image

Nederlandse overheid moet security.txt voortaan verplicht gebruiken

dinsdag 30 mei 2023, 13:48 door Redactie, 12 reacties

De Nederlandse overheid moet voortaan verplicht van security.txt gebruikmaken. Een bestand waarmee organisaties en websites hun beleid voor het omgaan met beveiligingslekken kunnen vermelden. Security.txt is toegevoegd aan de 'Pas toe of leg uit'-lijst van Forum Standaardisatie. Dit houdt in dat Nederlandse gemeenten, provincies, rijk, waterschappen en alle uitvoeringsorganisaties verplicht zijn om deze open standaard toe te passen.

Volgens de bedenkers van security.txt beschikken onafhankelijke beveiligingsonderzoekers vaak niet over de kanalen om kwetsbaarheden te melden. Hierdoor kan het gebeuren dat gevonden beveiligingslekken niet worden gerapporteerd. Via security.txt moet het proces rond het melden en afhandelen van gevonden beveiligingsproblemen worden gestroomlijnd en versneld.

"De verplichting sluit aan bij de Baseline Informatiebeveiliging Overheid (BIO), die voorschrijft dat overheidsorganisaties een procedure moeten hebben voor het ontvangen en afhandelen van kwetsbaarheidsmeldingen. Een zogenoemde Coordinated Vulnerability Disclosure (CVD) procedure. Security.txt leidt ethische hackers direct naar de juiste ingang voor deze procedure", aldus het Forum Standaardisatie.

Begin dit jaar werd een meting gedaan, waaruit bleek dat bijna twintig procent van de gemeten overheidswebsites een security.txt-bestand heeft. Met de verplichting wil het Forum Standaardisatie het gebruik verder vergroten. Ruim 88.000 .nl-domeinnamen maken inmiddels gebruik van security.txt. Het Forum Standaardisatie is een adviescommissie die de publieke sector adviseert over het gebruik van open standaarden en de adoptie en naleving van het open standaardenbeleid monitort.

Reacties (12)
30-05-2023, 13:55 door Anoniem
Nu nog een controle hierop en overheidsdomeinen die er niet aan voldoen 2 weken de tijd geven om het op te lossen.
Doen ze dat niet, gewoon uit de lucht trekken.
Of als het toch wel een kritische website is, boete als alternatief.

Ruimt ook meteen al die gefragmenteerde overheidswebsites op.
30-05-2023, 14:26 door Aalard99
Heel simpel op te zetten, ieder overheiddomein kan linken naar de security.txt van het NCSC:

https://www.ncsc.nl/.well-known/security.txt
30-05-2023, 14:40 door Anoniem
dat werkt nog steeds niet voor opensource, noch voor security-by-design noch voor safe protocollen.
ik verwacht hier niet veel meer van, tenzij dit allemaal uit handen genomen wordt door een hoster.
30-05-2023, 15:00 door Anoniem
Door Aalard99: Heel simpel op te zetten, ieder overheiddomein kan linken naar de security.txt van het NCSC:

https://www.ncsc.nl/.well-known/security.txt

Dat geldt alleen voor organisaties van de Rijksoverheid:

"De meting laat ook zien dat verschillende Rijksoverheidsorganisaties al verwijzen naar het centrale security.txt-bestand van NCSC. Forum Standaardisatie roept alle Rijksoverheidsorganisaties die gebruik willen maken van het centrale CVD-beleid van de Rijksoverheid, op om dat ook te doen. NCSC heeft daarvoor een Handreiking security.txt (https://www.ncsc.nl/documenten/publicaties/2023/maart/2/handreiking-security.txt) met uitleg gepubliceerd."
30-05-2023, 16:04 door Anoniem
Door Anoniem: dat werkt nog steeds niet voor opensource, noch voor security-by-design noch voor safe protocollen.
ik verwacht hier niet veel meer van, tenzij dit allemaal uit handen genomen wordt door een hoster.

Dit heeft toch niks met design, protocollen of een hoster te maken???
Het is puur en alleen een informatief document voor mensen die geen gebruik willen maken van normale "contact"
pagina's of -info op een website, of zichzelf te goed vinden om daar naar op zoek te gaan.
30-05-2023, 16:04 door spatieman
is toch niet zo iets als robots.txt ,om ,sorry, nee geen interesse te zeggen tegen zoekmachines die zich er de reet van aantrekken.
30-05-2023, 18:43 door Anoniem
Door Anoniem: dat werkt nog steeds niet voor opensource, noch voor security-by-design noch voor safe protocollen.
ik verwacht hier niet veel meer van, tenzij dit allemaal uit handen genomen wordt door een hoster.

Eens. De vermoedelijke inside jokes druipen er weer eens vanaf bij de instructies.
30-05-2023, 19:06 door Ron625
Een toegankelijkheidsverklaring is ook verplicht, maar veel overheden voldoen daar ook niet aan.
Correcte HTML is ook verplicht, maar ...........
30-05-2023, 19:19 door Anoniem
Door Anoniem: Nu nog een controle hierop en overheidsdomeinen die er niet aan voldoen 2 weken de tijd geven om het op te lossen.
Doen ze dat niet, gewoon uit de lucht trekken.
Of als het toch wel een kritische website is, boete als alternatief.

Ruimt ook meteen al die gefragmenteerde overheidswebsites op.

Ja, laten we boetes uitdelen die door de burgers opgehoest moeten worden. Goed plan zeg.
31-05-2023, 09:16 door Anoniem
Door Anoniem: dat werkt nog steeds niet voor opensource, noch voor security-by-design noch voor safe protocollen.
Daar werkt het niet voor omdat het er om te beginnen niet over gaat. Dit is contactinformatie die op een gestandaardiseerde manier aangeboden wordt, meer niet. De implementatie hiervan staat los van de dingen die jij noemt. Je krijgt niet meer voor elkaar door dingen die los van elkaar staan als met elkaar verweven te gaan beschouwen, dat is juist een recept om minder gedaan te krijgen, omdat je dan overal mitsen en maren bij gaat slepen die er eigenlijk los van staan.
ik verwacht hier niet veel meer van, tenzij dit allemaal uit handen genomen wordt door een hoster.
NCSC host een security.txt waar alle rijksoverheid-sites naar kunnen doorverwijzen met een HTTP 302-response. Wie erin slaagt een website te (laten) bouwen moet er ook in kunnen slagen om dat te (laten) doen. We hebben het hier niet over iets dat moeilijk is. En als er webontwikkelaars zijn die dit wel te moeilijk vinden om voor elkaar te krijgen dan is deze verplichting een uitstekende manier om vergaande incompetentie aan het licht te brengen.
31-05-2023, 15:28 door karma4
Een verwonderlijke insteek.
In dat bestandje moet de contact mogelijkheid van de kverheidsinstantie staan. Een persoonsnaam dan wel te herleiden iet tot een persoon mag niet (AVG).
Daar is echt geen betere oplossing voor te vinden dan iets wat veelvoudig overal geplaatst moet gaan worden?

Verweesde sites met achterhaalde informatie los je er niet mee op.
01-06-2023, 09:14 door Anoniem
Wat een onzin weer.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.