Nationer kräver licens för cybersäkerhetsproffs

Malaysia har anslutit sig till minst två andra nationer – Singapore och Ghana – för att anta lagar som kräver att cybersäkerhetsproffs eller deras företag är certifierade och licensierade för att tillhandahålla vissa cybersäkerhetstjänster i deras land.

Den 3 april antog överhuset i det malaysiska parlamentet, känt som Dewan Negara, Cyber Security Bill 2024, efter dess antagande i underhuset föregående månad. Lagförslaget, som kommer att bli lag efter undertecknandet av kungen och offentliggörandet i Statstidningen, är strukturerat som paraplylagstiftning och kommer att fungera som ett ramverk för framtida statlig verksamhet för att säkra kritisk infrastruktur och förbättra den nationella tillståndet för cybersäkerhet.

Medan lagstiftningen kräver licensiering, kommer de faktiska kraven för cybersäkerhetsproffs och tjänsteleverantörer att komma senare, säger den malaysiabaserade advokatbyrån Christopher & Lee Ong angavs i ett råd.

"Även om lagförslaget inte specificerar vilka typer av cybersäkerhetstjänster som är föremål för licenssystemet ... kommer detta sannolikt att gälla tjänsteleverantörer som tillhandahåller tjänster för att skydda informations- och kommunikationsteknik från en annan person - [till exempel] leverantörer av penetrationstestning och säkerhetsoperationscentraler”, uppgav advokatbyrån.

Malaysia ansluter sig till Asien-Stillahavsområdet Singapore, som har krävt licensiering av leverantörer av cybersäkerhetstjänster (CSP) för de senaste två åren, och den västafrikanska nationen Ghana, som kräver licensiering av CSP:er och ackreditering av cybersäkerhetsproffs. Mer allmänt, regeringar såsom Europeiska unionen har normaliserat cybersäkerhetscertifieringar, medan andra byråer — som den amerikanska delstaten New York — kräva certifiering och licenser för cybersäkerhetskapacitet i specifika branscher.

Licens att hacka i Ghana

Medan många regeringar kräver att företag skaffar licenser för att erbjuda cybersäkerhetstjänster, är Ghana den enda nationen som kräver att individer har en licens, säger Alexey Lukatsky, vd för affärsrådgivning för cybersäkerhet på Positive Technologies, en Moskva-baserad cybersäkerhetsleverantör.

"Det unika med Ghanas tillvägagångssätt ligger i det faktum att licenskraven inte gäller alla cybersäkerhetsspecialister, utan de som planerar att arbeta inom fyra specifika områden - sårbarhetsbedömning och penetrationstestning, digital forensics, hanterade cybersäkerhetstjänster, cybersäkerhetsutbildning och cybersäkerhet GRC, säger han.

Singapores regering har tagit ett proaktivt tillvägagångssätt för att få den privata industrin att anta stränga cybersäkerhetsregler, med organisationer hittills implementerar mer än 70 % av de krav som krävs för en "Cyber Essentials"-certifiering.

"Vi tror helt säkert att att ha en absolut minimistandard kommer att skapa mer förtroende i hela ekosystemet eftersom det kommer att finnas garantier för att - bland annat - penetrationstestning, säkerhetsrevisioner och incidentresponstjänster som ska tillhandahållas är i nivå med branschens förväntningar och utvecklande teknologier , säger Serene Kan, en partner inom IP- och teknikpraktiken på Wong & Partners, medlemsföretaget i Baker McKenzie International.

I USA har sådana ansträngningar inte vunnit mycket mark. Istället många professionella organisationer erbjuda certifiering av specifika uppsättningar färdigheter. ISC2 administrerar till exempel den välkända ackrediteringen av Certified Information Systems Security Professional (CISSP), medan CompTIA erbjuder Security+-certifieringen och ISACA – tidigare Information Systems Audit and Control Association – erbjuder certifieringen Certified Information System Auditor (CISA). bland andra.

ISC2 och ISACA avböjde att kommentera denna artikel.

Brist på skydd för det fria ordet

Även om kraven tycks förbättra den övergripande mognaden i ländernas cybersäkerhetsställning, har lagstiftning ofta väckt oro över potentiella kostnader för yttrandefrihet och andra individuella rättigheter.

Regeringar som får bred makt att reglera aktiviteter relaterade till cybersäkerhet som standard har befogenheter att kontrollera digitala tjänster. Detta resulterar ofta i att man riktar in sig på journalistisk verksamhet och whistleblowers genom att kräva "förhandsgodkännande enligt godtyckliga standarder som kan ändras eller återkallas", enligt artikel 19, en människorättsorganisation.

Den malaysiska cybersäkerhetsräkningen är till exempel "onödig och bristfällig i sitt nuvarande tillstånd", konstaterade organisationen.

"Även om det utger sig för att vara ett "cybersäkerhetsinstrument" kommer lagförslaget att ge regeringen oansvarig kontroll över datorrelaterade aktiviteter, såväl som nästan obegränsade befogenheter för sökning och beslag," sa i en analys av lagförslaget. "Dess straffrättsliga bestämmelser kräver inte någon faktisk avsikt att kränka, vilket effektivt inför många strikt ansvarsbrott."

I synnerhet kan cybersäkerhetsforskare äventyras, eftersom frigivning av källkod eller cyberoffensiv forskning skulle kräva en licens, uppgav organisationen.

Ändå är licenskraven ofta bara att sätta en statlig prägel på de bästa praxis för certifiering som redan finns och krav på att arbetssökande har specifika cybersäkerhetscertifieringar, men med en lokal twist, säger Lukatsky från Positive Technologies.

Tillvägagångssättet som Ghana har eftersträvat, till exempel, "liknar upprättandet av ett register över alla cybersäkerhetsspecialister eftersom det är osannolikt att det i detta eller något annat land finns många oberoende ensamma specialister som kan arbeta med seriösa organisationer, där riskerna med att anställa okvalificerad personal är för hög, säger han. "Den främsta anledningen till sådana krav är att när antalet cyberattacker växer, behövs specialister som förstår vad de gör och varför de gör det för att upptäcka och förhindra dem - hur man tillämpar internationella bästa praxis och hur man anpassar dem till lokala detaljer."

SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
Källa: https://www.darkreading.com/cyber-risk/licensed-to-bill-nations-mandate-certification-licensure-of-cybersecurity-pros

Generativ dataintelligens

Nationer kräver licens för cybersäkerhetsproffs

Licens att hacka i Ghana

Brist på skydd för det fria ordet

Web3-spelmottagningen skiftar från skepsis till entusiasm: Shrapnels Head of Studio

Avkodningsinvestering: Ta itu med Crowdfunding-utmaningarna för investerare med dyslexi

Senaste intelligens

MakerDAO avslöjar två nya tokens i en större översyn – CoinJournal

Janthana Kaenprakhamroy, grundare och VD för Tapoly

Det finns nu mer VR än Mac-spelare på Steam

Hon Kongs kapitalförvaltningsföretag blir den största investeraren i BlackRock Bitcoin ETF – CoinJournal

"USA:s regering kan inte gå i konkurs eftersom vi kan skriva ut våra egna pengar", säger Biden Administration

GAO: NASA står inför "inkonsekvent" cybersäkerhet över rymdfarkoster

Chatta med oss