De Nederlandse overheid moet voortaan verplicht van security.txt gebruikmaken. Een bestand waarmee organisaties en websites hun beleid voor het omgaan met beveiligingslekken kunnen vermelden. Security.txt is toegevoegd aan de 'Pas toe of leg uit'-lijst van Forum Standaardisatie. Dit houdt in dat Nederlandse gemeenten, provincies, rijk, waterschappen en alle uitvoeringsorganisaties verplicht zijn om deze open standaard toe te passen.
Volgens de bedenkers van security.txt beschikken onafhankelijke beveiligingsonderzoekers vaak niet over de kanalen om kwetsbaarheden te melden. Hierdoor kan het gebeuren dat gevonden beveiligingslekken niet worden gerapporteerd. Via security.txt moet het proces rond het melden en afhandelen van gevonden beveiligingsproblemen worden gestroomlijnd en versneld.
"De verplichting sluit aan bij de Baseline Informatiebeveiliging Overheid (BIO), die voorschrijft dat overheidsorganisaties een procedure moeten hebben voor het ontvangen en afhandelen van kwetsbaarheidsmeldingen. Een zogenoemde Coordinated Vulnerability Disclosure (CVD) procedure. Security.txt leidt ethische hackers direct naar de juiste ingang voor deze procedure", aldus het Forum Standaardisatie.
Begin dit jaar werd een meting gedaan, waaruit bleek dat bijna twintig procent van de gemeten overheidswebsites een security.txt-bestand heeft. Met de verplichting wil het Forum Standaardisatie het gebruik verder vergroten. Ruim 88.000 .nl-domeinnamen maken inmiddels gebruik van security.txt. Het Forum Standaardisatie is een adviescommissie die de publieke sector adviseert over het gebruik van open standaarden en de adoptie en naleving van het open standaardenbeleid monitort.
Deze posting is gelocked. Reageren is niet meer mogelijk.