Nederlandse gemeenten, provincies, het Rijk, waterschappen en alle uitvoeringsorganisaties zijn per 25 mei 2023 verplicht om de open standaard security.txt toe te passen op hun website. Zo moet in één keer duidelijk zijn waar kwetsbaarheden gemeld kunnen worden. Ict-dienstverleners gebruiken de verwijzing voor kwetsbaarheidsmeldingen ook steeds vaker.

De standaard omvat een tekstbestand, security.txt genaamd ,waarin contactinformatie gepubliceerd wordt via de webserver. Beveiligingsonderzoekers en ethische hackers kunnen met die informatie direct met de juiste afdeling of persoon contact opnemen als zij een kwetsbaarheid vinden. Door het bestand moeten kwetsbaarheden sneller verholpen worden.

Security.txt is op 25 mei 2023 toegevoegd aan de ‘Pas toe of leg uit’-lijst van Forum Standaardisatie. De verplichting sluit aan bij de Baseline Informatiebeveiliging Overheid (BIO), die voorschrijft dat overheidsorganisaties een procedure moeten hebben voor het ontvangen en afhandelen van kwetsbaarheidsmeldingen. Een zogenoemde coordinated vulnerability disclosure (cvd) procedure. Security.txt moet ethische hackers direct naar de juiste ingang voor deze procedure leiden.

Lees het volledige artikel op computable.nl