Malasía hefur gengið til liðs við að minnsta kosti tvær aðrar þjóðir - Singapúr og Gana - við að setja lög sem krefjast þess að sérfræðingar í netöryggi eða fyrirtæki þeirra séu vottaðir og leyfi til að veita netöryggisþjónustu í sínu landi.

Þann 3. apríl samþykkti efri deild malasíska þingsins, þekkt sem Dewan Negara, netöryggisfrumvarpið 2024, eftir að það var samþykkt í neðri deild þingsins í mánuðinum á undan. Frumvarpið, sem verður að lögum eftir undirritun þess af konungi og birtingu þess í Stjórnartíðindum, er byggt upp sem regnhlífarlöggjöf og mun virka sem umgjörð um framtíðarstarfsemi stjórnvalda til að tryggja mikilvæga innviði og bæta netöryggi í landinu.

Þó að löggjöfin kveði á um leyfisveitingar, munu raunverulegar kröfur til netöryggissérfræðinga og þjónustuveitenda koma síðar, segir lögfræðistofan Christopher & Lee Ong í Malasíu fram í ráðgjöf.

„Þó að frumvarpið tilgreini ekki þær tegundir netöryggisþjónustu sem falla undir leyfiskerfið … mun þetta líklega eiga við um þjónustuveitendur sem veita þjónustu til að vernda upplýsinga- og fjarskiptatæknibúnað annars einstaklings – [til dæmis] veitendur skarpskyggniprófunar og öryggisaðgerðamiðstöðvar,“ segir lögfræðistofan.

Malasía gengur til liðs við nágrannaland Asíu og Kyrrahafs, Singapore, sem hefur krafist þess leyfisveitendur netöryggisþjónustu (CSP) undanfarin tvö ár, og Vestur-Afríkuþjóðin Gana, sem krefst þess leyfisveitingar CSP og faggildingu netöryggissérfræðinga. Meira víða, ríkisstjórnir eins og Evrópusambandið hafa staðlað netöryggisvottanir, en aðrar stofnanir — eins og New York fylki í Bandaríkjunum — krefjast vottunar og leyfa fyrir netöryggisgetu í tilteknum atvinnugreinum.

Leyfi til að hakka í Gana

Þó að mörg stjórnvöld krefjast þess að fyrirtæki fái leyfi til að bjóða upp á netöryggisþjónustu, er Gana eina þjóðin sem krefst þess að einstaklingar hafi leyfi, segir Alexey Lukatsky, framkvæmdastjóri netöryggisráðgjafar hjá Positive Technologies, netöryggisfyrirtæki í Moskvu.

„Sérstaða nálgunar Gana liggur í þeirri staðreynd að leyfiskröfur eiga ekki við um alla netöryggissérfræðinga heldur þá sem ætla að starfa á fjórum tilteknum sviðum - varnarleysismat og skarpskyggnipróf, stafræn réttarfræði, stýrða netöryggisþjónustu, netöryggisþjálfun og netöryggi. GRC,“ segir hann.

Ríkisstjórn Singapúr hefur gripið til fyrirbyggjandi aðferða við að hvetja einkaiðnaðinn til að samþykkja strangar reglur um netöryggi, með stofnunum hingað til innleiða meira en 70% af kröfunum sem þarf til að fá „Cyber ​​Essentials“ vottun.

„Við teljum örugglega að það að hafa lágmarkskröfur muni skapa meira traust alls staðar í vistkerfinu þar sem það verður tryggt að - meðal annars - skarpskyggnipróf, öryggisúttektir og viðbragðsþjónusta við atvik sé á pari við væntingar iðnaðarins og tækni í þróun. “ segir Serene Kan, félagi í IP- og tæknistarfi hjá Wong & Partners, meðlimafyrirtæki Baker McKenzie International.

Í Bandaríkjunum hefur slík viðleitni ekki náð miklum árangri. Þess í stað mörg fagsamtök bjóða upp á vottun á tilteknum hæfileikum. ISC2, til dæmis, hefur umsjón með hinu vel þekkta Certified Information Systems Security Professional (CISSP) faggildingu, á meðan CompTIA býður upp á Security+ vottunina og ISACA - áður Samtök upplýsingakerfaendurskoðunar og eftirlits - býður upp á CISA (Certified Information System Auditor) vottun, meðal annarra.

ISC2 og ISACA neituðu að tjá sig um þessa grein.

Skortur á vernd fyrir málfrelsi

Þó að kröfurnar virðast bæta heildarþroska netöryggisstöðu landanna, hefur löggjöf oft vakið áhyggjur af hugsanlegum kostnaði við málfrelsi og önnur einstaklingsréttindi.

Ríkisstjórnir sem fá víðtækt vald til að stjórna starfsemi sem tengist netöryggi hafa sjálfgefið vald til að stjórna stafrænni þjónustu. Þetta leiðir oft til þess að miða á blaðamennsku og uppljóstrara með því að krefjast „forsamþykkis samkvæmt handahófskenndum stöðlum sem geta breyst eða afturkallað,“ samkvæmt 19. grein, mannréttindasamtökum.

Malasíska netöryggisfrumvarpið, til dæmis, er „óþarft og gallað í núverandi ástandi,“ sögðu samtökin.

„Þrátt fyrir að það sé „netöryggistæki“ mun frumvarpið veita stjórnvöldum óábyrga stjórn á tölvutengdri starfsemi, sem og næstum ótakmarkað heimild til leitar og halds,“ sagði stofnunin. sagði í greiningu á frumvarpinu. „Refsiákvæði þess krefjast ekki raunverulegs ásetnings um að brjóta, sem í raun innleiðir mörg alvarleg brot.

Sérstaklega gætu netöryggisrannsakendur verið settir í hættu, þar sem útgáfu frumkóða eða netmóðgandi rannsóknir myndi krefjast leyfis, sagði stofnunin.

Samt eru leyfiskröfur oft bara að setja ríkisstimpil á bestu starfsvenjur vottunar sem þegar eru fyrir hendi og kröfur um að umsækjendur um vinnu hafi sérstakar netöryggisvottanir, en með staðbundnu ívafi, segir Lukatsky frá Positive Technologies.

Nálgunin sem Gana hefur fylgt, til dæmis, „líkist stofnun skrár yfir alla netöryggissérfræðinga þar sem ólíklegt er að í þessu eða nokkru öðru landi séu margir óháðir einir sérfræðingar sem geta unnið með alvarlegum stofnunum, þar sem hætta er á ráðningu óhæft starfsfólk er of hátt,“ segir hann. „Helsta ástæðan fyrir slíkum kröfum er sú að eftir því sem netárásum fjölgar, þarf sérfræðinga sem skilja hvað þeir eru að gera og hvers vegna þeir eru að gera það til að greina og koma í veg fyrir þær - hvernig á að beita alþjóðlegum bestu starfsvenjum og hvernig á að laga þær að staðbundnum sérstakur.”

• SEO knúið efni og PR dreifing. Fáðu magnara í dag.
• PlatoData.Network Vertical Generative Ai. Styrktu sjálfan þig. Aðgangur hér.
• PlatoAiStream. Web3 upplýsingaöflun. Þekking aukin. Aðgangur hér.
• PlatóESG. Kolefni, CleanTech, Orka, Umhverfi, Sól, Úrgangsstjórnun. Aðgangur hér.
• PlatoHealth. Líftækni og klínísk rannsóknagreind. Aðgangur hér.
• Heimild: https://www.darkreading.com/cyber-risk/licensed-to-bill-nations-mandate-certification-licensure-of-cybersecurity-pros