Nieuws

Nederlandse overheid moet security.txt voortaan verplicht gebruiken

dinsdag 30 mei 2023, 13:48 door Redactie, 12 reacties

De Nederlandse overheid moet voortaan verplicht van security.txt gebruikmaken. Een bestand waarmee organisaties en websites hun beleid voor het omgaan met beveiligingslekken kunnen vermelden. Security.txt is toegevoegd aan de 'Pas toe of leg uit'-lijst van Forum Standaardisatie. Dit houdt in dat Nederlandse gemeenten, provincies, rijk, waterschappen en alle uitvoeringsorganisaties verplicht zijn om deze open standaard toe te passen.

Volgens de bedenkers van security.txt beschikken onafhankelijke beveiligingsonderzoekers vaak niet over de kanalen om kwetsbaarheden te melden. Hierdoor kan het gebeuren dat gevonden beveiligingslekken niet worden gerapporteerd. Via security.txt moet het proces rond het melden en afhandelen van gevonden beveiligingsproblemen worden gestroomlijnd en versneld.

"De verplichting sluit aan bij de Baseline Informatiebeveiliging Overheid (BIO), die voorschrijft dat overheidsorganisaties een procedure moeten hebben voor het ontvangen en afhandelen van kwetsbaarheidsmeldingen. Een zogenoemde Coordinated Vulnerability Disclosure (CVD) procedure. Security.txt leidt ethische hackers direct naar de juiste ingang voor deze procedure", aldus het Forum Standaardisatie.

Begin dit jaar werd een meting gedaan, waaruit bleek dat bijna twintig procent van de gemeten overheidswebsites een security.txt-bestand heeft. Met de verplichting wil het Forum Standaardisatie het gebruik verder vergroten. Ruim 88.000 .nl-domeinnamen maken inmiddels gebruik van security.txt. Het Forum Standaardisatie is een adviescommissie die de publieke sector adviseert over het gebruik van open standaarden en de adoptie en naleving van het open standaardenbeleid monitort.

Kwetsbaarheid in Sonos One Speaker laat aanvaller code als root uitvoeren

Middelburgse accountant steelt 6,1 miljoen euro via wachtwoord van collega

Reacties (12)

30-05-2023, 13:55 door Anoniem

Nu nog een controle hierop en overheidsdomeinen die er niet aan voldoen 2 weken de tijd geven om het op te lossen.
Doen ze dat niet, gewoon uit de lucht trekken.
Of als het toch wel een kritische website is, boete als alternatief.

Ruimt ook meteen al die gefragmenteerde overheidswebsites op.

30-05-2023, 14:26 door Aalard99

Heel simpel op te zetten, ieder overheiddomein kan linken naar de security.txt van het NCSC:

https://www.ncsc.nl/.well-known/security.txt

30-05-2023, 14:40 door Anoniem

dat werkt nog steeds niet voor opensource, noch voor security-by-design noch voor safe protocollen.
ik verwacht hier niet veel meer van, tenzij dit allemaal uit handen genomen wordt door een hoster.

30-05-2023, 15:00 door Anoniem

Door Aalard99: Heel simpel op te zetten, ieder overheiddomein kan linken naar de security.txt van het NCSC:

https://www.ncsc.nl/.well-known/security.txt

Dat geldt alleen voor organisaties van de Rijksoverheid:

"De meting laat ook zien dat verschillende Rijksoverheidsorganisaties al verwijzen naar het centrale security.txt-bestand van NCSC. Forum Standaardisatie roept alle Rijksoverheidsorganisaties die gebruik willen maken van het centrale CVD-beleid van de Rijksoverheid, op om dat ook te doen. NCSC heeft daarvoor een Handreiking security.txt (https://www.ncsc.nl/documenten/publicaties/2023/maart/2/handreiking-security.txt) met uitleg gepubliceerd."

30-05-2023, 16:04 door Anoniem

Door Anoniem: dat werkt nog steeds niet voor opensource, noch voor security-by-design noch voor safe protocollen.
ik verwacht hier niet veel meer van, tenzij dit allemaal uit handen genomen wordt door een hoster.

Dit heeft toch niks met design, protocollen of een hoster te maken???
Het is puur en alleen een informatief document voor mensen die geen gebruik willen maken van normale "contact"
pagina's of -info op een website, of zichzelf te goed vinden om daar naar op zoek te gaan.

30-05-2023, 16:04 door spatieman

is toch niet zo iets als robots.txt ,om ,sorry, nee geen interesse te zeggen tegen zoekmachines die zich er de reet van aantrekken.

30-05-2023, 18:43 door Anoniem

Eens. De vermoedelijke inside jokes druipen er weer eens vanaf bij de instructies.

30-05-2023, 19:06 door Ron625

Een toegankelijkheidsverklaring is ook verplicht, maar veel overheden voldoen daar ook niet aan.
Correcte HTML is ook verplicht, maar ...........

30-05-2023, 19:19 door Anoniem

Door Anoniem: Nu nog een controle hierop en overheidsdomeinen die er niet aan voldoen 2 weken de tijd geven om het op te lossen.
Doen ze dat niet, gewoon uit de lucht trekken.
Of als het toch wel een kritische website is, boete als alternatief.

Ruimt ook meteen al die gefragmenteerde overheidswebsites op.

Ja, laten we boetes uitdelen die door de burgers opgehoest moeten worden. Goed plan zeg.

31-05-2023, 09:16 door Anoniem

Door Anoniem: dat werkt nog steeds niet voor opensource, noch voor security-by-design noch voor safe protocollen.

Daar werkt het niet voor omdat het er om te beginnen niet over gaat. Dit is contactinformatie die op een gestandaardiseerde manier aangeboden wordt, meer niet. De implementatie hiervan staat los van de dingen die jij noemt. Je krijgt niet meer voor elkaar door dingen die los van elkaar staan als met elkaar verweven te gaan beschouwen, dat is juist een recept om minder gedaan te krijgen, omdat je dan overal mitsen en maren bij gaat slepen die er eigenlijk los van staan.

ik verwacht hier niet veel meer van, tenzij dit allemaal uit handen genomen wordt door een hoster.

NCSC host een security.txt waar alle rijksoverheid-sites naar kunnen doorverwijzen met een HTTP 302-response. Wie erin slaagt een website te (laten) bouwen moet er ook in kunnen slagen om dat te (laten) doen. We hebben het hier niet over iets dat moeilijk is. En als er webontwikkelaars zijn die dit wel te moeilijk vinden om voor elkaar te krijgen dan is deze verplichting een uitstekende manier om vergaande incompetentie aan het licht te brengen.

31-05-2023, 15:28 door karma4

Een verwonderlijke insteek.
In dat bestandje moet de contact mogelijkheid van de kverheidsinstantie staan. Een persoonsnaam dan wel te herleiden iet tot een persoon mag niet (AVG).
Daar is echt geen betere oplossing voor te vinden dan iets wat veelvoudig overal geplaatst moet gaan worden?

Verweesde sites met achterhaalde informatie los je er niet mee op.

01-06-2023, 09:14 door Anoniem

Wat een onzin weer.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer