מלזיה הצטרפה לפחות לשתי מדינות נוספות - סינגפור וגאנה - בהעברת חוקים המחייבים אנשי מקצוע בתחום אבטחת הסייבר או החברות שלהם לקבל אישור ורישיון לספק שירותי אבטחת סייבר במדינתם.
ב-3 באפריל, הבית העליון של הפרלמנט המלזי, הידוע בשם Dewan Negara, העביר את הצעת חוק אבטחת הסייבר 2024, לאחר העברתו בבית התחתון בחודש הקודם. הצעת החוק, שתהפוך לחוק בעקבות חתימתה על ידי המלך ופרסומו בעיתון הממשלתי, בנויה כחקיקת גג ותשמש מסגרת לפעילות ממשלתית עתידית לאבטחת תשתיות קריטיות ושיפור המצב הלאומי של אבטחת הסייבר.
בעוד שהחקיקה מחייבת רישוי, הדרישות בפועל לאנשי אבטחת סייבר ולספקי שירותים יגיעו מאוחר יותר, משרד עורכי הדין כריסטופר ולי אונג הממוקם במלזיה נאמר בייעוץ.
"הצעת החוק אמנם אינה מפרטת את סוגי שירותי אבטחת הסייבר הכפופים למשטר הרישוי... ככל הנראה זה יחול על ספקי שירותים המספקים שירותים להגנה על מכשירי טכנולוגיית מידע ותקשורת של אדם אחר - [לדוגמה,] ספקי בדיקות חדירה ומרכזי תפעול ביטחוניים", נמסר ממשרד עורכי הדין.
מלזיה מצטרפת לשכנת אסיה-פסיפיק סינגפור, שדרשה את רישוי של ספקי שירותי אבטחת סייבר (CSPs) בשנתיים האחרונות, והמדינה המערב אפריקאית גאנה, הדורשת את רישוי CSPs והסמכה של מקצועני אבטחת סייבר. באופן נרחב יותר, ממשלות כמו האיחוד האירופי נרמלו אישורי אבטחת סייבר, בעוד שסוכנויות אחרות - כמו מדינת ניו יורק בארה"ב - לדרוש הסמכה ורישיונות עבור יכולות אבטחת סייבר בתעשיות ספציפיות.
רישיון לפרוץ בגאנה
בעוד שממשלות רבות דורשות מעסקים לקבל רישיונות להציע שירותי אבטחת סייבר, גאנה היא המדינה היחידה שדורשת מאנשים להיות בעלי רישיון, אומר אלכסיי לוקצקי, מנהל ייעוץ עסקי לאבטחת סייבר ב-Positive Technologies, ספקית אבטחת סייבר מבוססת מוסקבה.
"הייחודיות של הגישה של גאנה טמונה בעובדה שדרישות הרישוי חלות לא על כל מומחי אבטחת הסייבר, אלא על אלה שמתכננים לעבוד בארבעה תחומים ספציפיים - הערכת פגיעות ובדיקות חדירה, פורנזיות דיגיטלית, שירותי אבטחת סייבר מנוהלים, הדרכות אבטחת סייבר ואבטחת סייבר. GRC," הוא אומר.
ממשלת סינגפור נקטה בגישה פרואקטיבית כדי להניע את התעשייה הפרטית לאמץ תקנות אבטחת סייבר מחמירות, עם ארגונים עד כה יישום של יותר מ-70% מהדרישות הדרושות להסמכה של "Cyber Essentials".
"אנחנו בהחלט חושבים שהקיום סטנדרט מינימלי חשוף יגרום ליותר אמון ברחבי המערכת האקולוגית, שכן תהיה ביטחון שבין היתר, בדיקות חדירה, ביקורת אבטחה ושירותי תגובה לאירועים שיסופקו עומדים בקנה אחד עם ציפיות התעשייה והטכנולוגיות המתפתחות. ," אומרת סרין קאן, שותפה בפרקטיקה של IP וטכנולוגיה ב-Wong & Partners, החברה החברית של Baker McKenzie International.
בארצות הברית, מאמצים כאלה לא צברו הרבה מקום. במקום, ארגונים מקצועיים רבים להציע הסמכה של סטים ספציפיים של מיומנויות. ISC2, למשל, מנהלת את ההסמכה הידועה ל-Certified Systems Security Professional (CISSP), בעוד CompTIA מציעה את הסמכת Security+, ו-ISACA - לשעבר ה-Information Systems Audit and Control Association - מציעה את הסמכה של Certified Information System Auditor (CISA), בין היתר.
ISC2 ו-ISACA סירבו להגיב למאמר זה.
חוסר הגנות על חופש הביטוי
למרות שנראה שהדרישות משפרות את הבגרות הכוללת של עמדת אבטחת הסייבר של המדינות, חקיקה עוררה לעתים קרובות חששות בנוגע לעלות הפוטנציאלית לחופש הביטוי ולזכויות פרט אחרות.
לממשלות שמקבלות סמכות רחבה להסדיר פעילויות הקשורות לאבטחת סייבר כברירת מחדל יש סמכויות לשלוט בשירותים דיגיטליים. זה גורם לרוב להתמקדות בפעילויות עיתונאיות ולחושפי שחיתויות על ידי דרישת "אישור מראש תחת סטנדרטים שרירותיים הנתונים לשינוי או ביטול", על פי סעיף 19, ארגון זכויות אדם.
הצעת חוק אבטחת הסייבר המלזיה, למשל, "מיותרת ופגומה במצבה הנוכחי", קבע הארגון.
"למרות שהיא מתחזה למכשיר 'אבטחת סייבר', הצעת החוק תעניק לממשלה שליטה בלתי אחראית על פעילויות הקשורות למחשב, כמו גם סמכויות חיפוש ותפיסה כמעט בלתי מוגבלות", הארגון אמר בניתוח הצעת החוק. "ההוראות הפליליות שלה אינן מחייבות כל כוונה ממשית להפרה, מה שמכניס למעשה עבירות אחריות קפידה רבות".
בפרט, חוקרי אבטחת סייבר עלולים להימצא בסכנה, שכן שחרור קוד מקור או מחקר פוגעני ברשת ידרוש רישיון, קבע הארגון.
עם זאת, לעתים קרובות דרישות הרישוי הן רק חותמות ממשלתיות על שיטות עבודה מומלצות שכבר קיימות ודרישות שלמועמדים לעבודה יהיו בעלי אישורי אבטחת סייבר ספציפיים, אבל עם טוויסט מקומי, אומר Lukatsky של Positive Technologies.
הגישה שבה נקטה גאנה, למשל, "דומה להקמת רישום של כל מומחי אבטחת הסייבר מכיוון שלא סביר שבמדינה זו או אחרת ישנם מומחים בודדים עצמאיים רבים שיכולים לעבוד עם ארגונים רציניים, שבהם יש סיכון להעסקת עובדים. כוח אדם לא מוסמך גבוה מדי", הוא אומר. "הסיבה העיקרית לדרישות כאלה היא שככל שמספר התקפות הסייבר גדל, יש צורך במומחים שמבינים מה הם עושים ומדוע הם עושים זאת כדי לזהות ולמנוע אותן - כיצד ליישם שיטות עבודה מומלצות בינלאומיות וכיצד להתאים אותן למקומיות. פרטים".
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/cyber-risk/licensed-to-bill-nations-mandate-certification-licensure-of-cybersecurity-pros
