Het Digital Trust Center (DTC) van het ministerie van Economische Zaken is positief over de potentie van security.txt als standaard en kijkt of het onder het Nederlandse bedrijfsleven bekend moet worden gemaakt. Security.txt is een bestand waarmee organisaties en websites hun beleid voor het omgaan met beveiligingslekken kunnen vermelden. Onlangs besloot de Internet Engineering Task Force (IETF) van security.txt een RFC (Request for Comments) te maken.

Volgens de bedenkers van security.txt beschikken onafhankelijke beveiligingsonderzoekers vaak niet over de kanalen om kwetsbaarheden te melden. Hierdoor kan het gebeuren dat gevonden beveiligingslekken niet worden gerapporteerd. Het bestand security.txt moet dit voorkomen, onder andere door contactgegevens te vermelden waar kwetsbaarheden zijn te melden.

Organisaties die van security.txt gebruikmaken moeten wel alert zijn op spam en phishing, aangezien de opgegeven contactgegevens hiervoor kunnen worden gebruikt. Dit zou echter niet opwegen tegen de voordelen van security.txt. Het DTC zegt positief te zijn over de potentie van security.txt als standaard. "Dit zou onderdeel van je bedrijfshygiëne kunnen worden. Het verbetert immers je weerbaarheid tegen cyberaanvallen omdat je sneller op de hoogte bent van door cyberonderzoekers geconstateerde beveiligingslekken", zegt Kim van der Veen, projectleider van het DTC.

De veiligheidsmaatregel is volgens de overheidsinstantie vrij eenvoudig en zonder hoge kosten door te voeren. Op Securitytxt.org is een tool te vinden voor het genereren van een security.txt-bestand. Ook staat er beschreven waar dit bestand op de webserver geplaatst moet worden om aan de voorgestelde standaard te voldoen. Het DTC gaat de komende tijd met ondernemers en it-dienstverleners overleggen of security.txt bekendheid bij het Nederlandse bedrijfsleven verdient. "Mogelijk kan een gerichte campagne hierbij helpen”, aldus Van der Veen.