Een van de punten die vaker terugkomt bij de strijd regen cybercrime is dat bestrijders vaak niet op tijd achter contactgegevens kunnen komen. Niet de gegevens van de criminelen, maar juist van de slachtoffers.
Bij elke nieuwe melding van lekken in software of aanvalsgolven is het aantal slachtoffers uiteindelijk te groot. Of het nu gaat om een zeroday in Outlook waar misbruik van is gemaakt of een probleem met de security van de kantoor NAS, het leed had kleiner kunnen zijn. Dat komt altijd omdat de partijen die kunnen waarschuwen niet iedereen op tijd kunnen bereiken.
Het is zelfs nog erger, in een te groot aantal gevallen zijn de contactgegevens van IT beheerders totaal niet te achterhalen. Dat is bijvoorbeeld een van de redenen waarom via de lekke software van Kaseya zoveel schade is aangericht. Zelfs in Nederland, waar door het optreden van DIVD heel snel aan de bel getrokken werd, blijven sommige beheerders van kantoornetwerken, scholen, instellingen en dergelijk onvindbaar.
Met
DIVD heeft ITchannelPRO al eerder over dit onderwerp gesproken. Het komt nu nog eens ter sprake omdat ook in het buitenland het besef doordringt dat hier iets moet veranderen. Er is namelijk al een kant en klare oplossing voor het probleem.
Brian Krebs wijst daar in zijn
artikel van 20 september nog eens op. Het is kinderlijk eenvoudig op elke website contactgegevens op te nemen. Maar die zijn in de regel voor het reguliere contact met sales en dergelijke. Om snel in contact te kunnen komen met de beheerder van een websites helpt het als iedereen (!) een simpele txt file plaats.
Security.txt
De tekst van zeer simpel zijn. Het getoonde voorbeeld heeft nu de status van een voorstel dat gereviewed wordt. Maar ook als het nog geen “formele” status heeft is het dankzij het
sjabloon al erg makkelijk te gebruiken. Iedereen die security serieus neemt, cybercrime overlast wil voorkomen en de juiste contactgegevens van zijn klant of organisatie kent moet hier eens beter naar kijken (dat is ook nogal eens een probleem). Zorgen over privacy inbreuken of overtreding van de AVG zijn totaal niet aan de orde. Het is ook zeker de moeite waard hier met klanten over te praten. Uiteindelijk is het vaak hun infrastructuur en online omgevingen die worden aangevallen.
Op dit moment is het voor onderzoekers die willen waarschuwen voor lekken en waarschuwingsdiensten nog veel te complex. De keten is te lang om van datacenter, via provider of MSP bij de juiste verantwoordelijke eindklant uit te komen. Tegen de tijd dat die de telefoon opneemt is de schade al aangericht. Cybercrime aanvallen gaan immers met de snelheid van het licht
