Kansakunnat vaativat kyberturvallisuuden ammattilaisten lisenssin

Malesia on liittynyt ainakin kahden muun maan – Singaporen ja Ghanan – kanssa säätämään lakeja, jotka edellyttävät kyberturvallisuuden ammattilaisten tai heidän yritystensä sertifiointia ja lupaa tarjota joitakin kyberturvallisuuspalveluita maassaan.

Huhtikuun 3. päivänä Malesian parlamentin ylähuone, joka tunnetaan nimellä Dewan Negara, hyväksyi kyberturvallisuuslain 2024 sen jälkeen, kun se hyväksyttiin alahuoneessa edellisessä kuussa. Lakiehdotus, josta tulee laki, kun kuningas on allekirjoittanut sen ja se on julkaistu Valtioneuvoston lehdessä, on rakenteeltaan kattolainsäädäntö, ja se toimii puitteena tulevalle hallituksen toiminnalle kriittisen infrastruktuurin turvaamiseksi ja kansallisen kyberturvallisuuden tilan parantamiseksi.

Vaikka lainsäädäntö velvoittaa lisensoinnin, todelliset vaatimukset kyberturvallisuuden ammattilaisille ja palveluntarjoajille tulevat myöhemmin, Malesiassa toimiva asianajotoimisto Christopher & Lee Ong todetaan neuvolassa.

"Vaikka lakiehdotuksessa ei täsmennetä lupajärjestelmän alaisia ​​kyberturvallisuuspalvelutyyppejä, tämä koskee todennäköisesti palveluntarjoajia, jotka tarjoavat palveluja toisen henkilön tieto- ja viestintätekniikan laitteiden suojaamiseksi - [esimerkiksi] penetraatiotestauksen tarjoajia ja turvatoimikeskukset”, asianajotoimisto totesi.

Malesia liittyy Aasian ja Tyynenmeren naapuriin Singaporeen, joka on vaatinut kyberturvallisuuspalveluntarjoajien (CSP) lisensointi kahden viime vuoden ajan ja Länsi-Afrikan Ghanan kansakunta, joka vaatii varmennepalvelujen tarjoajien lisensointi ja kyberturvallisuuden ammattilaisten akkreditointi. Laajemmin hallitukset kuten Euroopan unioni ovat normalisoineet kyberturvallisuussertifikaatit, kun taas muut virastot - kuten Yhdysvaltain New Yorkin osavaltiossa — vaatia sertifikaatteja ja lisenssejä kyberturvallisuusvalmiuksille tietyillä toimialoilla.

Lisenssi Hackiin Ghanassa

Vaikka monet hallitukset vaativat yrityksiä hankkimaan lisenssit kyberturvapalveluiden tarjoamiseen, Ghana on ainoa maa, joka vaatii yksityisiltä henkilöiltä lisenssin, sanoo Aleksei Lukatsky, Moskovan kyberturvallisuustoimittajan Positive Technologiesin kyberturvallisuusliiketoiminnan konsultoinnin toimitusjohtaja.

"Ghanan lähestymistavan ainutlaatuisuus piilee siinä, että lisenssivaatimukset eivät koske kaikkia kyberturvallisuuden asiantuntijoita, vaan niitä, jotka suunnittelevat työskentelevänsä neljällä tietyllä alueella - haavoittuvuuden arviointi ja penetraatiotestaus, digitaalinen rikostekninen tutkimus, hallitut kyberturvapalvelut, kyberturvallisuuskoulutus ja kyberturvallisuus. GRC", hän sanoo.

Singaporen hallitus on omaksunut ennakoivan lähestymistavan kannustaakseen yksityistä teollisuutta ottamaan käyttöön tiukat kyberturvallisuusmääräykset organisaatioiden kanssa. toteuttaa yli 70 % "Cyber ​​Essentials" -sertifioinnin vaatimuksista.

"Uskomme varmasti, että pelkkä vähimmäisstandardi lisää luottamusta koko ekosysteemiin, sillä varmistetaan, että muun muassa penetraatiotestaukset, turvatarkastukset ja häiriötilanteisiin reagointipalvelut vastaavat alan odotuksia ja kehittyviä teknologioita. ”, sanoo Serene Kan, Baker McKenzie Internationalin jäsenyrityksen Wong & Partnersin IP- ja teknologiakäytännön kumppani.

Yhdysvalloissa tällaiset ponnistelut eivät ole saaneet paljon jalansijaa. Sen sijaan monet ammatilliset järjestöt tarjota sertifiointia tietyistä taidoista. Esimerkiksi ISC2 hallinnoi tunnettua Certified Information Systems Security Professional (CISSP) -akkreditointia, kun taas CompTIA tarjoaa Security+ -sertifikaatin ja ISACA - entinen Information Systems Audit and Control Association - tarjoaa Certified Information System Auditor (CISA) -sertifioinnin. muiden joukossa.

ISC2 ja ISACA kieltäytyivät kommentoimasta tätä artikkelia.

Puheenvapauden suojan puute

Vaikka vaatimukset näyttävät parantavan maiden kyberturvallisuuden yleistä kypsyyttä, lainsäädäntö on usein herättänyt huolta sananvapauden ja muiden yksilön oikeuksien mahdollisista kustannuksista.

Hallituksella, joka saa oletuksena laajat valtuudet säädellä kyberturvallisuuteen liittyviä toimia, on valtuudet hallita digitaalisia palveluita. Tämä johtaa usein journalististen toimintojen ja ilmiantajien kohdistamiseen vaatimalla "ennakkohyväksyntää mielivaltaisten standardien mukaisesti, joita voidaan muuttaa tai peruuttaa", ihmisoikeusjärjestön artiklan 19 mukaisesti.

Esimerkiksi Malesian kyberturvallisuuslaki on "nykyisessä kunnossaan tarpeeton ja puutteellinen", järjestö totesi.

"Vaikka lakiesitys esiintyy "kyberturvallisuusvälineenä", se antaa hallitukselle vastuuttoman hallinnan tietokoneisiin liittyvissä toimissa sekä lähes rajattomat etsintä- ja takavarikointivaltuudet", järjestö sanoi laskun analyysissä. "Sen rikosoikeudelliset määräykset eivät edellytä todellista aikomusta rikkoa, ja ne tuovat tehokkaasti käyttöön monia ankaran vastuun rikoksia."

Erityisesti kyberturvallisuuden tutkijat voivat joutua vaaraan, koska lähdekoodin julkaiseminen tai kyberloukkaava tutkimus vaatisi lisenssin, järjestö totesi.

Usein lisensointivaatimukset merkitsevät kuitenkin vain hallituksen leimaa jo olemassa oleville parhaille sertifiointikäytännöille ja vaatimuksille, että työnhakijoilla on oltava tietyt kyberturvallisuussertifikaatit, mutta paikallisella kierteellä, Positive Technologiesin Lukatsky sanoo.

Esimerkiksi Ghanan noudattama lähestymistapa "muistuttaa kaikkien kyberturvallisuusasiantuntijoiden rekisterin perustamista, koska on epätodennäköistä, että tässä tai missään muussa maassa on monia itsenäisiä yksinäisiä asiantuntijoita, jotka voivat työskennellä vakavien organisaatioiden kanssa, joissa palkkaamisen riskit kouluttamatonta henkilöstöä on liian paljon”, hän sanoo. ”Tällaisten vaatimusten pääasiallinen syy on se, että kyberhyökkäysten määrän kasvaessa tarvitaan asiantuntijoita, jotka ymmärtävät, mitä he tekevät ja miksi tekevät sen havaitsemaan ja ehkäisemään – miten kansainvälisiä parhaita käytäntöjä sovelletaan ja miten niitä mukautetaan paikallisiin. erityispiirteet."

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/cyber-risk/licensed-to-bill-nations-mandate-certification-licensure-of-cybersecurity-pros