Malaysia hat zusammen mit mindestens zwei anderen Ländern – Singapur und Ghana – Gesetze verabschiedet, die von Cybersicherheitsexperten oder ihren Firmen eine Zertifizierung und Lizenz für die Bereitstellung einiger Cybersicherheitsdienste in ihrem Land verlangen.

Am 3. April verabschiedete das Oberhaus des malaysischen Parlaments, bekannt als Dewan Negara, das Gesetz zur Cybersicherheit 2024, nachdem es bereits im Vormonat im Unterhaus verabschiedet worden war. Der Gesetzentwurf, der nach seiner Unterzeichnung durch den König und seiner Veröffentlichung im Staatsanzeiger in Kraft treten wird, ist als Rahmengesetz strukturiert und wird als Rahmen für künftige Regierungsaktivitäten zur Sicherung kritischer Infrastrukturen und zur Verbesserung der nationalen Cybersicherheitslage dienen.

Während die Gesetzgebung eine Lizenzierung vorschreibt, werden die tatsächlichen Anforderungen an Cybersicherheitsexperten und -dienstleister später kommen, so die in Malaysia ansässige Anwaltskanzlei Christopher & Lee Ong heißt es in einem Gutachten.

„Während der Gesetzentwurf nicht die Arten von Cybersicherheitsdiensten spezifiziert, die dem Lizenzsystem unterliegen, wird dies wahrscheinlich für Dienstanbieter gelten, die Dienste zum Schutz von Informations- und Kommunikationstechnologiegeräten einer anderen Person bereitstellen – [zum Beispiel] Anbieter von Penetrationstests.“ und Sicherheitszentralen“, erklärte die Anwaltskanzlei.

Malaysia schließt sich dem asiatisch-pazifischen Nachbarn Singapur an, der dies gefordert hat Lizenzierung von Cybersicherheitsdienstleistern (CSPs) seit zwei Jahren und der westafrikanische Staat Ghana, der dies verlangt Lizenzierung von CSPs und Akkreditierung von Cybersicherheitsexperten. Im weiteren Sinne: Regierungen wie etwa der Europäischen Union haben Cybersicherheitszertifizierungen normalisiert, während andere Behörden – wie etwa der US-Bundesstaat New York – erfordern Zertifizierungen und Lizenzen für Cybersicherheitsfunktionen in bestimmten Branchen.

Lizenz zum Hacken in Ghana

Während viele Regierungen von Unternehmen den Erwerb von Lizenzen für die Bereitstellung von Cybersicherheitsdiensten verlangen, ist Ghana das einzige Land, das von Einzelpersonen eine Lizenz verlangt, sagt Alexey Lukatsky, Geschäftsführer für Cybersecurity Business Consulting bei Positive Technologies, einem in Moskau ansässigen Cybersicherheitsanbieter.

„Die Einzigartigkeit des ghanaischen Ansatzes liegt darin, dass die Lizenzanforderungen nicht für alle Cybersicherheitsspezialisten gelten, sondern für diejenigen, die in vier spezifischen Bereichen arbeiten möchten – Schwachstellenbewertung und Penetrationstests, digitale Forensik, verwaltete Cybersicherheitsdienste, Cybersicherheitsschulung und Cybersicherheit.“ GRC“, sagt er.

Die Regierung Singapurs hat einen proaktiven Ansatz gewählt, um die Privatwirtschaft zu veranlassen, strenge Cybersicherheitsvorschriften einzuführen, und zwar bisher bei Organisationen mehr als 70 % umsetzen der Voraussetzungen für eine „Cyber ​​Essentials“-Zertifizierung.

„Wir glauben mit Sicherheit, dass ein absoluter Mindeststandard mehr Vertrauen im gesamten Ökosystem schaffen wird, da sichergestellt wird, dass – unter anderem – Penetrationstests, Sicherheitsaudits und bereitzustellende Vorfallreaktionsdienste den Erwartungen der Branche und den sich entwickelnden Technologien entsprechen.“ „, sagt Serene Kan, Partnerin im Bereich IP & Technologie bei Wong & Partners, einem Mitgliedsunternehmen von Baker McKenzie International.

In den Vereinigten Staaten haben solche Bemühungen keinen großen Anklang gefunden. Stattdessen viele Berufsverbände bieten die Zertifizierung spezifischer Kompetenzen an. ISC2 beispielsweise verwaltet die bekannte Akkreditierung zum Certified Information Systems Security Professional (CISSP), während CompTIA die Security+-Zertifizierung anbietet und ISACA – ehemals Information Systems Audit and Control Association – die Zertifizierung zum Certified Information System Auditor (CISA) anbietet. unter anderen.

ISC2 und ISACA lehnten eine Stellungnahme zu diesem Artikel ab.

Mangelnder Schutz für freie Meinungsäußerung

Während die Anforderungen den allgemeinen Reifegrad der Cybersicherheitslage der Länder zu verbessern scheinen, hat die Gesetzgebung häufig Bedenken hinsichtlich möglicher Kosten für die Meinungsfreiheit und andere individuelle Rechte geäußert.

Regierungen, die umfassende Befugnisse zur standardmäßigen Regulierung von Aktivitäten im Zusammenhang mit der Cybersicherheit erhalten, verfügen über Befugnisse zur Kontrolle digitaler Dienste. Dies führt häufig dazu, dass journalistische Aktivitäten und Whistleblower ins Visier genommen werden, indem eine „Vorabgenehmigung nach willkürlichen Standards, vorbehaltlich Änderung oder Widerruf“ erforderlich ist, so Article 19, eine Menschenrechtsorganisation.

Das malaysische Cybersicherheitsgesetz beispielsweise sei „in seinem derzeitigen Zustand unnötig und fehlerhaft“, erklärte die Organisation.

„Obwohl der Gesetzentwurf als ‚Cybersicherheitsinstrument‘ ausgegeben wird, wird er der Regierung eine nicht rechenschaftspflichtige Kontrolle über computerbezogene Aktivitäten sowie nahezu unbegrenzte Durchsuchungs- und Beschlagnahmungsbefugnisse einräumen“, so die Organisation sagte in einer Analyse des Gesetzentwurfs. „Seine strafrechtlichen Bestimmungen setzen keinen tatsächlichen Vorsatz zur Verletzung voraus, wodurch viele Verstöße gegen die verschuldensunabhängige Haftung eingeführt werden.“

Insbesondere Cybersicherheitsforscher könnten gefährdet sein, da die Veröffentlichung von Quellcode oder cyberoffensive Forschung eine Lizenz erfordern würde, erklärte die Organisation.

Doch oft sind Lizenzanforderungen lediglich ein staatlicher Stempel auf bereits existierenden Zertifizierungs-Best Practices und die Anforderung, dass Stellenbewerber über spezifische Cybersicherheitszertifizierungen verfügen müssen, allerdings mit einer lokalen Ausrichtung, sagt Lukatsky von Positive Technologies.

Der Ansatz, den Ghana beispielsweise verfolgt hat, „ähnelt der Einrichtung eines Registers aller Cybersicherheitsspezialisten, da es unwahrscheinlich ist, dass es in diesem oder irgendeinem anderen Land viele unabhängige Einzelspezialisten gibt, die mit seriösen Organisationen zusammenarbeiten können, bei denen die Risiken einer Einstellung bestehen.“ „Der Anteil unqualifizierten Personals ist zu hoch“, sagt er. „Der Hauptgrund für solche Anforderungen besteht darin, dass mit zunehmender Zahl von Cyberangriffen Spezialisten benötigt werden, die verstehen, was sie tun und warum sie es tun, um sie zu erkennen und zu verhindern – wie man internationale Best Practices anwendet und wie man sie an lokale anpasst.“ Einzelheiten.“

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/cyber-risk/licensed-to-bill-nations-mandate-certification-licensure-of-cybersecurity-pros