Helaas leven we in een tijd waarin cyberaanvallen, ransomware en andere dreigingen tot de norm behoren. Hoe zorg je er nu voor dat jouw webshop en systemen veilig zijn én blijven? Een beveiligingslek is immers zo gebeurd en iets waar cybercriminelen maar al te graag misbruik van maken. Gelukkig zijn er ook hackers met goede bedoelingen, ook wel ethische hackers genoemd. Met een een security.txt maak je het hen makkelijk om melding te doen van eventuele beveiligingslekken. In dit blogartikel leggen we uit hoe je dit het beste doet.
Wat is een security.txt en waar is het voor?
Voor we verder ingaan op hoe je een security.txt implementeert is het eerst belangrijk om uit te leggen wat dit precies is. Een security.txt is een txt.-bestand (tekstbestand) waarin beschreven staat hoe iemand, vaak een ethische hacker, een configuratiefout of beveiligingslek in jouw systemen of webshop kan melden.
Waarom dit belangrijk is? Bij veel organisaties is het niet duidelijk waar dit soort meldingen gedaan moeten worden. Natuurlijk, in principe kan dit ‘gewoon’ via het contactformulier, maar het gevaar bestaat dan dat er niks met de melding wordt gedaan. Met een security.txt-bestand zorg je ervoor dat ethische hackers direct melding doen bij de relevante afdeling / persoon en dat het probleem zo snel mogelijk wordt aangepakt.
Niet verplicht
Een security.txt is niet verplicht. Wel wordt het gebruik hiervan aangeraden door het National Cyber Security Centrum (NCSC), het Forum Standaardisatie en Digital Trust Center (DTC) van het Ministerie van Economische Zaken & Klimaat.
De voor- en nadelen van security.txt
Wat zijn de voor- en nadelen van een security.txt-bestand op je webserver? We zetten ze op een rij:
Voordelen van security.txt:
- Gratis: zelf een security.txt-bestand plaatsen op je website of webserver is compleet gratis.
- Eenvoudig & snel toe te passen: naast gratis is dit ook een zeer toegankelijke en snel toe te passen maatregel, mits je weet hoe je dit moet doen.
- Snel op de hoogte: met een security.txt-bestand is de relevante persoon of afdeling direct op de hoogte van het beveiligingslek en kan er razendsnel naar worden gehandeld.
Nadelen van security.txt:
- Meer spam: sommige experts op gebied van online veiligheid waarschuwen voor extra spam.
- Vereist verwerkingscapaciteit: direct op de hoogte zijn van een lek is handig, maar als je er niets aan kunt doen heb je er weinig aan. Een security.txt-bestand vereist dus ook de capaciteit om de gemelde problemen op te lossen. Voor kleine ondernemers met een simpele WordPress-webshop en beperkte technische kennis heeft zo’n bestand mogelijk weinig meerwaarde.
Voorkom spam via security.txt-bestand
Ondanks bovengenoemde nadelen is voor veel organisaties een security.txt-bestand plaatsen een goed idee, mede omdat het nadeel van ‘meer spam’ relatief eenvoudig verholpen kan worden:
- betere filtering van berichten
- het security.txt-bestand verwijzen naar een contactformulier in plaats van een e-mailadres
Stappenplan: zo implementeer je een security.txt-bestand
Oké, dat een security.txt dé manier is om ethische hackers je te laten waarschuwen staat buiten kijf, maar hoe implementeer je dit precies? Volg simpelweg ons stappenplan:
Stap 1: Relevante afdeling / persoon bepalen
Eerst is het van belang om vast te stellen bij wie de melding binnenkomt. Dit kan zowel binnen je bedrijf (IT-persoon of IT-afdeling) als buiten je bedrijf, bijvoorbeeld bij je IT-dienstverlener, zijn.
Stap 2: Maak het bestand aan
Vervolgens maak je het bestand zelf aan. Dit kan ‘gewoon’ in je kladblok (standaard geïnstalleerd op Windows-systemen) of met behulp van een tool, zoals securitytxt.org. Vermeld in het bestand het in stap 1 vastgestelde e-mailadres en de vervaldatum.
Weet je niet wat je nog meer in je security.txt moet zetten? Dan kun je prima Google’s eigen bestand als voorbeeld gebruiken. Deze vind je hier:
https://www.google.com/.well-known/security.txt
Stap 3: Security.txt plaatsen
Zo, nu je security.txt bestand klaar is hoeft deze alleen nog op je webserver geplaatst te worden. Dit doe je bij voorkeur in een “.well-known”- map op je webserver. Maak deze aan en plaats hierin het security.txt-bestand.
Lukt dit niet, kun je geen map aanmaken op je server of heb je hier simpelweg niet de technische kennis voor? Kijk dan of er een plug-in, module of extensie beschikbaar is die dit ondersteund voor jou e-commerce platform. Een andere mogelijk is om, mits van toepassing, je IT-dienstverlener in te schakelen om dit voor jou te regelen.
Stap 4: Controle
De volgende stap is eenvoudig. Ga naar internet.nl en voer je website-domeinnaam in bij de ‘Test je website’-tool. Scroll naar ‘Beveiligingsopties’ en kijk onder ‘Andere beveiligingsopties’ of jouw security.txt-bestand op de juiste plaats staat en opgehaald kan worden. En als je toch bezig bent: kijk ook naar de andere beveiligingsopties en hoe je de beveiliging van je website verder kan optimaliseren.
Stap 5: Regelmatig updaten
Als het goed is staat in je security.txt een vervaldatum vermeld. De informatie in het security.txt bestand is mogelijk slechts voor een bepaalde periode up-to-date vanwege wijzigingen binnen de organisatie. In dit geval kunnen mensen die jou willen bereiken je meldingen sturen via de verkeerde contactadressen, wat voor beide partijen tijd-, informatie- en focusverlies kan veroorzaken. Het is belangrijk om de vervaldatum up-to-date te houden met de wijzigingen in jouw security.txt. Dit is de tweede verplichte richtlijn voor het bestand security.txt. Zorg ervoor dat je vóór deze datum je bestand update, bijvoorbeeld door een reminder in je agenda of kalender te zetten.
Stap 6: Bereid je voor op meldingen die binnenkomen
Met het plaatsen van je security.txt-bestand ben je er nog niet. Zoals reed benadrukt is het essentieel om meldingen van ethische hackers op te kunnen pakken. Zorg ervoor dat je hierover duidelijke afspraken maakt met de desbetreffende persoon, afdeling of dienstverlener.
Hier moet je security.txt aan voldoen
In principe hoeft je security.txt-bestand niet aan allerlei eisen te voldoen. Het belangrijkste is dat het bestand duidelijk is over hoe en met wie er contact opgenomen dient te worden en wat de vervaldatum is. Daarnaast dient het bestand op de juiste plek te staan, namelijk in de .”well-known”-map op je server.
Plaats je zelf een security.txt-bestand? Houd hier rekening mee!
Zelf een security.txt-bestand plaatsen is over het algemeen niet heel lastig. Toch is het belangrijk om rekening te houden met een aantal zaken, zoals:
- toegang tot je server: heb je toegang tot je webserver of moet je hiervoor je IT-dienstverlener inschakelen?
- aparte mailbox: zorg ervoor dat je een aparte mailbox aanmaakt vóór je je security.text-bestand online zet.
- controle: natuurlijk kan er iets misgaan bij het plaatsen. Maak daarom gebruik van de eerdergenoemde tool op internet.nl om te controleren of je het bestand inderdaad correct hebt geplaatst.
Waarom helpen ethische hackers eigen?
Ethische hackers worden alom beschouwd als de ‘good guys’ van het internet. Zij sporen fouten en veiligheidslekken op en melden deze aan bedrijven of instellingen om zo mee te helpen in de strijd tegen cybercriminelen. Waarom ze precies helpen verschilt per individu, maar over het algemeen helpen ethische hackers omdat ze criminaliteit tegen willen gaan én plezier halen uit het opsporen van fouten en lekken.
In die zin zijn ze precies het tegenovergestelde van cybercriminelen: daar waar cybercriminelen hun vaardigheden gebruiken om schade aan te richten, gebruiken ethische hackers hun kennis en skills om dit tegen te gaan.
De kosten van meldingen
In principe is een security.txt-bestand plaatsen gratis, maar specifieke meldingen afhandelen of beveiligingslekken dichten kan kosten met zich meebrengen. Wat de exacte kosten precies zijn hangt daarom van de specifieke melding, de desbetreffende ethische hacker en het op te lossen probleem. Kun je het probleem intern oplossen? Dan vallen de kosten naar alle waarschijnlijkheid mee. Soms kan het wel zo zijn dat de hacker een (kleine) beloning vraagt voor haar of zijn werkzaamheden.
Hulp nodig bij security.txt?
Ben je benieuwd of security.txt interessant is voor jouw bedrijf, of wil je graag meer informatie over dit onderwerp? De e-commerce specialisten van Legacy helpen je er graag bij. We weten welke partijen we moeten inzetten om je te ondersteunen bij het instellen van jouw security.txt. Neem gerust contact met ons op voor een kennismaking.