Hoe ervaren bedrijven het gebruik van security.txt?
Er is een nieuwe internetstandaard genaamd 'security.txt'. Dit is een klein tekstbestand waarin je aangeeft bij welke IT-verantwoordelijke waarschuwingen voor geconstateerde kwetsbaarheden in je IT-systemen terecht moeten komen.
Een aantal bedrijven hebben security.txt al in gebruik en kunnen dus uit ervaring vertellen hoe het in de praktijk werkt. Laat je informeren over het nut, de nadelen en het gebruiksgemak van security.txt. Zelf aan de slag met security.txt? Bekijk het stappenplan.
Mijnpartnergroep.nl
Christiaan Swiers
Developer/Ethical Hacker
“Wij maken nu iets meer dan twee jaar gebruik van security.txt. Ik zie het als een goede aanvulling op traditionele manieren om systemen te testen. Een pentest of andere vorm van audit is een momentopname. Door middel van een security policy en daarbij een potentiële beloning voor het vinden van een kwetsbaarheid stimuleer je ethische hackers om je applicatie voortdurend te testen. Zo kunnen er kwetsbaarheden naar boven komen die anders niet worden gevonden.
We hebben al een redelijke hoeveelheid meldingen gehad. De kwaliteit van de meldingen verschilt. Veel van de meldingen zijn minder interessant, omdat het bijvoorbeeld al bekend is of niet om een kwetsbaarheid gaat. In het goed onderscheiden van die meldingen zit nog best veel werk. Met een aantal meldingen konden we de veiligheid van onze applicatie en infrastructuur echter verbeteren.”
AFAS
Ignaece Bliekendaal
Security engineer
“Wat ons betreft is security.txt een mooie standaard om korte lijntjes te hebben met securityprofessionals. Helaas is de standaard nog niet onder een breed publiek bekend. Securitymeldingen komen daardoor nog vaak op de verkeerde plekken terecht. Terwijl je met security.txt precies kunt bepalen wie de informatie ontvangt. Op die manier kan een melding snel opgevolgd worden.
Het enige nadeel is dat iedereen de security.txt kan raadplegen. Dus ook anonieme personen die misschien niet het beste met je voor hebben. Goede beoordeling aan de ontvangende kant is daarom een must. Daarnaast merken we dat sommige mensen snel geld proberen te verdienen met nutteloze meldingen. We verwijzen daarom naar een responsible disclosure met spelregels in de hoop minder ‘troep’ binnen te krijgen.”
DMFCO\MUNT Hypotheken
Laurens-Jan Portegies
ICT Coördinator
“Wij hebben security.txt geïmplementeerd in één van onze klantenportalen. Dit is een omgeving waar veel gevoelige informatie staat. We hebben deze applicatie vorig jaar nog laten pentesten door een ethisch hacker, waar een paar low-risk bevindingen uit naar voren kwamen. Die hebben we inmiddels opgelost, dus ik verwacht niet gelijk meldingen via security.txt te krijgen. Maar alle informatie is welkom.
Security.txt is laagdrempelig en snel te implementeren. Als goedaardige ‘white hat’ hackers informatie willen delen, moeten ze wel weten bij wie ze terecht kunnen. Als je een wat kleiner bedrijf hebt, zonder speciale IT-afdeling, heeft het misschien minder zin om hiermee aan de slag te gaan.”
Arda
Henri Koppen
Chief Technology Officer
“Ik vind het idee van security.txt heel sterk. We hebben het inmiddels op al onze portalen en domeinen geplaatst. Het is super simpel en het kan je bedrijf redden op het moment dat er iets mis is.
Ik heb zelf ook al een keer bij een bedrijf een melding gedaan van phishing door te kijken naar het security.txt-bestand. Normaal zou ik dan de website doorzoeken naar een meldpunt. En kom ik uiteindelijk bij een klantenservice uit. Dan is het maar de vraag wat er met een melding gebeurt. Nu heb ik gelijk een keurige reactie gekregen van de lead security officer van het desbetreffende bedrijf.”
Waarom security.txt?
- Download in WEBM formaat WEBM | 4.5 MB
- Download in MP4 HD formaat MP4 HD | 15.4 MB
Voice over DTC waarschuwt bedrijven
Wist je dat veel bedrijven in Nederland dagelijks te maken hebben met cyberaanvallen?
Soms gaat het om phishingmails naar medewerkers, maar soms ook om ernstigere beveiligingsproblemen.
Het Digital Trust Center helpt bedrijven om veilig digitaal te ondernemen.
Bijvoorbeeld door informatie en advies te geven.
Zo worden ondernemers weerbaarder tegen cyberaanvallen.
Maar ook door actief te waarschuwen als er een kwetsbaarheid is geconstateerd in je digitale beveiliging.
Het DTC zoekt dan contact met je bedrijf, vertelt je wat er aan de hand is en wat je kunt doen om schade te voorkomen of beperken.
Om je snel te waarschuwen, is het belangrijk dat de contactgegevens van je IT-verantwoordelijke goed vindbaar zijn.
Dit kan snel en eenvoudig met security.txt
Een tekstbestand waarin je aangeeft waar kwetsbaarheden voor jouw organisatie gemeld moeten worden.
Zo ben je goed bereikbaar als het nodig is en kan het gevaar worden afgewend.
Meer weten?
Ga dan naar digitaltrustcenter.nl/securitytxt
Zelf aan de slag met security.txt?
Een security.txt-bestand op je webserver is kost je maar een paar minuten tijd. Het kan op een dag een reddingsboei zijn als ethische hackers of het DTC een bij jouw organisatie gevonden kwetsbaarheid melden en daarmee aanvallers de pas afsnijden.