Nederlandse overheden, zoals het Rijk, provincies, gemeenten en waterschappen en instellingen uit de publieke sector zouden moeten worden verplicht om gebruik te maken van security.txt, een bestand waarmee organisaties en websites hun beleid voor het omgaan met beveiligingslekken kunnen vermelden.
Volgens de bedenkers van security.txt beschikken onafhankelijke beveiligingsonderzoekers vaak niet over de kanalen om kwetsbaarheden te melden. Hierdoor kan het gebeuren dat gevonden beveiligingslekken niet worden gerapporteerd. Via security.txt moet het proces rond het melden en afhandelen van gevonden beveiligingsproblemen worden gestroomlijnd en versneld.
Het Forum Standaardisatie, een adviescommissie die de publieke sector adviseert over het gebruik van open standaarden en de adoptie en naleving van het open standaardenbeleid monitort, toetst nu of de standaard geschikt is om te verplichten aan de overheid. Overheden worden via de 'Pas toe of leg uit'-lijst van het Forum verplicht om bepaalde standaarden toe te passen.
"De standaard security.txt draagt bij aan een veiliger internet doordat meldingen over kwetsbaarheden in een dienst of systeem sneller terecht komen bij de juiste personen binnen een organisatie. Hierdoor kunnen kwetsbaarheden sneller worden verholpen en is de kans kleiner dat cybercriminelen kwetsbaarheden gebruiken", aldus het Forum. Dat stelt dat security.txt voldoet aan het criterium om aan de 'Pas toe of leg uit'-lijst toe te voegen, aangezien dit het gebruik van de standaard bevordert.
Via Internetconsultatie.nl kan er tot 12 maart op het advies worden gereageerd. "Experts stellen vast dat er voldoende ervaring en draagvlag is binnen de Nederlandse overheid voor security.txt. De standaard heeft een lage drempel voor de (technische) implementatie ervan. Er is ondersteuning beschikbaar (kennis en tools) vanuit de Nederlandse overheid die wordt voortgezet na verplichting van security.txt aan overheden", aldus een uitleg bij de consultatie.
Deze posting is gelocked. Reageren is niet meer mogelijk.