Lovende reacties op security.txt, met voorbehoud

Security-expert Brian Krebs doet zijn smeekbede in een recente blogpost, waarin hij jaren van frustratie lucht. Het is niet alleen Krebs die oproept om seucrity.txt te gebruiken. Ook de internationaal bekende beveiligingsadviseur Troy Hunt wil dat meer organisaties het voorbeeld van techgiganten Facebook en Google volgen door security.txt op hun websites te plaatsen. Hij heeft dit tekstbestand met directe contactinformatie voor securityzaken aangesneden op developersconferentie Snykcon begin deze maand; in zijn sessie 'Lessons from 11 billion breached records'.

AG Connect heeft een rondgang in Nederland gedaan of security.txt hout snijdt; wat de voor- en nadelen zijn. "Vanuit mijn perspectief als CISO is het natuurlijk zo dat het publiceren van dit soort informatie ook voor extra spam zorgt, maar het risico van een gemiste melding is zoveel hoger dat ik iedereen wil oproepen dit te implementeren", vertelt Frank Breedijk, CISO bij Schuberg Philis. "Ik wil er zelfs voor pleiten dat dit wordt opgenomen in sites als SSLlabs, securityheaders en internet.nl."

'Soms moeten bellen'

Naast chief information security officer is Breedijk als vrijwilliger verbonden aan de DIVD, een vrijwilligersinitiatief om de digitale wereld veiliger te maken. "Als manager van het CSIRT [computer security incident response team - red.] van DIVD herken ik dat het vinden van de juiste ‘ingang’ om bij een organisatie een security probleem te melden een grote uitdaging is. Een standaard (zoals security.txt) zou hier enorm in helpen."

"Helaas komt het nog tè vaak voor dat we een bedrijf moeten bellen om uiteindelijk de goede persoon aan de lijn te krijgen." Breedijk heeft eerder dit jaar op het securitycongres van AG Connect verteld over hoe de DIVD organisaties heeft gewaarschuwd voor het grote Exchange-gat ProxyLogon. 'Als je deze waarschuwing leest, is het waarschijnlijk al te laat', was de titel van zijn sessie.

Noodzaak voor direct contact

Ook DIVD-grondlegger Victor Gevers is positief over security.txt. "Dit is wel heel wenselijk. Het maakt het makkelijker om kwetsbaarheden te melden." Gevers heeft ooit een jaar sabbatical genomen om het internet af te struinen op beveiligingsgaten, om kwetsbare organisaties daar dan voor te waarschuwen. Later is hij dit securitywerk in breder verband gaan opzetten; met de DIVD.

Terwijl er allang routes bestaan voor bijvoorbeeld het melden van misbruik, is dat lang niet altijd bruikbaar voor securityzaken. "Abuse informatie verwijst naar de ISP's die regelmatig meldingen niet tijdig doorzetten naar hun klanten", legt Gevers uit. "Wanneer (Nederlandse) organisaties (hun leveranciers zouden verplichten) het gebruik van security.txt is het mogelijk om security issues sneller op te lossen." Een security-onderzoeker of -organisatie zoals de DIVD kan dan namelijk direct contact opnemen met een kwetsbare partij. Gevers haalt als praktijkvoorbeeld nog de recente grote Apache-kwetsbaarheid aan, die veel organisaties heeft geraakt.

Naast beveiligingsonderzoekers en gatenmelders zien ook overheidsinstanties nut in security.txt. Het Digital Trust Center (DTC) dat Nederlandse ondernemers in niet-vitale sectoren moet waarschuwen voor cyberdreigingen loopt zelf ook wel eens op tegen slechte contacteerbaarheid. Dit laat een woordvoerster weten in antwoord op vragen van AG Connect. "Het DTC staat voor het weerbaarder maken van het Nederlandse bedrijfsleven. Een initiatief zoals security.txt kan een bijdrage leveren aan die weerbaarheid. Het is van belang dat security gerelateerde informatie tijdig bij de juiste persoon komt en op de juiste manier. Helaas blijkt dat dit, ook in onze praktijk, niet altijd eenvoudig of mogelijk is."

'Tot op zekere hoogte'

Het DTC erkent het belang van bereikbaarheid voor bedrijven bij ICT-securityzaken. "Daarom wijzen we bedrijven op onze website op het belang van een responsible disclosure beleid." Het initiatief voor security.txt zou hier volgens de DTC-woordvoerster bij kunnen helpen, "tot op zekere hoogte". Het DTC ziet in het voorstel van security.txt namelijk ook een uitdaging voor bedrijven. Het is niet weggelegd voor elk bedrijf of organisatie.

"Naar ons idee zullen vooral bedrijven die al bezig zijn met digitale weerbaarheid geneigd zijn dit initiatief te omarmen. Voor een groot deel van onze doelgroep zal eerst het bewustzijn over digitale weerbaarheid moeten worden gecreëerd, voordat een dergelijk initiatief ook zijn vruchten af gaat werpen. Als bedrijf moet je namelijk ook voorbereid zijn om dit soort meldingen te verwerken." Het publiek uitdragen van een contactpunt brengt ook de verplichting voor goede afhandeling met zich mee. In het verleden zijn er al security-onthullingen gedaan door ontdekkers die gefrustreerd waren doordat bedrijven niet (of laat) reageerden op hun meldingen.

Risico van spam en nepmeldingen?

Het DTC echoot het oordeel van CISO Breedijk over spam. "Of het gebruik van security.txt kan leiden tot scam/false positives zoals ook in het artikel van krebsonsecurity.com wordt benoemd, is niet uit te sluiten. Daar zijn uiteraard maatregelen tegen te nemen. Het initiatief zelf geeft hier al het advies om bijvoorbeeld te linken naar een policy in plaats van het vermelden van een e-mail adres."

"Kortom, het DTC is blij met de aandacht voor dit onderwerp en de ontwikkelingen op dit gebied. Het nut van deze specifieke voorgestelde standaard is er zeker. Het is en blijft wel aan individuele bedrijven om te kijken of en in welke mate zij hier gebruik van kunnen en willen maken. Het DTC zal hier, op de pagina over responsibledisclosurebeleid, op korte termijn aandacht aan besteden."

Ook het NCSC (Nationaal Cyber Security Centrum), dat valt onder het ministerie van Justitie en Veiligheid, is al bezig om 'warm te lopen'. "We zijn bekend met het security.txt-initiatief en hebben meegelezen tijdens de ontwikkeling van deze standaard. De standaard is nog niet definitief gepubliceerd, maar we zijn al wel aan het bedenken hoe we hier mee om willen gaan als die wel definitief zal zijn." Security.txt is al sinds eind 2017 in de maak.

'Voor iedereen makkelijker'

Over spam maakt het NCSC zich, net als het DTC, niet veel zorgen. "Voor het ontvangen van vulnerabilitydisclosuremeldingen zal ergens publiek een contactadres neergezet moeten worden. Dit wordt nu al gedaan op pagina’s met een vulnerability disclosure policy. Het risico op misbruik door spammers en scammers zal dan niet veel groter worden door het gebruik van security.txt naast een contactadres op een webpagina voor een vulnerability disclosure policy. Het maakt het voor iedereen makkelijker om het juiste adres te vinden, dus ook voor melders."

Op de vraag of (en hoe) het NCSC gebruik van security.txt gaat steunen of actief aanmoedigen reageert het cybersecurityorgaan voorzichtig. "Het NCSC stimuleert de praktijk van vulnerability disclosure en we zien security.txt als een positieve ontwikkeling. In afwachting van de definitieve standaard zijn we ons nog aan het beraden op de juiste manier om dit te steunen."