Malaysia har sluttet seg til minst to andre nasjoner - Singapore og Ghana - for å vedta lover som krever at cybersikkerhetsfagfolk eller deres firmaer skal være sertifisert og lisensiert til å tilby noen cybersikkerhetstjenester i deres land.
Den 3. april vedtok overhuset i det malaysiske parlamentet, kjent som Dewan Negara, Cyber Security Bill 2024, etter at det ble vedtatt i underhuset forrige måned. Lovforslaget, som vil bli lov etter undertegning av Kongen og publisering i Statstidende, er strukturert som paraplylovgivning og vil fungere som et rammeverk for fremtidig statlig aktivitet for å sikre kritisk infrastruktur og forbedre den nasjonale tilstanden for cybersikkerhet.
Mens lovgivningen krever lisensiering, vil de faktiske kravene til cybersikkerhetsfagfolk og tjenesteleverandører komme senere, sier det malaysiabaserte advokatfirmaet Christopher & Lee Ong oppgitt i et råd.
«Selv om lovforslaget ikke spesifiserer typene cybersikkerhetstjenester som er underlagt lisensregimet … vil dette sannsynligvis gjelde tjenesteleverandører som tilbyr tjenester for å beskytte informasjons- og kommunikasjonsteknologienheter til en annen person – [for eksempel] leverandører av penetrasjonstesting og sikkerhetsoperasjonssentre», uttalte advokatfirmaet.
Malaysia slutter seg til Asia-Stillehavs-naboen Singapore, som har krevd lisensiering av cybersikkerhetstjenesteleverandører (CSPer) de siste to årene, og den vestafrikanske nasjonen Ghana, som krever lisensiering av CSPer og akkreditering av cybersikkerhetsfagfolk. Mer bredt, regjeringer slik som EU har normalisert cybersikkerhetssertifiseringer, mens andre byråer — som den amerikanske delstaten New York — kreve sertifisering og lisenser for cybersikkerhetsfunksjoner i spesifikke bransjer.
Lisens til å hacke i Ghana
Mens mange myndigheter krever at virksomheter skaffer seg lisenser for å tilby cybersikkerhetstjenester, er Ghana den eneste nasjonen som krever at enkeltpersoner har en lisens, sier Alexey Lukatsky, administrerende direktør for cybersecurity business consulting hos Positive Technologies, en Moskva-basert leverandør av cybersikkerhet.
"Det unike med Ghanas tilnærming ligger i det faktum at lisensieringskrav ikke gjelder for alle cybersikkerhetsspesialister, men for de som planlegger å jobbe i fire spesifikke områder - sårbarhetsvurdering og penetrasjonstesting, digital etterforskning, administrerte cybersikkerhetstjenester, cybersikkerhetstrening og cybersikkerhet GRC, sier han.
Singapores regjering har tatt en proaktiv tilnærming for å få privat industri til å vedta strenge cybersikkerhetsbestemmelser, med organisasjoner så langt implementerer mer enn 70 % av kravene som kreves for en "Cyber Essentials"-sertifisering.
"Vi tror absolutt at det å ha en minimumsstandard vil skape mer tillit på tvers av økosystemet, ettersom det vil være sikkerhet for at - blant annet - penetrasjonstesting, sikkerhetsrevisjoner og hendelsesresponstjenester som skal tilbys er på nivå med industriens forventninger og utviklende teknologier ," sier Serene Kan, en partner i IP- og teknologipraksisen hos Wong & Partners, medlemsfirmaet i Baker McKenzie International.
I USA har slik innsats ikke vunnet mye terreng. I stedet mange profesjonelle organisasjoner tilby sertifisering av spesifikke sett med ferdigheter. ISC2 administrerer for eksempel den velkjente Certified Information Systems Security Professional (CISSP)-akkrediteringen, mens CompTIA tilbyr Security+-sertifiseringen, og ISACA – tidligere Information Systems Audit and Control Association – tilbyr sertifiseringen Certified Information System Auditor (CISA), blant andre.
ISC2 og ISACA nektet å kommentere denne artikkelen.
Mangel på beskyttelse for ytringsfrihet
Mens kravene ser ut til å forbedre den generelle modenheten til landenes cybersikkerhetsstilling, har lovgivning ofte skapt bekymring for potensielle kostnader for ytringsfrihet og andre individuelle rettigheter.
Regjeringer som får bred makt til å regulere aktiviteter knyttet til cybersikkerhet som standard har fullmakter til å kontrollere digitale tjenester. Dette resulterer ofte i målretting av journalistiske aktiviteter og varslere ved å kreve «forhåndsgodkjenning under vilkårlige standarder som kan endres eller tilbakekalles», ifølge Artikkel 19, en menneskerettighetsorganisasjon.
Den malaysiske cybersikkerhetsregningen, for eksempel, er "unødvendig og mangelfull i sin nåværende tilstand," uttalte organisasjonen.
"Selv om lovforslaget utgir seg for å være et "cybersikkerhetsinstrument, vil lovforslaget gi regjeringen uansvarlig kontroll over datarelaterte aktiviteter, samt nesten ubegrensede søk og beslagsmakter," sier organisasjonen. sa i en analyse av lovforslaget. "Dens strafferettslige bestemmelser krever ikke noen faktiske hensikter om å krenke, og introduserer effektivt mange lovbrudd med strengt ansvar."
Spesielt kan cybersikkerhetsforskere settes i fare, siden utgivelse av kildekode eller cyberoffensiv forskning ville kreve en lisens, uttalte organisasjonen.
Likevel er ofte lisenskrav bare å sette et statlig stempel på beste praksis for sertifisering som allerede eksisterer og krav om at jobbsøkere har spesifikke cybersikkerhetssertifiseringer, men med en lokal vri, sier Lukatsky fra Positive Technologies.
Tilnærmingen som Ghana har fulgt, for eksempel, «likner etableringen av et register over alle cybersikkerhetsspesialister siden det er usannsynlig at det i dette eller noe annet land er mange uavhengige ensomme spesialister som kan jobbe med seriøse organisasjoner, der det er risiko for å ansette ukvalifisert personell er for høyt, sier han. «Hovedårsaken til slike krav er at etter hvert som antallet nettangrep vokser, er det behov for spesialister som forstår hva de gjør og hvorfor de gjør det for å oppdage og forhindre dem – hvordan man bruker internasjonal beste praksis og hvordan man tilpasser dem til lokale detaljer."
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.darkreading.com/cyber-risk/licensed-to-bill-nations-mandate-certification-licensure-of-cybersecurity-pros
