security.txt (standaard voor veilig internet)

Reactie

Vraag1

Om beveiligingslekken goed te kunnen verhelpen, is volwassen eigenaarschap van de betreffende informatiesystemen nodig. Dat is in veel organisaties niet goed belegd. Een security.txt bestandje in een website verplicht stellen, gaat dat niet oplossen. Grote kans dat, als het verplicht is, de contactgegevens van de ICT-manager erin opgenomen gaat worden. Mag die fijn alle ellende weer oplossen, waarbij diegene daar mogelijk niet altijd toe in staat is. Ook grote kans dat een bestand wordt geplaatst puur omdat het verplicht is, maar dat de daarin geplaatste gegevens niet actueel gehouden worden.

Hoe het in de praktijk gaat. Een manager wil een bepaalde website en stelt daar een projectmanager voor aan die een externe softwarebouwer in de arm neemt. Met een beetje geluk is beveiliging een eis, maar vaak ook niet, want die manager wordt daar toch niet op afgerekend en beveiliging kost wat extra tijd, dus extra geld. De softwarebouwer wordt vooral aangesproken op het op tijd opleveren, dus die gaat voor snelheid. De website wordt gelanceerd, champagne! De manager is blij, de softwarebouwer krijgt een compliment en de projectleider gaat door naar andere opdrachten.

Een tijd later wordt een bug ontdekt. De projectleider is inmiddels van baan gewisseld. Documentatie over de website is niet aanwezig. De softwarebouwer heeft het te druk of bestaat inmiddels niet meer. Een website is iets ICT-erigs, dus we leggen het probleem maar bij de ICT-manager neer, die eigenlijk alleen maar verantwoordelijk is voor het in de lucht houden van de website. Een freelance software developer wordt ingehuurd om een quickfix toe te passen, waarbij het probleem van onveilige code niet structureel wordt aangepakt, maar slechts op de plek waar een melding over gemaakt is.

En dit alles gaan we oplossen door een security.txt bestandje verplicht te stellen? Echt waar?

Vraag5

Probeer niet een organisatorisch probleem op te lossen met een technisch liflafje.