Kraje wymagają licencji od specjalistów ds. cyberbezpieczeństwa

Malezja dołączyła do co najmniej dwóch innych krajów – Singapuru i Ghany – uchwalając przepisy wymagające od specjalistów ds. cyberbezpieczeństwa lub ich firm posiadania certyfikatów i licencji umożliwiających świadczenie niektórych usług cyberbezpieczeństwa w ich kraju.

3 kwietnia izba wyższa malezyjskiego parlamentu, znana jako Dewan Negara, przyjęła ustawę o cyberbezpieczeństwie 2024, po jej przyjęciu w izbie niższej w poprzednim miesiącu. Ustawa, która wejdzie w życie po podpisaniu przez króla i opublikowaniu w Dzienniku Urzędowym, ma strukturę ustawodawstwa parasolowego i będzie stanowić ramy dla przyszłych działań rządu w zakresie zabezpieczania infrastruktury krytycznej i poprawy stanu cyberbezpieczeństwa kraju.

Chociaż przepisy nakładają obowiązek licencjonowania, rzeczywiste wymagania dla specjalistów i dostawców usług ds. cyberbezpieczeństwa zostaną określone później, twierdzi malezyjska kancelaria prawnicza Christopher & Lee Ong stwierdzono w poradni.

„Chociaż projekt ustawy nie określa rodzajów usług bezpieczeństwa cybernetycznego podlegających reżimowi licencyjnemu… będzie to prawdopodobnie miało zastosowanie do dostawców usług, którzy świadczą usługi w celu ochrony urządzenia technologii informacyjno-komunikacyjnej innej osoby – [na przykład] dostawców testów penetracyjnych i centra operacyjne bezpieczeństwa” – stwierdziła kancelaria.

Malezja dołącza do sąsiada z Azji i Pacyfiku, Singapuru, który wymagał licencjonowanie dostawców usług cyberbezpieczeństwa (CSP) przez ostatnie dwa lata, oraz zachodnioafrykański naród Ghana, który wymaga licencjonowanie dostawców CSP i akredytacja specjalistów ds. cyberbezpieczeństwa. Szerzej: rządy takich jak Unia Europejska mają znormalizowane certyfikaty cyberbezpieczeństwa, podczas gdy inne agencje — takich jak amerykański stan Nowy Jork — wymagać certyfikacji i licencji w zakresie zdolności w zakresie cyberbezpieczeństwa w określonych branżach.

Licencja na hakowanie w Ghanie

Chociaż wiele rządów wymaga od przedsiębiorstw uzyskiwania licencji na świadczenie usług w zakresie cyberbezpieczeństwa, Ghana jest jedynym krajem, który wymaga od osób fizycznych posiadania licencji, mówi Aleksiej Lukatsky, dyrektor zarządzający ds. doradztwa biznesowego w zakresie cyberbezpieczeństwa w Positive Technologies, moskiewskim dostawcy cyberbezpieczeństwa.

„Wyjątkowość podejścia Ghany polega na tym, że wymogi licencyjne nie dotyczą wszystkich specjalistów ds. cyberbezpieczeństwa, ale tych, którzy planują pracować w czterech konkretnych obszarach – ocena podatności i testy penetracyjne, kryminalistyka cyfrowa, zarządzane usługi cyberbezpieczeństwa, szkolenia w zakresie cyberbezpieczeństwa i cyberbezpieczeństwo GRC” – mówi.

Rząd Singapuru przyjął jak dotąd proaktywne podejście, zachęcając przemysł prywatny do przyjęcia rygorystycznych przepisów dotyczących cyberbezpieczeństwa w organizacjach wdrażając ponad 70% wymagań niezbędnych do uzyskania certyfikatu „Cyber ​​Essentials”.

„Z całą pewnością uważamy, że posiadanie minimalnego standardu zwiększy zaufanie w całym ekosystemie, ponieważ będzie pewność, że – między innymi – testy penetracyjne, audyty bezpieczeństwa i usługi reagowania na incydenty, które mają być świadczone, odpowiadają oczekiwaniom branży i rozwijającym się technologiom ”, mówi Serene Kan, partner w praktyce własności intelektualnej i technologii w Wong & Partners, firmie członkowskiej Baker McKenzie International.

W Stanach Zjednoczonych takie wysiłki nie zyskały dużego zasięgu. Zamiast tego wiele organizacji zawodowych oferować certyfikację określonych zestawów umiejętności. Na przykład ISC2 zarządza dobrze znaną akredytacją Certified Information Systems Security Professional (CISSP), CompTIA oferuje certyfikat Security+, a ISACA — dawniej Information Systems Audit and Control Association — oferuje certyfikat Certified Information System Auditor (CISA), pośród innych.

ISC2 i ISACA odmówiły komentarza w sprawie tego artykułu.

Brak zabezpieczeń wolności słowa

Choć wydaje się, że wymogi poprawiają ogólną dojrzałość postaw w zakresie cyberbezpieczeństwa w poszczególnych krajach, ustawodawstwo często budzi obawy dotyczące potencjalnych kosztów dla wolności słowa i innych praw jednostki.

Rządy, które zyskują szerokie uprawnienia do regulowania działań związanych z cyberbezpieczeństwem, domyślnie mają uprawnienia do kontrolowania usług cyfrowych. Często powoduje to, że celem działań dziennikarskich i sygnalistów jest wymaganie „wstępnej zgody zgodnie z arbitralnymi standardami, z możliwością zmiany lub cofnięcia”, zgodnie z Artykułem 19 organizacji praw człowieka.

Na przykład malezyjska ustawa o cyberbezpieczeństwie jest „niepotrzebna i wadliwa w swoim obecnym stanie” – stwierdziła organizacja.

„Mimo że projekt ustawy będzie udawać instrument «cyberbezpieczeństwa», przyzna rządowi niewyjaśnioną kontrolę nad działaniami związanymi z komputerami, a także niemal nieograniczone uprawnienia w zakresie przeszukiwań i konfiskat” – organizacja – stwierdził w analizie projektu ustawy. „Jej przepisy karne nie wymagają rzeczywistego zamiaru naruszenia, skutecznie wprowadzając wiele przestępstw o ​​charakterze rygorystycznym”.

Organizacja stwierdziła, że ​​w szczególności zagrożeni mogą być badacze cyberbezpieczeństwa, ponieważ udostępnienie kodu źródłowego lub badania nad cyberprzestępczością wymagałyby licencji.

Jednak często wymagania licencyjne po prostu odciskają piętno rządowe na najlepszych praktykach certyfikacyjnych, które już istnieją, oraz wymaganiu, aby kandydaci do pracy posiadali określone certyfikaty cyberbezpieczeństwa, ale z lokalnym akcentem, mówi Lukatsky z Positive Technologies.

Podejście zastosowane na przykład w Ghanie „przypomina utworzenie rejestru wszystkich specjalistów ds. cyberbezpieczeństwa, ponieważ jest mało prawdopodobne, aby w tym lub jakimkolwiek innym kraju było wielu niezależnych, samotnych specjalistów, którzy mogliby współpracować z poważnymi organizacjami, gdzie ryzyko zatrudniania niewykwalifikowanego personelu jest zbyt dużo” – mówi. „Głównym powodem takich wymagań jest to, że wraz ze wzrostem liczby cyberataków potrzebni są specjaliści, którzy rozumieją, co robią i dlaczego to robią, aby je wykryć i im zapobiegać – jak stosować międzynarodowe najlepsze praktyki i jak dostosować je do lokalnych szczegóły.”

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.darkreading.com/cyber-risk/licensed-to-bill-nations-mandate-certification-licensure-of-cybersecurity-pros