security.txt (standaard voor veilig internet)

Reactie

Naam Floor Terra
Plaats Amersfoort
Datum 8 maart 2023

Vraag1

Wilt u reageren op het advies van de experts om security.txt te verplichten aan de overheid (‘pas toe of leg uit’-verplichting) (paragraaf 1 van het expertadvies)?
n.v.t.

Vraag2

Wilt u reageren op de constateringen en conclusies van de experts met betrekking tot de criteria voor de lijst verplichte standaarden waarop zij security.txt hebben getoetst voor verplichting via de ‘pas toe of leg uit’-lijst (paragrafen 5.1-5.4 van het expertadvies)?
n.v.t.

Vraag3

Wilt u reageren op de adviezen van de experts aan het Forum Standaardisatie en Overheidsbreed Beleidsoverleg Digitale Overheid (paragraaf 6 van het expertadvies)?
n.v.t.

Vraag4

Wilt u reageren op het doorlopen proces en de samenstelling van de expertgroep (paragraaf 3 van het expertadvies)?
n.v.t.

Vraag5

Wilt u aanvullende overwegingen meegeven aan het Forum Standaardisatie en Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) in verband met de inhoud van dit expertadvies of het gevolgde proces?
In RFC9116 wordt het Policy-veld van de standaard als volgt omschreven: 'The "Policy" field indicates a link to where the vulnerability disclosure policy is located. This can help security researchers understand the organization's vulnerability reporting practices.' Dat is een terechte en genuanceerde omschrijving. Maar dit punt is ook belangrijk om *expliciet* te benoemen. Concreet gaat het om de praktijk waarbij organisaties in hun meld-beleid beperkende voorwaarden zoals een potentieel onbeperkte geheimhouding opleggen. Policies die de melder beperkingen opleggen in plaats van alleen aangeven hoe de ontvangende organisatie omgaat met meldingen voldoen niet aan de standaard. Het risico bestaat dat een organisatie zoals DIVD security.txt gebruikt om geautomatiseerd organisaties te waarschuwen maar daarbij niet geautomatiseerd de organisatie-specifieke beperkende voorwaarden kan opmerken waarbij de ontvangende organisatie van mening is dat de melder juridisch afdwingbare voorwaarden heeft geschonden. Een maatregel om dit risico te verminderen is dat bij de adoptie van de standaard expliciet wordt vermeld dat security.txt niet kan worden gebruikt om eenzijdig voorwaarden op te leggen aan de melder.