Nederlandse overheidsinstellingen moeten verplicht security.txt gebruiken op websites. Gemeenten, provincies en de Rijksoverheid moeten volgens een pas toe of leg uit-standaard een document online zetten waarin te vinden is hoe ethisch hackers hen kunnen bereiken.
De security.txt-standaard is volgens het Digital Trust Center inmiddels verheven tot de Pas toe of leg uit-status van het Forum Standaardisatie. Dat betekent effectief dat het verplicht is voor overheidsinstellingen om security.txt toe te passen op hun websites, tenzij beheerders een goede reden kunnen benoemen om dat niet te doen. Het Forum begon daar vorig jaar al een consultatie voor.
Volgens het Digital Trust Centre heeft twintig procent van de Nederlandse overheidswebsites een security.txt-bestand. Het Forum Standaardisatie hoopt dat aandeel te verhogen. Het nieuwe beleid is van toepassing op websites van gemeenten, provincies, Rijksinstellingen en waterschappen. Die hoeven niet altijd een eigen bestand te uploaden. Ze kunnen ook verwijzen naar het algemene security.txt-bestand van het Nationaal Cyber Security Centrumdat het ResponsibleDisclosurebeleid van de hele Nederlandse overheid voor rekening neemt.
Security.txt is sinds vorig jaar een officiële RFC-draft voor een standaard. De standaard beschrijft een tekstbestand dat websitebeheerders op een centraal vindbare plek op hun domein kunnen plaatsen, waarin informatie staat over hoe zij bereikbaar zijn voor ethische hackers die een kwetsbaarheid hebben gevonden. Tweakers sprak vorig jaar met de bedenker van de standaard en schreef er een achtergrondartikel over.
Het Digital Trust Centre pleit al sinds vorig jaar voor de implementatie van de standaard. Het DTC is onderdeel van het ministerie van Economische Zaken en richt zich op de naam van het Nederlandse bedrijfsleven. Eind vorig jaar overleden Internet.nl al validatie voor security.txt toe aan zijn domeintest.
credit :Source link
