Het Nationaal Cyber Security Centrum, NCSC, is met een document gekomen waarin het organisaties van de Rijksoverheid hulp biedt voor het implementeren van security.txt. Die standaard voor een meldpunt waar onderzoekers securitykwesties kunnen melden, wordt niet alleen uitgelegd door het NCSC maar ook gefaciliteerd.

In plaats van alle webservers van de Rijksoverheid te voorzien van een apart security.txt-bestand, biedt het verwijzen naar een centraal security.txt-bestand met een HTTP 302 Redirect meerdere voordelen, stelt het NCSC in de zogeheten handreiking over security.txt. Deze standaard bestaat uit een tekstbestand met daarin contactgegevens voor het verantwoord melden van kwetsbaarheden, onvolkomenheden en beveiligingsproblemen.

Overlaten aan NCSC

De 302-doorverwijzing die het NCSC aanraadt voor security.txt bij en voor Rijksoverheden biedt allereerst gemak, legt het cybersecurity-orgaan van de Nederlandse overheid uit. Organisaties van de Rijksoverheid hoeven zelf geen security.txt-bestand te genereren en te publiceren, maar hoeven alleen maar te verwijzen.

Een tweede voordeel is proces: Het centrale security.txt-bestand sluit aan bij het bestaande proces waarin NCSC een centrale rol speelt bij het afhandelen van CVD-meldingen voor de Rijksoverheid. CVD staat voor Coordinated Vulnerability Disclosure en betreft het discreet melden plus verantwoord onthullen van beveiligingskwesties. Na initiele melding en aanpak kunnen melder en betrokken organisatie dan naar buiten treden met de vondst plus genomen maatregelen. Soms kan het eerst nog nodig zijn om verantwoorde melding te doen aan andere partijen, zoals ICT-gebruikers maar ook -leveranciers.

Deze versturen we 3-4x per jaar.