“Cybercriminaliteit is industrieel schaalbaar, weerbaarheid nog niet.” Dit is één van de strategische thema’s die nu en in de komende jaren relevant zijn voor de digitale veiligheid van Nederland volgens de Nederlandse Cybersecuritystrategie 2022-2028 (NLCS).
Dit thema is in sommige opzichten complex, maar kent ook verrassend eenvoudige oplossingen. Op relatief simpele wijze kunnen we ervoor zorgen dat een kwetsbaarheid snel wordt gemeld bij de juiste personen. Dat kan met Security.txt.
Soms is een cyberaanval mogelijk door een beveiligingslek in je IT-systemen. Bijvoorbeeld door een foute configuratie of het gebruik van oude softwareversies. Dit kan zomaar een open deur betekenen voor cybercriminelen. Bij een dreigende situatie kunnen bedrijven sneller in actie komen. Zo kan een cyberaanval voorkomen worden, of zo kan voorkomen worden dat een aanval escaleert.
Wat is security.txt?
Security.txt is een eenvoudig tekstbestand met je contactgegevens dat je plaatst op je webserver. Dat tekstbestand bevat de contactgegevens van de IT-verantwoordelijke van je bedrijf of organisatie. Omdat het bestand op een afgesproken plaats op een webserver staat, kunnen beveiligingsonderzoekers, ethische hackers of doordelers van dreigingsinformatie zoals het DTC, een beveiligingsprobleem direct melden bij de juiste persoon of afdeling. Dat geeft bedrijven en organisaties de kans om maatregelen te treffen om schade te voorkomen of beperken. Dit komt de veiligheid in de gehele bedrijfsketen weer ten goede.
Ook organisaties die dreigingsinformatie uitwisselen bevelen het gebruik van security.txt aan.
Wanneer dit tekstbestand niet is geïnstalleerd, moeten beveiligingsonderzoekers het doen met IP-adressen.
Kim van der Veen, projectleider DTC-notificatiedienst zegt daarover: "Als IP-adressen die we van beveiligingsonderzoekers ontvangen te herleiden zijn naar domeinnamen, is er nog een uitdaging: het vinden van een e-mailadres of telefoonnummer van de IT-verantwoordelijke. Het gebruik van security.txt verandert dit en maakt het zelfs mogelijk om geautomatiseerd bedrijven te waarschuwen. Dit levert in zo'n dreigende situatie aantrekkelijke tijdwinst op."
Het DTC wil - samen met hun partners het gebruik van security.txt door bedrijven en IT-dienstverleners stimuleren. Deze eenvoudige beveiligingsmaatregel kan een aanzienlijke verbetering opleveren voor de uitwisseling van dreigingsinformatie en daarmee de weerbaarheid van het Nederlandse bedrijfsleven.
Wil je weten hoe je security.txt in 4 simpele stappen implementeert?
Klik dan hier: https://www.digitaltrustcenter.nl/securitytxt