Sluit
header security.txt

De nieuwe standaard voor het melden van beveiligingslekken: security.txt

Wat is security.txt?

Security.txt is een eenvoudig tekstbestand met je contactgegevens dat je plaatst op je webserver.

 

Cyberaanvallen zijn helaas niet meer weg te denken voor de meeste organisaties en bedrijven. Soms is zo'n aanval mogelijk door een beveiligingslek in je IT-systemen. Bijvoorbeeld door een foute configuratie of het gebruik van oude softwareversies. Dit kan zomaar een open deur betekenen voor cybercriminelen. Ethische hackers of cyberonderzoekers met goede bedoelingen willen je waarschuwen. Maar hoe bereiken ze je? Met security.txt komt een melding meteen op de juiste plek terecht.

Speciaal voor IT-dienstverleners zoals managed service providers en hostingbedrijven die voor hun klanten security.txt in bulk willen doorvoeren, hebben we wat handige tips en tools gebundeld.

Security.txt voor IT-dienstverleners

 

Security.txt uitgelegd

Voice-over animatie – Wat is security.txt?

Als ondernemer wil je snel reageren op risico's zoals cyberaanvallen.

Zo’n aanval is vaak mogelijk door beveiligingslekken in je bedrijfssoftware.

En een beveiligingslek kan zomaar een open deur betekenen voor cybercriminelen.

Cyberonderzoekers scannen voortdurend op deze open deuren.

Met goede of kwade bedoelingen.

De goedwillende onderzoekers willen je waarschuwen. Maar hoe bereiken ze je?

En wie moet deze informatie zo snel mogelijk ontvangen om een cyberaanval te voorkomen?

Dat is waar security.txt een rol speelt.

Een tekstbestandje, met je contactgegevens, wat je plaatst op je webserver.

Hierdoor ben je eenvoudig te bereiken, kun je je bedrijf beschermen en snel actie ondernemen bij een acute cyberdreiging.

security.txt regel je in 3 eenvoudige stappen:

Maak een keuze. Bij wie moet de melding binnenkomen? Bij je bedrijf of je IT-dienstverlener?

Ga vervolgens naar securitytxt.org, vul het formulier in en maak het tekstbestand aan.

Hierin staat het contactadres bij beveiligingslekken en de vervaldatum.

Maak op je webserver een map met de naam: .well-known en plaats hier het bestand

Nu weet je hoe belangrijk en eenvoudig het is om security.txt te implementeren.

Direct aan de slag? Kijk op digitaltrustcenter.nl/securitytxt


Implementeer security.txt in 4 simpele stappen:

Stap 1.

Kies het contactadres. Bij wie wil je dat de melding binnenkomt? Bij je bedrijf of bij je IT-dienstverlener? Maak hiervoor de inschatting wie iets met de meldingen kan of gaat doen.

Stap 2.

Gebruik de tool op securitytxt.org en vul daar in ieder geval het contactadres en vervaldatum in. Maak vervolgens met één klik je eigen security.txt-bestand. Bekijk de toelichting op de velden als dat nodig is.

Stap 3.

Maak op je webserver een map aan met de naam ".well-known". Plaats in deze map je security.txt-bestand. Kun je geen map aanmaken op de server? Kijk of er voor jouw cms een 'security.txt plug-in' beschikbaar is, of vraag je IT-dienstverlener om hulp.

Stap 4.

Gebruik de tool op internet.nl om te controleren of je security.txt goed geïmplementeerd hebt.

Heel goed. De basis staat.

Je hebt nu voor je webdomein een security.txt geplaatst en bent bereikbaar voor vinders van beveiligingsproblemen. Maar, er is meer wat je moet doen als je security.txt goed wilt laten werken voor je. Bekijk de aanbevelingen in stap 5 t/m 8.

Zet ook stap 5 t/m 8 voor optimale werking

Stap 5. 

Agendeer de vervaldatum van je security.txt in je agenda zodat je deze gegevens tijdig kunt verversen. 

Stap 6.

Heb je een subdomein? Plaats voor dit subdomein ook een security.txt op de server. Het komt geregeld voor dat een kwetsbaarheid alleen herleidt naar een IP-adres. Het advies is daarom om ook een security.txt-bestand te implementeren voor alle IP-adressen die je bedrijf gebruikt. Vraag je IT-dienstverlener om hulp als je dit niet zelf kunt.

Stap 7.

Weet degene die de meldingen ontvangt wat er mee moet gebeuren? Maak werkafspraken wie aan de slag gaat met meldingen over beveiligingslekken.

Stap 8.

In een zogenoemd Coordinated Vulnerability Disclosure (CVD)-beleid verwoord je aan welke eisen een melding moet voldoen en geef je aan wat de vinder mag verwachten. Nu je een security.txt hebt, kun je dit opnemen in dit beleidsdocument. Heb je dit nog niet, lees dan snel hoe je in een paar stappen een CVD-beleid opstelt.

"security.txt is a really simple idea that works well, it is just a simple text file"

Troy Hunt - Oprichter Have I Been Pwned

 

Veelgestelde vragen over security.txt

De standaard zelf is gratis. Besluit je zelf een security.txt bestand aan te maken en kun het zelf plaatsen op je webserver, dan zijn er dus geen kosten. Moet je voor het plaatsen een verzoek indienen bij je IT-dienstverlener, dan kunnen hier kosten voor worden gerekend. Afhankelijk van de complexiteit en de omvang van jouw IT-omgeving kunnen deze kosten verschillen. Het maken en plaatsen van security.txt is een zeer eenvoudige handeling waarvoor de inspanning naar alle waarschijnlijkheid minimaal is.

Wil je dat meldingen terecht komen bij een externe partij, bijvoorbeeld je IT-dienstverlener? Dan kunnen hier kosten voor worden gerekend. Je leverancier zal de meldingen dan moeten checken en de ernst ervan beoordelen. Het kan zijn dat dit een uitbreiding is van de bestaande dienstverleningsovereenkomst. In het geval kunnen er bijkomende kosten berekend worden.

Nee, het is niet moeilijk. In de basis is de security.txt technisch vrij eenvoudig. Voor het maken van de security.txt voor je organisatie zijn maar 2 variabelen verplicht: contactadres en vervaldatum. Met deze waarden zet je al een grote stap als het gaat om het ontvangen van meldingen over kwetsbaarheden.

In de security.txt standaard kun je optioneel nog 5 aspecten bekend maken. Bijvoorbeeld in welke taal je de melding verwacht, waar je beleidsregels voor het melden te vinden zijn en wat je encryptie key is als je deze berichten versleuteld wilt ontvangen. 

Voor het implementeren van security.txt is niet veel technische kennis nodig. Er zijn online tools en 'plugins' die het bestand automatisch genereren en plaatsen op je webserver. Mocht je niet de rechten hebben om het bestand op je webserver te plaatsen, raadpleeg dan de IT-dienstverlener die deze rechten wel heeft.

Ja, het is voor ondernemers of IT-verantwoordelijken het betrekkelijk eenvoudig om een security.txt bestand te maken. Of je het bestand op de server kunt plaatsen, is afhankelijk van de rechten die je hebt. Mogelijk moet je dit verzoek bij je IT-dienstverlener neerleggen. Bekijk welke stappen je doorloopt voor je het implementeren van security.txt.

Benieuwd naar de ervaringen van bedrijven die security.txt al geïmplementeerd hebben? Lees dan enkele ervaringsverhalen.

Wanneer je zelf een security.txt wil plaatsen, dan moet je de rechten hebben om bestanden op de webserver te plaatsen. Staat je website op een server waar alleen een webhosting bedrijf bij kan, dan heb je hun hulp nodig.

 
Wil  je kwetsbaarheden gemeld hebben in een  aparte mailbox? Dan is het belangrijk om deze mailbox alvast aan te maken als deze nog niet bestaat. Dit mailadres kun je dan opgeven in het security.txt-bestand.

Het security.txt-bestand plaats je op de webserver in een (nieuw aan te maken) "/.well-known/"-map. De URL die leidt naar je security.txt is dan bijvoorbeeld: "https://voorbeeldbedrijf.nl/.well-known/security.txt" 

In eerste instantie is het belangrijk om security.txt neer te zetten op het hoofddomein van je bedrijf. Hiermee bedoelen we het domein waar je bijvoorbeeld jouw bedrijfswebsite op hebt staan en waarvan de kans groot is dat je deze ook gebruikt om mee te e-mailen.

Met het plaatsen van een security.txt op je hoofddomein zet je al een grote stap en dit is voor veel bedrijven al afdoende.

  • Heb je ook andere domeinen of subdomeinen? Plaats dan indien mogelijk ook een security.txt op deze locaties.
  • Is een belangrijke applicatie alleen te benaderen via een IP-adres? Ook dan is het aan te raden om een security.txt in te richten.

Voor het neerzetten van een security.txt is het wel noodzakelijk dat er een webserver op draait waar het security.txt-bestand te plaatsen en benaderen is.

In het security.txt heb je opgegeven waar je de kwetsbaarheidsmeldingen wilt ontvangen. Zorg in eerst instantie dat er toezicht is op de binnenkomende meldingen. Wie beoordeelt de meldingen? Wie komt in actie?

Zorg dat de betrokkenen op de hoogte zijn en weten wat er van hen verwacht wordt. Maak indien nodig aanvullende afspraken hierover met je IT-dienstverlener.

Benieuwd hoe het implementeren van security.txt bij anderen gegaan is? Lees deze ervaringsverhalen van bedrijven die je voorgingen. 

Dit is de eerste keuze bij het implementeren van security.txt. Je kunt besluiten om de kwetsbaarheidsmeldingen naar een intern e-mailadres te laten sturen. Als je binnen je organisatie voldoende kennis en kunde hebt om de berichten te beoordelen en op te volgen, dan is dit een reële optie. Ontbreekt het aan deze mogelijkheden, dan is het advies om dit werkproces te beleggen bij een IT-dienstverlener. Besluit je zelf de meldingen op te volgen dan kun je ook nog per melding besluiten of je hier een externe leverancier voor raadpleegt.

In zekere zin is dit niet veel anders dan andere berichten die je binnenkrijgt. Er is altijd een risico op misleiding bijvoorbeeld in de vorm van phishing.

Enkele tips:

  • Een goede anti-spam oplossing zorgt al voor een eerste check op berichten die binnenkomen.
  • Weet hoe je phishing kunt herkennen.

Het plaatsen van een e-mailadres als contactadres kan spam tot gevolg hebben. Je kunt gewaarschuwd worden voor kwetsbaarheden die er niet zijn of niet ernstig zijn. Het e-mailadres kan ook worden gebruikt voor phishing of commerciële aanbiedingen. Het nadeel van mogelijke spam geldt ook voor andere adressen die op de website vermeld staan, zoals een e-mailadres voor contact of woordvoering.

Wat kun je doen?

  • Er is met filtering van berichten zeker wat te doen aan dit nadeel.
  • Mocht het toch een probleem geven, dan laat security.txt ook toe om te verwijzen naar de locatie van een webformulier voor meldingen.
    Zo is bijvoorbeeld "https://voorbeeldbedrijf.nl/security-contact.html" ook toegestaan als contactadres.

Benieuwd hoe security.txt in de praktijk ervaren wordt door bedrijven die het al geïmplementeerd hebben? Lees hun ervaringen.

"In cybersecurity is het allerbelangrijkste dat we elkaar weten te vinden. Met security.txt kunnen we elkaar helpen door vindbaar te zijn."

Hans de Vries - Directeur NCSC

icoon aantal securitytxt
61.819
Nederlandse domeinennamen
met security.txt
icoon notificatie
5.107
pro-actieve meldingen naar
Nederlandse bedrijven
over digitale kwetsbaarheden
security.txt hashtags

DTC waarschuwt ook individuele bedrijven

Het komt voor dat het DTC informatie ontvangt over kwetsbaarheden of verdachte situaties op bijvoorbeeld IP-adressen die te herleiden zijn tot individuele Nederlandse bedrijven. In dat geval kan het DTC besluiten om individuele bedrijven pro-actief te benaderen en te waarschuwen voor de dreigende situatie. Meer over deze taak lees je via onderstaande link.