Malaezia s-a alăturat a cel puțin altor două națiuni – Singapore și Ghana – pentru a adopta legi care impun ca profesioniștii în securitate cibernetică sau firmele acestora să fie certificați și licențiați pentru a furniza unele servicii de securitate cibernetică în țara lor.

Pe 3 aprilie, camera superioară a Parlamentului Malaeziei, cunoscută sub numele de Dewan Negara, a adoptat proiectul de lege privind securitatea cibernetică 2024, în urma adoptării acestuia în camera inferioară luna precedentă. Proiectul de lege, care va deveni lege în urma semnării sale de către Rege și a publicării sale în Monitorul Oficial, este structurat ca o legislație umbrelă și va acționa ca un cadru pentru viitoarea activitate guvernamentală, securizarea infrastructurii critice și îmbunătățirea stării naționale a securității cibernetice.

În timp ce legislația impune acordarea de licențe, cerințele reale pentru profesioniștii în securitate cibernetică și furnizorii de servicii vor veni mai târziu, firma de avocatură din Malaezia Christopher & Lee Ong a declarat într-un aviz.

„Deși proiectul de lege nu specifică tipurile de servicii de securitate cibernetică care fac obiectul regimului de licențiere … acest lucru se va aplica probabil furnizorilor de servicii care furnizează servicii pentru a proteja dispozitivele de tehnologie a informației și comunicațiilor ale unei alte persoane - [de exemplu,] furnizorii de teste de penetrare și centre de operațiuni de securitate”, a precizat firma de avocatură.

Malaezia se alătură vecinului din Asia-Pacific, Singapore, care a cerut licențierea furnizorilor de servicii de securitate cibernetică (CSP) în ultimii doi ani, și națiunea vest-africană Ghana, care necesită licențierea CSP-urilor și acreditarea profesioniștilor în securitate cibernetică. Mai pe scară largă, guvernele precum Uniunea Europeană au certificări de securitate cibernetică normalizate, în timp ce alte agenții — precum statul american New York — necesită certificare și licențe pentru capabilitățile de securitate cibernetică în anumite industrii.

Licență de a pirata în Ghana

În timp ce multe guverne cer companiilor să obțină licențe pentru a oferi servicii de securitate cibernetică, Ghana este singura națiune care cere persoanelor fizice să aibă o licență, spune Alexey Lukatsky, director general de consultanță în afaceri în domeniul securității cibernetice la Positive Technologies, un furnizor de securitate cibernetică cu sediul la Moscova.

„Unicitatea abordării Ghanei constă în faptul că cerințele de licențiere se aplică nu tuturor specialiștilor în securitate cibernetică, ci celor care intenționează să lucreze în patru domenii specifice - evaluarea vulnerabilităților și testarea de penetrare, criminalistica digitală, servicii gestionate de securitate cibernetică, instruire în domeniul securității cibernetice și securitate cibernetică. GRC”, spune el.

Guvernul din Singapore a adoptat o abordare proactivă pentru a determina industria privată să adopte reglementări stricte de securitate cibernetică, cu organizațiile până acum implementarea a peste 70% a cerințelor necesare pentru o certificare „Cyber ​​Essentials”.

„Credem cu siguranță că existența unui standard minim va genera mai multă încredere în ecosistem, deoarece va exista asigurarea că, printre altele, testele de penetrare, auditurile de securitate și serviciile de răspuns la incidente care urmează să fie furnizate sunt la egalitate cu așteptările industriei și cu tehnologiile în evoluție. ”, spune Serene Kan, partener în practica IP și tehnologie la Wong & Partners, firmă membră a Baker McKenzie International.

În Statele Unite, astfel de eforturi nu au câștigat mult teren. În schimb, multe organizații profesionale oferi certificarea unor seturi specifice de competențe. ISC2, de exemplu, administrează bine-cunoscuta acreditare Certified Information Systems Security Professional (CISSP), în timp ce CompTIA oferă certificarea Security+, iar ISACA – anterior Asociația de Audit și Control al Sistemelor Informaționale – oferă certificarea Certified Information System Auditor (CISA), printre alții.

ISC2 și ISACA au refuzat să comenteze pentru acest articol.

Lipsa de protecție pentru libertatea de exprimare

În timp ce cerințele par să îmbunătățească maturitatea generală a poziției de securitate cibernetică a țărilor, legislația a ridicat adesea îngrijorări cu privire la costurile potențiale ale libertății de exprimare și ale altor drepturi individuale.

Guvernele care obțin o putere largă de a reglementa activitățile legate de securitatea cibernetică în mod implicit au competențe de a controla serviciile digitale. Acest lucru duce adesea la vizarea activităților jurnalistice și a avertizorilor prin solicitarea de „aprobare prealabilă în conformitate cu standarde arbitrare care pot fi modificate sau revocate”, conform articolului 19, o organizație pentru drepturile omului.

Factura de securitate cibernetică din Malaezia, de exemplu, este „inutilă și cu vicii în starea sa actuală”, a declarat organizația.

„Deși se prezintă drept un instrument de „securitate cibernetică”, proiectul de lege va oferi guvernului un control neresponsabil asupra activităților legate de computer, precum și puteri aproape nelimitate de căutare și confiscare”, a spus organizația. a spus într-o analiză a facturii. „Dispozițiile sale penale nu necesită nicio intenție reală de încălcare, introducând efectiv multe infracțiuni de răspundere strictă”.

În special, cercetătorii în domeniul securității cibernetice ar putea fi puși în pericol, deoarece eliberarea codului sursă sau cercetarea ofensivă cibernetică ar necesita o licență, a declarat organizația.

Cu toate acestea, deseori, cerințele de licențiere doar pun o ștampilă guvernamentală pe cele mai bune practici de certificare care există deja și pe cerințele conform cărora solicitanții de locuri de muncă au certificări specifice de securitate cibernetică, dar cu o notă locală, spune Lukatsky de la Positive Technologies.

Abordarea pe care a urmat-o Ghana, de exemplu, „seamănă cu înființarea unui registru al tuturor specialiștilor în securitate cibernetică, deoarece este puțin probabil ca în această țară sau în orice altă țară să existe mulți specialiști independenți singuri care pot lucra cu organizații serioase, unde riscurile angajării. personalul necalificat este prea mare”, spune el. „Motivul principal pentru astfel de cerințe este că, pe măsură ce numărul atacurilor cibernetice crește, specialiștii care înțeleg ce fac și de ce fac acest lucru sunt necesari să le detecteze și să le prevină - cum să aplice cele mai bune practici internaționale și cum să le adapteze la nivel local. specificul.”

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
• PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
• PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
• PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
• Sursa: https://www.darkreading.com/cyber-risk/licensed-to-bill-nations-mandate-certification-licensure-of-cybersecurity-pros