security.txt verplicht voor overheid
Per 25 mei 2023 is security.txt toegevoegd aan de 'Pas toe of leg uit'-lijst van Forum Standaardisatie. Dit betekent dat Nederlandse gemeenten, provincies, rijk, waterschappen en alle uitvoeringsorganisaties verplicht zijn om deze open standaard toe te passen.
De verplichting sluit aan bij de Baseline Informatiebeveiliging Overheid (BIO) , die voorschrijft dat overheidsorganisaties een procedure moeten hebben voor het ontvangen en afhandelen van kwetsbaarheidsmeldingen. Een zogenoemde Coordinated Vulnerability Disclosure (CVD) procedure. Security.txt leidt ethische hackers direct naar de juiste ingang voor deze procedure.
Gebruik binnen de overheid
Begin 2023 is een meting gedaan met Internet.nl. Daaruit kwam naar voren dat bijna 20% van de gemeten overheidswebsites een security.txt-bestand heeft. Met de verplichting wil het Forum Standaardisatie het gebruik verder vergroten. “Hoe meer websites dit implementeren, hoe beter we gebruik kunnen maken van het goede werk van ethisch hackers. De overheid geeft hierin het goede voorbeeld”, aldus Theo Peters (CTO bij VNG Realisatie en lid van Forum Standaardisatie). De meting laat ook zien dat verschillende Rijksoverheidsorganisaties al verwijzen naar het centrale security.txt-bestand van NCSC. Forum Standaardisatie roept alle Rijksoverheidsorganisaties die gebruik willen maken van het centrale CVD-beleid van de Rijksoverheid, op om dat ook te doen. NCSC heeft daarvoor een Handreiking security.txt met uitleg gepubliceerd.
Gebruik door bedrijfsleven
In oktober 2022 deden het Digital Trust Center (DTC) en een groot aantal ambassadeurs een oproep aan bedrijven en IT-dienstverleners om security.txt te gebruiken. Sinds die oproep is het aantal Nederlandse domeinnamen dat voorzien is van een security.txt-bestand gegroeid naar ruim 88.000 . DTC gebruikt security.txt om het Nederlandse bedrijfsleven sneller te kunnen waarschuwen (notificeren) bij een ernstige cyberdreiging en juicht de verplichting voor overheden toe. "Hopelijk helpt de erkenning door Forum Standaardisatie om de acceptatie van deze eenvoudige maatregel die bijdraagt aan een digitaal veiliger ondernemend bedrijfsleven verder te vergroten.", aldus Projectleider Notificatiedienst Kim van der Veen. Heb je vragen over de verplichting van security.txt? Of heb je vragen over hoe je de open standaard toepast? Kom naar het open spreekuur. Onze experts zitten klaar om je te helpen.
| Programma | Data en deelname |
|---|---|
| Datum: | Woensdag 7 juni |
| Starttijd: | 14.00 uur |
| Deelnamelink: | Open de video-vergaderruimte |
(bron)
Meer over
Lees ook
Sora: een historische ontwikkeling, maar mét beveiligingsrisico’s
De introductie van Sora door OpenAI markeert een mijlpaal in videobewerking. De revolutionaire technologie is opwindend, maar roept tegelijkertijd vragen op over de gevolgen van de rol van AI bij het maken van digitale content en cybersecurity.
SentinelOne en Smarttech247 bundelen krachten voor nieuwe generatie managed detection and response
SentinelOne, een leider op het gebied van AI-security, en Smarttech247, wereldwijd leverancier van cybersecurity-oplossingen, gaan samenwerken
"Bedrijven investeren jaarlijks ruim 92.000 euro voor bijscholing cybersecurityteams"
In het recente onderzoek 'Het portret van de moderne informatiesecurityprofessional' deed Kaspersky onderzoek naar het wereldwijde tekort aan cybersecuritypersoneel. Zo onderzocht het de exacte redenen waarom bedrijven te weinig cybersecuritydeskundigen hebben.