انضمت ماليزيا إلى دولتين أخريين على الأقل – سنغافورة وغانا – في تمرير القوانين التي تتطلب أن يكون متخصصو الأمن السيبراني أو شركاتهم معتمدين ومرخصين لتقديم بعض خدمات الأمن السيبراني في بلادهم.
في 3 أبريل، أقر المجلس الأعلى في البرلمان الماليزي، المعروف باسم ديوان نيجارا، مشروع قانون الأمن السيبراني 2024، بعد إقراره في مجلس النواب في الشهر السابق. تم تصميم مشروع القانون، الذي سيصبح قانونًا بعد توقيعه من قبل الملك ونشره في الجريدة الرسمية، كتشريع شامل وسيكون بمثابة إطار للنشاط الحكومي المستقبلي لتأمين البنية التحتية الحيوية وتحسين الوضع الوطني للأمن السيبراني.
وبينما ينص التشريع على الترخيص، فإن المتطلبات الفعلية لمحترفي الأمن السيبراني ومقدمي الخدمات ستأتي لاحقًا، حسبما ذكرت شركة المحاماة كريستوفر آند لي أونج ومقرها ماليزيا جاء في الاستشارية.
"على الرغم من أن مشروع القانون لا يحدد أنواع خدمات الأمن السيبراني التي تخضع لنظام الترخيص... فمن المرجح أن ينطبق هذا على مقدمي الخدمات الذين يقدمون خدمات لحماية جهاز تكنولوجيا المعلومات والاتصالات لشخص آخر - [على سبيل المثال،] مقدمي خدمات اختبار الاختراق ومراكز العمليات الأمنية”.
وتنضم ماليزيا إلى جارتها في منطقة آسيا والمحيط الهادئ سنغافورة، التي طلبت ترخيص مقدمي خدمات الأمن السيبراني (CSPs) على مدى العامين الماضيين، ودولة غانا الواقعة في غرب أفريقيا، والتي تتطلب ترخيص مقدمي خدمات الاتصالات واعتماد المتخصصين في مجال الأمن السيبراني. وعلى نطاق أوسع، الحكومات مثل الاتحاد الأوروبي حصلت على شهادات الأمن السيبراني الطبيعية، في حين أن الوكالات الأخرى - مثل ولاية نيويورك الأمريكية - تتطلب الشهادات والتراخيص لقدرات الأمن السيبراني في صناعات محددة.
ترخيص الاختراق في غانا
في حين أن العديد من الحكومات تشترط على الشركات الحصول على تراخيص لتقديم خدمات الأمن السيبراني، فإن غانا هي الدولة الوحيدة التي تطلب من الأفراد الحصول على ترخيص، كما يقول أليكسي لوكاتسكي، المدير الإداري لاستشارات أعمال الأمن السيبراني في شركة Positive Technologies، وهي شركة تقدم الأمن السيبراني ومقرها موسكو.
"إن تفرد نهج غانا يكمن في حقيقة أن متطلبات الترخيص لا تنطبق على جميع المتخصصين في الأمن السيبراني، ولكن على أولئك الذين يخططون للعمل في أربعة مجالات محددة - تقييم نقاط الضعف واختبار الاختراق، والطب الشرعي الرقمي، وخدمات الأمن السيبراني المدارة، والتدريب على الأمن السيبراني، والأمن السيبراني يقول: "GRC".
اتخذت حكومة سنغافورة نهجا استباقيا لحث الصناعة الخاصة على اعتماد لوائح صارمة للأمن السيبراني، مع المنظمات حتى الآن تنفيذ أكثر من 70% من المتطلبات اللازمة للحصول على شهادة "أساسيات الإنترنت".
"نحن نعتقد بكل تأكيد أن وجود الحد الأدنى من المعايير سيولد المزيد من الثقة عبر النظام البيئي حيث سيكون هناك ضمان بأن اختبارات الاختراق والتدقيق الأمني وخدمات الاستجابة للحوادث التي سيتم تقديمها - من بين أمور أخرى - تتساوى مع توقعات الصناعة والتقنيات المتطورة. "، تقول سيرين كان، الشريكة في ممارسة الملكية الفكرية والتكنولوجيا في شركة Wong & Partners، وهي شركة عضو في شركة Baker McKenzie International.
وفي الولايات المتحدة، لم تحقق مثل هذه الجهود تقدماً كبيراً. بدلا من ذلك، العديد من المنظمات المهنية تقديم شهادة لمجموعات محددة من المهارات. على سبيل المثال، يدير ISC2 اعتماد محترف أمن نظم المعلومات المعتمد (CISSP)، في حين تقدم شركة CompTIA شهادة Security+، وتقدم ISACA - جمعية تدقيق ومراقبة نظم المعلومات سابقًا - شهادة مدقق نظام المعلومات المعتمد (CISA). من بين أمور أخرى.
رفض ISC2 وISACA التعليق على هذا المقال.
عدم وجود حماية لحرية التعبير
في حين يبدو أن المتطلبات تعمل على تحسين النضج العام لموقف الأمن السيبراني في البلدان، إلا أن التشريعات غالبًا ما أثارت مخاوف بشأن التكلفة المحتملة لحرية التعبير والحقوق الفردية الأخرى.
إن الحكومات التي تتمتع بسلطة واسعة لتنظيم الأنشطة المتعلقة بالأمن السيبراني تتمتع بشكل افتراضي بصلاحيات التحكم في الخدمات الرقمية. ويؤدي ذلك في كثير من الأحيان إلى استهداف الأنشطة الصحفية والمبلغين عن طريق اشتراط “الموافقة المسبقة بموجب معايير تعسفية قابلة للتغيير أو الإلغاء”، بحسب منظمة المادة 19 الحقوقية.
وذكرت المنظمة أن مشروع قانون الأمن السيبراني الماليزي، على سبيل المثال، "غير ضروري ومعيب في وضعه الحالي".
"على الرغم من أن مشروع القانون يمثل أداة "للأمن السيبراني"، إلا أنه سيمنح الحكومة سيطرة غير خاضعة للمساءلة على الأنشطة المتعلقة بالكمبيوتر، فضلاً عن صلاحيات بحث ومصادرة غير محدودة تقريبًا،" المنظمة. قال في تحليل لمشروع القانون. "لا تتطلب أحكامها الجنائية أي نية فعلية للانتهاك، مما يؤدي فعليًا إلى إدخال العديد من جرائم المسؤولية الصارمة."
وذكرت المنظمة، على وجه الخصوص، أن الباحثين في مجال الأمن السيبراني يمكن أن يتعرضوا للخطر، لأن إصدار كود المصدر أو أبحاث الهجوم السيبراني يتطلب ترخيصًا.
ومع ذلك، غالبًا ما تكون متطلبات الترخيص مجرد ختم حكومي على أفضل ممارسات الاعتماد الموجودة بالفعل ومتطلبات حصول المتقدمين للوظائف على شهادات محددة في مجال الأمن السيبراني، ولكن مع لمسة محلية، كما يقول لوكاتسكي من شركة Positive Technologies.
إن النهج الذي اتبعته غانا، على سبيل المثال، "يشبه إنشاء سجل لجميع المتخصصين في الأمن السيبراني لأنه من غير المرجح أن يكون هناك في هذا البلد أو أي بلد آخر العديد من المتخصصين المستقلين الذين يمكنهم العمل مع منظمات جادة، حيث تكون مخاطر التوظيف ويقول: "إن عدد الموظفين غير المؤهلين مرتفع للغاية". "السبب الرئيسي لمثل هذه المتطلبات هو أنه مع تزايد عدد الهجمات السيبرانية، هناك حاجة إلى متخصصين يفهمون ما يفعلونه ولماذا يفعلون ذلك لاكتشافها ومنعها - كيفية تطبيق أفضل الممارسات الدولية وكيفية تكييفها مع المتطلبات المحلية". تفاصيل."
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/cyber-risk/licensed-to-bill-nations-mandate-certification-licensure-of-cybersecurity-pros
