check op berichten die binnenkomen.
• Weet hoe je phishing kunt herkennen.

Het plaatsen van een e-mailadres als contactadres kan spam tot gevolg hebben. Je kunt gewaarschuwd worden voor kwetsbaarheden die er niet zijn of niet ernstig zijn. Het e-mailadres kan ook worden gebruikt voor phishing of commerciële aanbiedingen. Het nadeel van mogelijke spam geldt ook voor andere adressen die op de website vermeld staan, zoals een e-mailadres voor contact of woordvoering.

Wat kun je doen?

• Er is met filtering van berichten zeker wat te doen aan dit nadeel.
• Mocht het toch een probleem geven, dan laat security.txt ook toe om te verwijzen naar de locatie van een webformulier voor meldingen.
  Zo is bijvoorbeeld "https://voorbeeldbedrijf.nl/security-contact.html" ook toegestaan als contactadres.

Benieuwd hoe security.txt in de praktijk ervaren wordt door bedrijven die het al geïmplementeerd hebben? Lees hun ervaringen.