Het gebruik van security.txt is een eenvoudige beveiligingsmaatregel die de digitale weerbaarheid van Nederlandse bedrijven kan versterken, zo stelt het Digital Trust Center (DTC) van het ministerie van Economische Zaken dat het gebruik van de specificatie onder Nederlandse bedrijven en it-dienstverleners wil stimuleren.

Security.txt is een bestand waarmee organisaties en websites hun beleid voor het omgaan met beveiligingslekken kunnen vermelden. Beveiligingsonderzoekers kunnen deze informatie gebruiken om direct de juiste afdeling of persoon binnen de organisatie over gevonden kwetsbaarheden te benaderen.

Volgens de bedenkers van security.txt beschikken onafhankelijke beveiligingsonderzoekers vaak niet over de kanalen om kwetsbaarheden te melden. Hierdoor kan het gebeuren dat gevonden beveiligingslekken niet worden gerapporteerd. Via security.txt moet het proces rond het melden en afhandelen van gevonden beveiligingsproblemen worden gestroomlijnd en versneld.

Het Digital Trust Center roept vandaag het Nederlandse bedrijfsleven op om van security.txt gebruik te maken. "Als ip-adressen die we van beveiligingsonderzoekers ontvangen te herleiden zijn naar domeinnamen, is er nog een uitdaging: het vinden van een e-mailadres of telefoonnummer van de it-verantwoordelijke. Het gebruik van security.txt verandert dit en maakt het zelfs mogelijk om geautomatiseerd bedrijven te waarschuwen. Dit levert in zo'n dreigende situatie aantrekkelijke tijdwinst op", zegt Kim van der Veen van het DTC.

Naast het DTC wordt security.txt door een aantal organisaties, bedrijven en instanties sterk aanbevolen, waaronder de gemeenten Den Haag en Rotterdam, Microsoft, de Kamer van Koophandel, de Politie, VNO-NCW en MKB Nederland. Sinds vorige week kan testtool Internet.nl, een initiatief van het Platform Internetstandaarden, websites ook op de aanwezigheid van een security.txt-bestand testen.