NCSC helpt met centraal securitymeldpunt: security.txt
Het Nationaal Cyber Security Centrum, NCSC, is met een document gekomen waarin het organisaties van de Rijksoverheid hulp biedt voor het implementeren van security.txt. Die standaard voor een meldpunt waar onderzoekers securitykwesties kunnen melden, wordt niet alleen uitgelegd door het NCSC maar ook gefaciliteerd.
In plaats van alle webservers van de Rijksoverheid te voorzien van een apart security.txt-bestand, biedt het verwijzen naar een centraal security.txt-bestand met een HTTP 302 Redirect meerdere voordelen, stelt het NCSC in de zogeheten handreiking over security.txt. Deze standaard bestaat uit een tekstbestand met daarin contactgegevens voor het verantwoord melden van kwetsbaarheden, onvolkomenheden en beveiligingsproblemen.
Overlaten aan NCSC
De 302-doorverwijzing die het NCSC aanraadt voor security.txt bij en voor Rijksoverheden biedt allereerst gemak, legt het cybersecurity-orgaan van de Nederlandse overheid uit. Organisaties van de Rijksoverheid hoeven zelf geen security.txt-bestand te genereren en te publiceren, maar hoeven alleen maar te verwijzen.
Een tweede voordeel is proces: Het centrale security.txt-bestand sluit aan bij het bestaande proces waarin NCSC een centrale rol speelt bij het afhandelen van CVD-meldingen voor de Rijksoverheid. CVD staat voor Coordinated Vulnerability Disclosure en betreft het discreet melden plus verantwoord onthullen van beveiligingskwesties. Na initiele melding en aanpak kunnen melder en betrokken organisatie dan naar buiten treden met de vondst plus genomen maatregelen. Soms kan het eerst nog nodig zijn om verantwoorde melding te doen aan andere partijen, zoals ICT-gebruikers maar ook -leveranciers.
Verder lezen bij de bronLees ons boek
Gemeenten. Bewustzijn. Privacy.
Nieuwsbrief
Deze versturen we 3-4x per jaar.
Recente blogs
Meer recente berichten
Belang van data ethiek en privacy in de digitale wereld | Verder lezen | |
Governance artikel in wetsvoorstel NIS2 geeft bestuurder te veel ruimte | Verder lezen | |
Cybersecurity vaak te laat in beeld: tips voor een fundamentele aanpak | Verder lezen | |
Britse toezichthouder roept publiek op om privacybeleid apps te lezen | Verder lezen | |
Ook AIVD kijkt kritisch naar AWS cloudverhuizingsplan van SIDN | Verder lezen | |
Nederlandse bedrijven richten zich op quick wins bij implementatie NIS2 | Verder lezen | |
Mogelijk steviger toezicht op cybersecurity gemeentelijke websites | Verder lezen | |
Slimme camera s geven ouderenzorg privacy | Verder lezen | |
Ook AIVD kijkt kritisch naar AWS cloudverhuizingsplan van SIDN | Verder lezen | |
Bestuurders moeten verantwoordelijkheid nemen voor cybersecurity | Verder lezen |