A nemzetek megkövetelik a kiberbiztonsági szakemberek engedélyét

Malajzia legalább két másik nemzethez – Szingapúrhoz és Ghánához – csatlakozott olyan törvények elfogadásában, amelyek megkövetelik, hogy a kiberbiztonsági szakemberek vagy cégeik tanúsítvánnyal és engedéllyel rendelkezzenek bizonyos kiberbiztonsági szolgáltatások nyújtására az országukban.

Április 3-án a malajziai parlament felsőháza, az úgynevezett Dewan Negara elfogadta a 2024-es kiberbiztonsági törvényt, miután az előző hónapban az alsóházban elfogadták. A törvényjavaslat, amely a király általi aláírását és a Kormányzati Közlönyben való közzétételét követően válik jogerőssé, ernyőjogszabályként épül fel, és keretként fog szolgálni a kritikus infrastruktúra védelmét és a nemzeti kiberbiztonsági állapot javítását célzó jövőbeni kormányzati tevékenységhez.

Míg a jogszabályok előírják az engedélyezést, a kiberbiztonsági szakemberekkel és szolgáltatókkal szemben támasztott tényleges követelmények később lesznek, a malajziai székhelyű Christopher & Lee Ong ügyvédi iroda. – áll egy tanácsban.

„Bár a törvényjavaslat nem határozza meg az engedélyezési rendszer hatálya alá tartozó kiberbiztonsági szolgáltatások típusait… ez valószínűleg azokra a szolgáltatókra vonatkozik majd, amelyek szolgáltatásokat nyújtanak egy másik személy információs és kommunikációs technológiai eszközeinek védelmére – [például] a penetrációs tesztelést végző szolgáltatókra. és biztonsági műveleti központok” – közölte az ügyvédi iroda.

Malajzia csatlakozik az ázsiai-csendes-óceáni szomszédhoz Szingapúrhoz, amely megkövetelte a kiberbiztonsági szolgáltatók (CSP) engedélyezése az elmúlt két évben, és a nyugat-afrikai nemzet, Ghána, amely előírja a a CSP-k engedélyezése és a kiberbiztonsági szakemberek akkreditációja. Tágabban a kormányok mint például az Európai Unió normalizált kiberbiztonsági tanúsítványokkal rendelkeznek, míg más ügynökségek – mint például az amerikai New York állam — tanúsítványt és engedélyeket kell megkövetelni a kiberbiztonsági képességekhez bizonyos iparágakban.

Hack engedély Ghánában

Míg sok kormány megköveteli a vállalkozásoktól, hogy engedélyeket szerezzenek a kiberbiztonsági szolgáltatások nyújtásához, Ghána az egyetlen ország, amely engedélyt kér az egyénektől – mondja Alekszej Lukatszkij, a moszkvai székhelyű kiberbiztonsági szolgáltató, a Positive Technologies kiberbiztonsági üzleti tanácsadásért felelős ügyvezető igazgatója.

„Ghána megközelítésének egyedisége abban rejlik, hogy az engedélyezési követelmények nem minden kiberbiztonsági szakemberre vonatkoznak, hanem azokra, akik négy konkrét területen terveznek dolgozni – sebezhetőség felmérése és penetrációs tesztelése, digitális kriminalisztika, menedzselt kiberbiztonsági szolgáltatások, kiberbiztonsági képzés és kiberbiztonság. GRC” – mondja.

A szingapúri kormány proaktív megközelítést alkalmazott annak érdekében, hogy a magánszektort szigorú kiberbiztonsági szabályozás elfogadására ösztönözze a szervezetekkel eddig. több mint 70% megvalósítása a „Cyber ​​Essentials” tanúsításhoz szükséges követelményeknek.

„Minden bizonnyal úgy gondoljuk, hogy a puszta minimumszabvány megléte nagyobb bizalmat ébreszt az ökoszisztémában, mivel biztosíték lesz arra, hogy – többek között – a behatolási tesztelés, a biztonsági auditok és az incidensre adott válaszszolgáltatások megfelelnek az iparág elvárásainak és a fejlődő technológiáknak. ” – mondja Serene Kan, a Wong & Partners, a Baker McKenzie International tagvállalata IP- és technológiai gyakorlatának partnere.

Az Egyesült Államokban az ilyen törekvések nem nyertek nagy teret. Ehelyett sok szakmai szervezet speciális készségek tanúsítását kínálja. Az ISC2 például a jól ismert Certified Information Systems Security Professional (CISSP) akkreditációt adminisztrálja, míg a CompTIA a Security+ tanúsítványt, az ISACA – korábban Information Systems Audit and Control Association – pedig a Certified Information System Auditor (CISA) minősítést, többek között.

Az ISC2 és az ISACA megtagadta a megjegyzést ehhez a cikkhez.

A szólásszabadság védelmének hiánya

Míg úgy tűnik, hogy a követelmények javítják az országok kiberbiztonsági helyzetének általános érettségét, a jogszabályok gyakran aggályokat vetnek fel a szólásszabadság és más egyéni jogok lehetséges költségei miatt.

Azok a kormányok, amelyek alapértelmezés szerint széleskörű felhatalmazást kapnak a kiberbiztonsággal kapcsolatos tevékenységek szabályozására, rendelkeznek hatáskörrel a digitális szolgáltatások ellenőrzésére. Ez gyakran azt eredményezi, hogy az újságírói tevékenységeket és a visszaélést bejelentő személyeket „előzetes jóváhagyást követelnek meg önkényes szabványok szerint, amelyek megváltoztathatók vagy visszavonhatók”, a 19. cikk értelmében, egy emberi jogi szervezet.

A malajziai kiberbiztonsági törvényjavaslat például „a jelenlegi állapotában szükségtelen és hibás” – állapította meg a szervezet.

„Bár „kiberbiztonsági” eszköznek tűnik, a törvényjavaslat elszámoltathatatlan ellenőrzést ad a kormánynak a számítógépekkel kapcsolatos tevékenységek felett, valamint szinte korlátlan keresési és lefoglalási jogkört biztosít majd a szervezetnek. – áll a törvényjavaslat elemzésében. „Büntetőjogi rendelkezései nem követelik meg a tényleges megsértési szándékot, így számos objektív felelősségi szabálysértést vezet be.”

Főleg a kiberbiztonsággal foglalkozó kutatók kerülhetnek veszélybe, hiszen a forráskód kiadásához vagy a kibertámadást célzó kutatásokhoz engedély kellene – közölte a szervezet.

Az engedélyezési követelmények azonban gyakran csak rányomják a kormány bélyegét a már létező legjobb tanúsítási gyakorlatokra, valamint arra, hogy az állásra jelentkezőknek speciális kiberbiztonsági tanúsítvánnyal kell rendelkezniük, de helyi fordulattal – mondja Lukatsky, a Positive Technologies.

A Ghána által követett megközelítés például „hasonlít az összes kiberbiztonsági szakember nyilvántartásának létrehozásához, mivel nem valószínű, hogy ebben vagy bármely más országban sok független, magányos szakember tudna dolgozni komoly szervezetekkel, ahol fennáll a munkaerő-felvétel kockázata. a képzetlen személyzet túl magas” – mondja. „Az ilyen követelmények fő oka az, hogy a kibertámadások számának növekedésével olyan szakemberekre van szükség, akik értik, mit és miért csinálnak, hogy felderítsék és megelőzzék – hogyan alkalmazzuk a nemzetközi legjobb gyakorlatokat, és hogyan alkalmazzuk azokat a helyihez. konkrétumok.”

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://www.darkreading.com/cyber-risk/licensed-to-bill-nations-mandate-certification-licensure-of-cybersecurity-pros