security.txt (standaard voor veilig internet)

Reactie

Naam Internet Cleanup Foundation (ETS Jonker)
Plaats 's-Hertogenbosch
Datum 7 maart 2023

Vraag5

Wilt u aanvullende overwegingen meegeven aan het Forum Standaardisatie en Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) in verband met de inhoud van dit expertadvies of het gevolgde proces?
Wat wij willen voorkomen is dat met deze inhoudelijke reactie een mogelijk uitstel of afstel ontstaat over de adoptie van security.txt. We zijn enorm voorstander van deze standaard en het kan niet vroeg genoeg verplicht worden.

Op dit moment zijn we als beveiligingsonderzoekers blij dat we ergens heen kunnen met onze melding: daarvoor is security.txt oneindig waardevol.

Vanuit Basisbeveiliging werken we met metingen op grote schaal. We zien dat security.txt als oplossing niet schaalt, maar mogelijk een volgende versie wel. Maar wacht daar niet op.

We zien dat de standaard te flexibel is in waar je gegevens kan vinden. Daarmee bedoelen we de sleutel om een melding versleuteld te versturen en de contactgegevens. Deze velden kunnen leiden naar (afzonderlijke) pagina's op het internet. Deze hebben geen PGP signature.

Op lange termijn is het verwijzen naar andere locatie onhoudbaar: sites/dns/etc veranderen, verouderen, worden herzien: sleutels en contactgegevens worden onvindbaar. Er zit ook niet voor niets een PGP signature op het security.txt bestand: die integriteit is handig om ook contactgegevens / sleutel mee te tekenen.

We zien nu dat bij contactinformatie de wereld weleens word omgekeerd. In plaats van een e-mail adres staat er een formulier. Ieder formulier is anders. Dat levert een enorme administratieve rompslomp op en het werkt afschrikwekkend om te melden.
Hoeveel meldingen krijg je _niet_ omdat er allerlei drempels worden opgeworpen?

Wij vinden dat het security.txt bestand op zichzelf voldoende informatie moet bevatten om een versleutelde melding te kunnen doen via mail (of post... als het maar schaalt). Dan krijgen organisaties misschien wat spam, maar dat zijn ze al gewend.

Een volledig op zichzelf staande security.txt geeft allerlei securitybedrijven en vrijwilligersorganisaties zoals Basisbeveiliging en DIVD de kans om snel grote hoeveelheden kwetsbaarheden gemeld en weggewerkt te krijgen. Nu is dat nog veel te veel handwerk door ontbrekende uniformiteit. Security.txt lost dit voor 80% op, en daarom is het noodzaak dat dit word toegepast. Die laatste 20% is noodzakelijk als we als maatschappij echt op schaal kwetsbaarheden willen gaan wegwerken.

Samenvattend: absoluut verplichten, het is triviaal om toe te passen en levert veel op voor de veiligheid van Nederland. Blijf tegelijkertijd open staan voor updates aan de standaard die de schaalbaarheid voor melders vergroot, stimuleer dit desnoods.