La Malesia si è unita ad almeno altre due nazioni – Singapore e Ghana – nell’approvare leggi che richiedono ai professionisti della sicurezza informatica o alle loro aziende di essere certificati e autorizzati a fornire alcuni servizi di sicurezza informatica nel loro paese.

Il 3 aprile, la camera alta del parlamento malese, conosciuta come Dewan Negara, ha approvato il Cyber ​​Security Bill 2024, dopo l’approvazione nella camera bassa del mese precedente. Il disegno di legge, che diventerà legge dopo la firma da parte del Re e la sua pubblicazione nella Gazzetta ufficiale, è strutturato come legislazione ombrello e fungerà da quadro per le future attività del governo garantendo la protezione delle infrastrutture critiche e migliorando lo stato nazionale della sicurezza informatica.

Mentre la legislazione impone la concessione di licenze, i requisiti effettivi per i professionisti della sicurezza informatica e i fornitori di servizi arriveranno più tardi, lo studio legale Christopher & Lee Ong con sede in Malesia dichiarato in un avviso.

"Sebbene il disegno di legge non specifichi i tipi di servizi di sicurezza informatica soggetti al regime di licenza... ciò si applicherà probabilmente ai fornitori di servizi che forniscono servizi per salvaguardare i dispositivi tecnologici di informazione e comunicazione di un'altra persona - [ad esempio] fornitori di test di penetrazione e centri operativi di sicurezza”, ha affermato lo studio legale.

La Malesia si unisce al vicino Singapore dell'Asia-Pacifico, che ha richiesto l'autorizzazione concessione di licenze ai fornitori di servizi di sicurezza informatica (CSP) negli ultimi due anni, e la nazione dell'Africa occidentale del Ghana, che richiede il concessione di licenze ai CSP e accreditamento dei professionisti della cibersicurezza. Più in generale, i governi come l’Unione Europea hanno normalizzato le certificazioni di sicurezza informatica, mentre altre agenzie — come lo stato americano di New York — richiedere certificazioni e licenze per le capacità di sicurezza informatica in settori specifici.

Licenza di Hacking in Ghana

Mentre molti governi richiedono alle aziende di ottenere licenze per offrire servizi di sicurezza informatica, il Ghana è l’unica nazione a richiedere ai privati ​​di avere una licenza, afferma Alexey Lukatsky, amministratore delegato della consulenza aziendale sulla sicurezza informatica presso Positive Technologies, un fornitore di sicurezza informatica con sede a Mosca.

"L'unicità dell'approccio del Ghana sta nel fatto che i requisiti di licenza non si applicano a tutti gli specialisti di sicurezza informatica, ma a coloro che intendono lavorare in quattro aree specifiche: valutazione della vulnerabilità e test di penetrazione, informatica forense, servizi gestiti di sicurezza informatica, formazione sulla sicurezza informatica e sicurezza informatica GRC”, dice.

Il governo di Singapore ha adottato un approccio proattivo per spingere l’industria privata ad adottare norme rigorose sulla sicurezza informatica, come finora ha fatto anche con le organizzazioni implementando più del 70% dei requisiti necessari per una certificazione “Cyber ​​Essentials”.

“Riteniamo sicuramente che avere uno standard minimo genererà maggiore fiducia in tutto l’ecosistema poiché ci sarà la garanzia che, tra gli altri, i test di penetrazione, gli audit di sicurezza e i servizi di risposta agli incidenti da fornire siano alla pari con le aspettative del settore e le tecnologie in evoluzione ", afferma Serene Kan, partner nella pratica IP e tecnologia presso Wong & Partners, azienda membro di Baker McKenzie International.

Negli Stati Uniti, tali sforzi non hanno guadagnato molto terreno. Molte invece le organizzazioni professionali offrire la certificazione di specifici insiemi di competenze. ISC2, ad esempio, amministra il noto accreditamento Certified Information Systems Security Professional (CISSP), mentre CompTIA offre la certificazione Security+ e ISACA - in precedenza Information Systems Audit and Control Association - offre la certificazione Certified Information System Auditor (CISA), tra gli altri.

ISC2 e ISACA hanno rifiutato di commentare questo articolo.

Mancanza di protezioni per la libertà di parola

Sebbene i requisiti sembrino migliorare la maturità complessiva della posizione di sicurezza informatica dei paesi, la legislazione ha spesso sollevato preoccupazioni sui potenziali costi per la libertà di parola e altri diritti individuali.

I governi che ottengono un ampio potere di regolamentare le attività legate alla sicurezza informatica hanno per impostazione predefinita il potere di controllare i servizi digitali. Ciò spesso si traduce nel prendere di mira le attività giornalistiche e gli informatori richiedendo “la pre-approvazione secondo standard arbitrari soggetti a modifica o revoca”, secondo l’Articolo 19, un’organizzazione per i diritti umani.

La legge malese sulla sicurezza informatica, ad esempio, è “non necessaria e viziata allo stato attuale”, ha affermato l’organizzazione.

"Anche se si presenta come uno strumento di 'sicurezza informatica', il disegno di legge darà al governo un controllo irresponsabile delle attività legate ai computer, nonché poteri quasi illimitati di ricerca e sequestro", afferma l'organizzazione. Lo ha detto analizzando il disegno di legge. “Le sue disposizioni penali non richiedono alcun intento effettivo di violazione, introducendo di fatto molti reati di responsabilità oggettiva”.

In particolare, i ricercatori nel campo della sicurezza informatica potrebbero essere messi a rischio, poiché il rilascio del codice sorgente o la ricerca cyber-offensiva richiederebbero una licenza, ha affermato l’organizzazione.

Tuttavia, spesso i requisiti di licenza non fanno altro che apporre un timbro governativo sulle migliori pratiche di certificazione già esistenti e richiedono che i candidati abbiano certificazioni specifiche di sicurezza informatica, ma con un tocco locale, afferma Lukatsky di Positive Technologies.

L’approccio seguito dal Ghana, ad esempio, “assomiglia alla creazione di un registro di tutti gli specialisti della sicurezza informatica poiché è improbabile che in questo o in qualsiasi altro paese ci siano molti specialisti indipendenti e isolati che possono lavorare con organizzazioni serie, dove i rischi di assumere il personale non qualificato è troppo alto”, afferma. “La ragione principale di tali requisiti è che con l’aumento del numero di attacchi informatici, sono necessari specialisti che capiscano cosa stanno facendo e perché lo stanno facendo per rilevarli e prevenirli: come applicare le migliori pratiche internazionali e come adattarle alle esigenze locali. specifiche."

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
• Fonte: https://www.darkreading.com/cyber-risk/licensed-to-bill-nations-mandate-certification-licensure-of-cybersecurity-pros