Vil påby security.txt i Norge, også

Nederland påbyr sikkerhetsstandarden i det offentlige, og Martin Ingesen ser for seg noe liknende i Norge.

Martin Ingesen, grunnlegger og daglig leder i pentester-selskapet Kovert. 📸: Mattis Vaaland
Martin Ingesen, grunnlegger og daglig leder i pentester-selskapet Kovert. 📸: Mattis Vaaland Vis mer

Den 25. mai ble internettstandarden security.txt påbudt for alt fra nederlandske kommuner og provinser til nasjonale myndigheter å ha på sine nettsider. Andre organisasjoner i offentlig sektor er også rådet til å bruke standarden.

Security.txt er en tekstfil som inneholder standardisert informasjon som kontaktinfo, krypteringsnøkkel for kommunikasjon og sikkerhetsretningslinjer.

- Norske myndigheter bør være tydeligere på hvilke forventinger de setter til informasjonssikkerhet hos norske bedrifter. En security.txt-fil fremtvinger at man har en prosedyre for å motta og håndtere innrapporterte sårbarheter, noe jeg mener er en vinn-vinn-situasjon, sier, Martin Ingesen, grunnlegger og daglig leder i pentester-selskapet Kovert, til kode24.

Gjør sikkerheten bedre

Martin Ingesen har selv satt opp nettsiden securitytxt.no for å spre kunnskap om hvordan man kan implementere en varslingskanal for sårbarheter, særlig i det offentlige.

- Først og fremst er det viktig å sette scenen for hvorfor dette nå skjer. Nederlandske myndigheter har et krav til offentlige foretak og etater om at de skal ha på plass et minstekrav når det kommer til informasjonssikkerhet, sier Ingesen.

Han legger til at i dette kravet så ligger det blant annet at man skal ha en prosedyre for å ta imot sårbarheter innrapportert fra tredjeparter.

- Nå som man også påkrever security.txt, så tydeliggjøre og forenkler dette veien inn til denne prosedyren, og gjør det lettere for sikkerhetsforskere å treffe riktig kontaktpunkt, sier Ingesen.

Bør være tydeligere

- Etterspør du det samme grepet fra norske myndigheter?

- Om det ikke blir påbudt, så skulle jeg ønske at det var sterkt anbefalt både for offentlige og private virksomheter, sier Ingesen.

Han ønsker å se at RFC9116 eller en adapsjon ble innlemmet som en obligatorisk standard i "Referansekatalogen for IT-standardar" hos Digitaliseringsdirektoratet.

- Slik at alle offentlige virksomheter ta hensyn til dette ved anskaffelse, utvikling eller oppsett av IT-løsninger.