各国はサイバーセキュリティ専門家のライセンスを要求

各国はサイバーセキュリティ専門家のライセンスを要求

タイムスタンプ:22年2024月9日00:XNUMX
各国はサイバーセキュリティの専門家である PlatoBlockchain Data Intelligence のライセンスを必要としています。垂直検索。あい。

マレーシアは、他の少なくとも2か国(シンガポールとガーナ)に加わり、自国で一部のサイバーセキュリティサービスを提供するためにサイバーセキュリティ専門家またはその企業の認定とライセンス取得を義務付ける法律を可決した。

3月2024日、デワン・ネガラとして知られるマレーシア議会上院は、前月の下院での可決に続き、XNUMX年サイバーセキュリティ法案を可決した。この法案は国王の署名と官報への掲載を経て成立するもので、包括的な法律として構成されており、重要なインフラを確保し、サイバーセキュリティの国家状態を改善する将来の政府活動の枠組みとして機能することになる。

法律ではライセンス付与が義務付けられているが、サイバーセキュリティの専門家やサービスプロバイダーに対する実際の要件はその後になる、とマレーシアに本拠を置く法律事務所クリストファー・アンド・リー・オング氏は述べた。 勧告に記載されている.

「この法案は、ライセンス制度の対象となるサイバーセキュリティサービスの種類を指定していないが、これはおそらく、他人の情報通信技術デバイスを保護するサービスを提供するサービスプロバイダー(例えば、侵入テストプロバイダー)に適用されることになるだろう」およびセキュリティオペレーションセンター」と法律事務所は述べた。

マレーシアは、アジア太平洋の隣国シンガポールに加わります。 サイバーセキュリティ サービス プロバイダー (CSP) のライセンス 過去 2 年間、西アフリカの国ガーナでは、 CSP のライセンス付与とサイバーセキュリティ専門家の認定。さらに広く言えば、政府 欧州連合など 他の機関はサイバーセキュリティ認証を正規化していますが、 アメリカのニューヨーク州など — 特定の業界におけるサイバーセキュリティ機能の認定とライセンスが必要です。

ガーナでのハッキングライセンス

多くの政府がサイバーセキュリティサービスを提供するために企業にライセンスの取得を求めているが、個人にライセンスの取得を義務付けているのはガーナだけだ、とモスクワに拠点を置くサイバーセキュリティプロバイダー、ポジティブ・テクノロジーズのサイバーセキュリティ・ビジネス・コンサルティング担当マネジング・ディレクター、アレクセイ・ルカツキー氏は語る。

「ガーナのアプローチの独自性は、ライセンス要件がすべてのサイバーセキュリティ専門家に適用されるのではなく、脆弱性評価と侵入テスト、デジタルフォレンジック、マネージドサイバーセキュリティサービス、サイバーセキュリティトレーニング、サイバーセキュリティという4つの特定分野で働くことを計画している人々に適用されるという事実にあります。 GRC」と彼は言います。

シンガポール政府は民間業界に厳しいサイバーセキュリティ規制の導入を促す積極的なアプローチをとっており、これまでのところ各組織と協力している。 70%以上実施 「Cyber​​ Essentials」認定に必要な要件の一部。

「最低限の基準を設けることで、特にペネトレーションテスト、セキュリティ監査、提供されるインシデント対応サービスが業界の期待や進化するテクノロジーと同等であるという保証が得られるため、エコシステム全体の信頼が高まると私たちは確信しています。 」とベーカー マッケンジー インターナショナルのメンバーファームであるウォン アンド パートナーズの知的財産およびテクノロジー業務のパートナーであるセリーン カン氏は言います。

米国では、そのような取り組みはあまり普及していない。その代わり、多くの専門組織が 特定のスキルセットの認定を提供する。たとえば、ISC2 は有名な Certified Information Systems Security Professional (CISSP) 認定を管理し、CompTIA は Security+ 認定を提供し、ISACA (旧情報システム監査制御協会) は Certified Information System Auditor (CISA) 認定を提供しています。とりわけ。

ISC2 と ISACA はこの記事についてコメントを控えた。

言論の自由に対する保護の欠如

この要件は各国のサイバーセキュリティ体制の全体的な成熟度を向上させるように見えますが、法律は言論の自由やその他の個人の権利に対する潜在的なコストに関する懸念をしばしば引き起こしています。

サイバーセキュリティに関連する活動を規制する広範な権限を獲得した政府は、デフォルトでデジタル サービスを管理する権限を持ちます。このため、人権団体第 19 条によれば、「変更または取り消しの可能性がある任意の基準に基づく事前承認」を要求することにより、ジャーナリズム活動や内部告発者が標的となることがよくあります。

例えば、マレーシアのサイバーセキュリティ法案は「現状では不必要であり、欠陥がある」と同団体は述べた。

同団体は、「『サイバーセキュリティ』手段を装っているにもかかわらず、この法案は政府にコンピュータ関連活動に対する責任のない管理と、ほぼ無制限の捜査・押収権限を与えるものである」としている。 法案の分析で述べた。 「その刑事規定は実際に違反する意図を必要としておらず、実質的に多くの厳格責任犯罪を導入している。」

ソースコードやサイバー攻撃的な研究の公開にはライセンスが必要となるため、特にサイバーセキュリティ研究者が危険にさらされる可能性があると同団体は述べた。

しかし、多くの場合、ライセンス要件は、すでに存在する認定のベストプラクティスや、求職者が特定のサイバーセキュリティ認定を取得しているという要件に政府のお墨付きを与えるだけですが、局所的な工夫が加えられていると、Positive Technologies の Lukatsky 氏は述べています。

例えば、ガーナが追求したアプローチは、「この国や他のどの国でも、本格的な組織と協力できる独立した単独の専門家が多く存在する可能性は低いため、すべてのサイバーセキュリティ専門家の登録簿を確立することに似ており、雇用のリスクが高い場合には、資格のない人材は多すぎます」と彼は言います。 「このような要件の主な理由は、サイバー攻撃の数が増加するにつれて、サイバー攻撃が何を行っているのか、なぜそれを行うのかを理解して、それを検出して防止するには、国際的なベストプラクティスをどのように適用し、それを地域の環境にどのように適応させるのかを理解する専門家が必要であるということです。詳細。」

タイムスタンプ:

より多くの 暗い読書