Generatieve data-intelligentie

Cyber ​​Security

Naties vereisen licentiestatus van cyberbeveiligingsprofessionals

Heruitgegeven door Plato
Heruitgegeven door Plato

Datum:

Aantal keer bekeken: 0

Maleisië heeft net als ten minste twee andere landen – Singapore en Ghana – wetten aangenomen die vereisen dat cyberbeveiligingsprofessionals of hun bedrijven gecertificeerd en gelicentieerd zijn om bepaalde cyberbeveiligingsdiensten in hun land te mogen verlenen.

Op 3 april keurde het hogerhuis van het Maleisische parlement, bekend als de Dewan Negara, de Cyber ​​Security Bill 2024 goed, nadat het de maand ervoor in het lagerhuis was aangenomen. Het wetsvoorstel, dat wet zal worden na de ondertekening door de Koning en de publicatie ervan in de Staatscourant, is gestructureerd als overkoepelende wetgeving en zal fungeren als een raamwerk voor toekomstige overheidsactiviteiten om kritieke infrastructuur te beveiligen en de nationale staat van cyberveiligheid te verbeteren.

Hoewel de wetgeving licenties verplicht stelt, zullen de feitelijke vereisten voor cybersecurityprofessionals en dienstverleners later komen, zeggen het in Maleisië gevestigde advocatenkantoor Christopher & Lee Ong vermeld in een advies.

“Hoewel het wetsvoorstel niet specificeert welke soorten cyberbeveiligingsdiensten onderworpen zijn aan het licentieregime … zal dit waarschijnlijk van toepassing zijn op dienstverleners die diensten verlenen om informatie- en communicatietechnologie-apparatuur van een andere persoon te beschermen – [bijvoorbeeld] aanbieders van penetratietests en veiligheidsoperatiecentra”, aldus het advocatenkantoor.

Maleisië sluit zich aan bij buurland Singapore, Azië en de Stille Oceaan, dat de licentieverlening aan cyberbeveiligingsdienstverleners (CSP's) de afgelopen twee jaar, en de West-Afrikaanse natie Ghana, die de licentieverlening aan CSP’s en de accreditatie van cyberbeveiligingsprofessionals. In bredere zin: overheden zoals de Europese Unie hebben de cyberbeveiligingscertificeringen genormaliseerd, terwijl andere instanties – zoals de Amerikaanse staat New York — certificering en licenties vereisen voor cyberbeveiligingscapaciteiten in specifieke sectoren.

Licentie om te hacken in Ghana

Terwijl veel regeringen eisen dat bedrijven licenties verkrijgen om cyberbeveiligingsdiensten aan te bieden, is Ghana het enige land dat van individuen eist dat ze een licentie hebben, zegt Alexey Lukatsky, managing director cybersecurity business consulting bij Positive Technologies, een in Moskou gevestigde cybersecurityprovider.

“Het unieke van de aanpak van Ghana ligt in het feit dat licentievereisten niet van toepassing zijn op alle cyberbeveiligingsspecialisten, maar op degenen die van plan zijn om op vier specifieke gebieden te werken: kwetsbaarheidsbeoordeling en penetratietesten, digitaal forensisch onderzoek, beheerde cyberbeveiligingsdiensten, cyberbeveiligingstraining en cyberbeveiliging. GRC”, zegt hij.

De regering van Singapore heeft tot nu toe samen met organisaties een proactieve aanpak gevolgd om de particuliere sector ertoe aan te zetten strenge cyberbeveiligingsregels in te voeren implementatie van meer dan 70% van de vereisten die nodig zijn voor een “Cyber ​​Essentials”-certificering.

“We denken zeker dat het hebben van een absolute minimumstandaard meer vertrouwen in het hele ecosysteem zal wekken, omdat er zekerheid zal zijn dat – onder andere – penetratietests, beveiligingsaudits en te leveren incidentresponsdiensten op één lijn liggen met de verwachtingen van de industrie en de evoluerende technologieën. ”, zegt Serene Kan, partner in de IP & technologiepraktijk bij Wong & Partners, lidfirma van Baker McKenzie International.

In de Verenigde Staten hebben dergelijke inspanningen niet veel terrein gewonnen. In plaats daarvan veel professionele organisaties certificering van specifieke vaardigheden aanbieden. ISC2 beheert bijvoorbeeld de bekende Certified Information Systems Security Professional (CISSP)-accreditatie, terwijl CompTIA de Security+-certificering aanbiedt, en ISACA – voorheen de Information Systems Audit and Control Association – de Certified Information System Auditor (CISA)-certificering aanbiedt. onder andere.

ISC2 en ISACA weigerden commentaar te geven op dit artikel.

Gebrek aan bescherming voor de vrije meningsuiting

Hoewel de vereisten de algehele volwassenheid van de cyberveiligheidshouding van de landen lijken te verbeteren, heeft de wetgeving vaak aanleiding gegeven tot bezorgdheid over de mogelijke kosten voor de vrijheid van meningsuiting en andere individuele rechten.

Regeringen die ruime macht verwerven om activiteiten gerelateerd aan cyberveiligheid te reguleren, hebben standaard de bevoegdheid om digitale diensten te controleren. Dit resulteert vaak in het aanvallen van journalistieke activiteiten en klokkenluiders door het eisen van “voorafgaande goedkeuring volgens willekeurige normen die kunnen worden gewijzigd of ingetrokken”, aldus Article 19, een mensenrechtenorganisatie.

De Maleisische cyberveiligheidswet is bijvoorbeeld “onnodig en gebrekkig in zijn huidige staat”, aldus de organisatie.

“Hoewel het zich voordoet als een ‘cyberveiligheidsinstrument’, zal het wetsvoorstel de regering onverantwoorde controle geven over computergerelateerde activiteiten, evenals vrijwel onbeperkte bevoegdheden voor opsporing en inbeslagname”, zegt de organisatie. zei in een analyse van het wetsvoorstel. “De strafrechtelijke bepalingen vereisen geen daadwerkelijke intentie tot overtreding, waardoor in feite veel overtredingen van strikte aansprakelijkheid worden geïntroduceerd.”

Met name cybersecurity-onderzoekers zouden in gevaar kunnen komen, omdat voor het vrijgeven van broncode of cyberoffensief onderzoek een licentie nodig zou zijn, aldus de organisatie.

Toch zetten licentievereisten vaak alleen maar een overheidsstempel op de best practices op het gebied van certificering die al bestaan ​​en op de vereisten dat sollicitanten over specifieke cybersecuritycertificeringen moeten beschikken, maar dan met een lokale twist, zegt Lukatsky van Positive Technologies.

De aanpak die Ghana bijvoorbeeld heeft gevolgd ‘lijkt op het opzetten van een register van alle cyberbeveiligingsspecialisten, aangezien het onwaarschijnlijk is dat er in dit of enig ander land veel onafhankelijke, eenzame specialisten zijn die kunnen samenwerken met serieuze organisaties, waar de risico’s van het inhuren van ongekwalificeerd personeel is te hoog”, zegt hij. “De belangrijkste reden voor dergelijke eisen is dat naarmate het aantal cyberaanvallen toeneemt, specialisten die begrijpen wat ze doen en waarom ze dat doen, nodig zijn om deze op te sporen en te voorkomen – hoe ze internationale best practices kunnen toepassen en hoe ze kunnen worden aangepast aan lokale cyberaanvallen. bijzonderheden.”

spot_img

Laatste intelligentie

spot_img

Copyright @ 2024 Plato Technologies Inc.

Chat met ons

Hallo daar! Hoe kan ik u helpen?