Nations Require Licensure Of Cybersecurity Pros

Malaysia har sluttet sig til mindst to andre nationer - Singapore og Ghana - for at vedtage love, der kræver, at cybersikkerhedsprofessionelle eller deres firmaer er certificeret og licenseret til at levere nogle cybersikkerhedstjenester i deres land.

Den 3. april vedtog overhuset i det malaysiske parlament, kendt som Dewan Negara, Cyber Security Bill 2024, efter dets vedtagelse i underhuset den foregående måned. Lovforslaget, som bliver lov efter dets underskrift af Kongen og dets offentliggørelse i Statstidende, er struktureret som paraplylovgivning og vil fungere som en ramme for fremtidig regeringsaktivitet, der sikrer kritisk infrastruktur og forbedrer den nationale tilstand af cybersikkerhed.

Mens lovgivningen kræver licensering, vil de faktiske krav til cybersikkerhedsprofessionelle og tjenesteudbydere komme senere, siger det malaysiske advokatfirma Christopher & Lee Ong oplyst i en rådgivning.

"Selvom lovforslaget ikke specificerer de typer cybersikkerhedstjenester, der er underlagt licensordningen ... vil dette sandsynligvis gælde for tjenesteudbydere, der leverer tjenester til at beskytte informations- og kommunikationsteknologienheder tilhørende en anden person - [for eksempel] udbydere af penetrationstest og sikkerhedsoperationscentre,” oplyste advokatfirmaet.

Malaysia slutter sig til Asien-Stillehavs-naboen Singapore, som har krævet licensering af cybersikkerhedstjenesteudbydere (CSP'er) i de sidste to år, og den vestafrikanske nation Ghana, som kræver licensering af CSP'er og akkreditering af cybersikkerhedsprofessionelle. Mere bredt, regeringer såsom Den Europæiske Union har normaliseret cybersikkerhedscertificeringer, mens andre bureauer — som den amerikanske stat New York — kræve certificering og licenser til cybersikkerhedskapaciteter i specifikke industrier.

Licens til at hacke i Ghana

Mens mange regeringer kræver, at virksomheder opnår licenser til at tilbyde cybersikkerhedstjenester, er Ghana den eneste nation, der kræver, at enkeltpersoner har en licens, siger Alexey Lukatsky, administrerende direktør for cybersikkerhedsvirksomhedsrådgivning hos Positive Technologies, en Moskva-baseret udbyder af cybersikkerhed.

"Det unikke ved Ghanas tilgang ligger i det faktum, at licenskrav ikke gælder for alle cybersikkerhedsspecialister, men for dem, der planlægger at arbejde inden for fire specifikke områder - sårbarhedsvurdering og penetrationstest, digital efterforskning, administrerede cybersikkerhedstjenester, cybersikkerhedstræning og cybersikkerhed GRC,” siger han.

Singapores regering har taget en proaktiv tilgang til at få den private industri til at vedtage strenge cybersikkerhedsregler, med organisationer indtil videre implementerer mere end 70 % af kravene til en "Cyber Essentials"-certificering.

"Vi tror helt sikkert, at det at have en absolut minimumsstandard vil skabe mere tillid på tværs af økosystemet, da der vil være sikkerhed for, at - blandt andre - penetrationstest, sikkerhedsaudit og hændelsesresponstjenester, der skal leveres, er på niveau med industriens forventninger og udviklende teknologier ,” siger Serene Kan, en partner i IP- og teknologipraksis hos Wong & Partners, medlemsfirmaet af Baker McKenzie International.

I USA har en sådan indsats ikke vundet meget frem. I stedet mange faglige organisationer tilbyde certificering af specifikke sæt færdigheder. ISC2 administrerer for eksempel den velkendte Certified Information Systems Security Professional (CISSP) akkreditering, mens CompTIA tilbyder Security+ certificeringen, og ISACA - tidligere Information Systems Audit and Control Association - tilbyder Certified Information System Auditor (CISA) certificering, blandt andre.

ISC2 og ISACA afviste at kommentere denne artikel.

Manglende beskyttelse for ytringsfrihed

Mens kravene ser ud til at forbedre den overordnede modenhed af landenes cybersikkerhedsposition, har lovgivning ofte givet anledning til bekymring over potentielle omkostninger for ytringsfrihed og andre individuelle rettigheder.

Regeringer, der får bred beføjelse til at regulere aktiviteter relateret til cybersikkerhed, har som standard beføjelser til at kontrollere digitale tjenester. Dette resulterer ofte i at målrette journalistiske aktiviteter og whistleblowere ved at kræve "forhåndsgodkendelse i henhold til vilkårlige standarder, der kan ændres eller tilbagekaldes", ifølge artikel 19, en menneskerettighedsorganisation.

Den malaysiske cybersikkerhedslov er for eksempel "unødvendig og mangelfuld i sin nuværende tilstand," udtalte organisationen.

"Selvom lovforslaget fremstår som et 'cybersikkerhedsinstrument', vil det give regeringen uansvarlig kontrol over computerrelaterede aktiviteter samt næsten ubegrænsede eftersøgnings- og beslaglæggelsesbeføjelser," siger organisationen. sagde i en analyse af lovforslaget. "Dets strafferetlige bestemmelser kræver ikke nogen egentlig forsæt til at krænke, hvilket effektivt indfører mange lovovertrædelser af objektivt ansvar."

Især cybersikkerhedsforskere kan blive sat i fare, da frigivelse af kildekode eller cyberoffensiv forskning ville kræve en licens, oplyste organisationen.

Alligevel sætter licenskravene ofte kun et statsligt præg på bedste praksis for certificering, der allerede eksisterer, og krav om, at jobansøgere har specifikke cybersikkerhedscertificeringer, men med et lokalt twist, siger Lukatsky fra Positive Technologies.

Den tilgang, som Ghana har fulgt, "ligner for eksempel oprettelsen af et register over alle cybersikkerhedsspecialister, da det er usandsynligt, at der i dette eller noget andet land er mange uafhængige ensomme specialister, som kan arbejde med seriøse organisationer, hvor der er risiko for at ansætte ukvalificeret personale er for højt,” siger han. "Hovedårsagen til sådanne krav er, at efterhånden som antallet af cyberangreb vokser, er der behov for specialister, der forstår, hvad de gør, og hvorfor de gør det, for at opdage og forhindre dem - hvordan man anvender international bedste praksis, og hvordan man tilpasser dem til lokale detaljer."

SEO Powered Content & PR Distribution. Bliv forstærket i dag.
PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
Kilde: https://www.darkreading.com/cyber-risk/licensed-to-bill-nations-mandate-certification-licensure-of-cybersecurity-pros

Generativ dataintelligens

Nationer kræver licens af cybersikkerhedsprofessionelle

Licens til at hacke i Ghana

Manglende beskyttelse for ytringsfrihed

Web3-spilmodtagelsen skifter fra skepsis til entusiasme: Shrapnel's Head of Studio

Afkodningsinvestering: Håndtering af Crowdfunding-udfordringerne for investorer med ordblindhed

Seneste efterretninger

MakerDAO afslører to nye tokens i en større revision - CoinJournal

Janthana Kaenprakhamroy, grundlægger og administrerende direktør for Tapoly

Der er nu mere VR end Mac-afspillere på Steam

Hon Kongs kapitalforvaltningsfirma bliver den største investor i BlackRock Bitcoin ETF – CoinJournal

"Den amerikanske regering kan ikke gå konkurs, fordi vi kan trykke vores egne penge," siger Biden Administration

GAO: NASA står over for 'inkonsekvent' cybersikkerhed på tværs af rumfartøjer

Chat med os