security.txt verplicht voor overheid
Per 25 mei 2023 is security.txt toegevoegd aan de 'Pas toe of leg uit'-lijst van Forum Standaardisatie. Dit betekent dat Nederlandse gemeenten, provincies, rijk, waterschappen en alle uitvoeringsorganisaties verplicht zijn om deze open standaard toe te passen.
De verplichting sluit aan bij de Baseline Informatiebeveiliging Overheid (BIO) , die voorschrijft dat overheidsorganisaties een procedure moeten hebben voor het ontvangen en afhandelen van kwetsbaarheidsmeldingen. Een zogenoemde Coordinated Vulnerability Disclosure (CVD) procedure. Security.txt leidt ethische hackers direct naar de juiste ingang voor deze procedure.
Gebruik binnen de overheid
Begin 2023 is een meting gedaan met Internet.nl. Daaruit kwam naar voren dat bijna 20% van de gemeten overheidswebsites een security.txt-bestand heeft. Met de verplichting wil het Forum Standaardisatie het gebruik verder vergroten. “Hoe meer websites dit implementeren, hoe beter we gebruik kunnen maken van het goede werk van ethisch hackers. De overheid geeft hierin het goede voorbeeld”, aldus Theo Peters (CTO bij VNG Realisatie en lid van Forum Standaardisatie). De meting laat ook zien dat verschillende Rijksoverheidsorganisaties al verwijzen naar het centrale security.txt-bestand van NCSC. Forum Standaardisatie roept alle Rijksoverheidsorganisaties die gebruik willen maken van het centrale CVD-beleid van de Rijksoverheid, op om dat ook te doen. NCSC heeft daarvoor een Handreiking security.txt met uitleg gepubliceerd.
Gebruik door bedrijfsleven
In oktober 2022 deden het Digital Trust Center (DTC) en een groot aantal ambassadeurs een oproep aan bedrijven en IT-dienstverleners om security.txt te gebruiken. Sinds die oproep is het aantal Nederlandse domeinnamen dat voorzien is van een security.txt-bestand gegroeid naar ruim 88.000 . DTC gebruikt security.txt om het Nederlandse bedrijfsleven sneller te kunnen waarschuwen (notificeren) bij een ernstige cyberdreiging en juicht de verplichting voor overheden toe. "Hopelijk helpt de erkenning door Forum Standaardisatie om de acceptatie van deze eenvoudige maatregel die bijdraagt aan een digitaal veiliger ondernemend bedrijfsleven verder te vergroten.", aldus Projectleider Notificatiedienst Kim van der Veen. Heb je vragen over de verplichting van security.txt? Of heb je vragen over hoe je de open standaard toepast? Kom naar het open spreekuur. Onze experts zitten klaar om je te helpen.
| Programma | Data en deelname |
|---|---|
| Datum: | Woensdag 7 juni |
| Starttijd: | 14.00 uur |
| Deelnamelink: | Open de video-vergaderruimte |
(bron)
Meer over
Lees ook
Best practices helpen privé-apparaten veilig op de werkvloer te gebruiken
Microsoft lanceert een reeks best practices voor werknemers die hun privé-apparaten op de werkvloer willen gebruiken. Het bedrijf adviseert onder andere alleen legitieme apps en software te gebruiken die afkomstig is van betrouwbare bronnen. Het meenemen van privé-apparaten naar de werkvloer, wat ook wel Bring Your Own Device (BYOD) wordt genoemd1
HP levert McAfee LiveSafe standaard op nieuwe HP-computers
HP gaat McAfee LiveSafe service standaard wereldwijd als ‘pre-install’ meeleveren met nieuwe consumentenpc’s en zakelijke pc’s. McAfee LiveSafe is een ‘cross-device’ beveiligingsdienst die de data, identiteitsgegevens en alle pc’s, Macs, smartphones en tablets van gebruikers beschermt. “We staan aan de vooravond van een nieuw computertijdperk, wa1
Storage-virtualisatie: nieuw wapen in strijd tegen cybercriminelen
Wanneer een DDoS-aanval op de organisatie plaatsvindt of cybercriminelen op een andere manier proberen de business-operatie van een bedrijf of overheidsorganisatie negatief te beïnvloeden, reageren veel IT-afdelingen door tal van security-tools in te zetten. Wie IT-beveiliging echter vooral vanuit oogpunt van business continuity bekijkt, komt al s1