Η Μαλαισία έχει προσχωρήσει σε τουλάχιστον δύο άλλες χώρες - τη Σιγκαπούρη και τη Γκάνα - ψηφίζοντας νόμους που απαιτούν από τους επαγγελματίες της κυβερνοασφάλειας ή τις εταιρείες τους να είναι πιστοποιημένοι και να έχουν άδεια να παρέχουν ορισμένες υπηρεσίες κυβερνοασφάλειας στη χώρα τους.

Στις 3 Απριλίου, η Άνω Βουλή του κοινοβουλίου της Μαλαισίας, γνωστή ως Dewan Negara, ενέκρινε το νομοσχέδιο για την ασφάλεια στον κυβερνοχώρο 2024, μετά την ψήφισή του στην Κάτω Βουλή τον προηγούμενο μήνα. Το νομοσχέδιο, το οποίο θα γίνει νόμος μετά την υπογραφή του από τον Βασιλιά και τη δημοσίευσή του στην Εφημερίδα της Κυβερνήσεως, είναι δομημένο ως ομπρέλα νομοθεσίας και θα λειτουργεί ως πλαίσιο για μελλοντική κυβερνητική δραστηριότητα που διασφαλίζει κρίσιμες υποδομές και βελτιώνει την εθνική κατάσταση της κυβερνοασφάλειας.

Ενώ η νομοθεσία επιβάλλει την αδειοδότηση, οι πραγματικές απαιτήσεις για τους επαγγελματίες της κυβερνοασφάλειας και τους παρόχους υπηρεσιών θα έρθουν αργότερα, η δικηγορική εταιρεία Christopher & Lee Ong με έδρα τη Μαλαισία αναφέρεται σε συμβουλευτική.

«Ενώ το νομοσχέδιο δεν προσδιορίζει τους τύπους υπηρεσιών κυβερνοασφάλειας που υπόκεινται στο καθεστώς αδειοδότησης… αυτό πιθανότατα θα ισχύει για παρόχους υπηρεσιών που παρέχουν υπηρεσίες για τη διαφύλαξη συσκευών τεχνολογίας πληροφοριών και επικοινωνιών άλλου ατόμου — [για παράδειγμα] παρόχους δοκιμών διείσδυσης και κέντρα επιχειρήσεων ασφαλείας», δήλωσε η δικηγορική εταιρεία.

Η Μαλαισία προσχωρεί στη γειτονική Ασία-Ειρηνικό, τη Σιγκαπούρη, η οποία έχει απαιτήσει το αδειοδότηση παρόχων υπηρεσιών κυβερνοασφάλειας (CSP) τα τελευταία δύο χρόνια, και το έθνος της Δυτικής Αφρικής της Γκάνας, το οποίο απαιτεί την αδειοδότηση CSP και διαπίστευση επαγγελματιών κυβερνοασφάλειας. Ευρύτερα, κυβερνήσεις όπως η Ευρωπαϊκή Ένωση έχουν κανονικοποιήσει τις πιστοποιήσεις κυβερνοασφάλειας, ενώ άλλοι φορείς — όπως η αμερικανική πολιτεία της Νέας Υόρκης — απαιτούν πιστοποίηση και άδειες για δυνατότητες κυβερνοασφάλειας σε συγκεκριμένους κλάδους.

Άδεια εισβολής στην Γκάνα

Ενώ πολλές κυβερνήσεις απαιτούν από τις επιχειρήσεις να αποκτήσουν άδειες για να προσφέρουν υπηρεσίες κυβερνοασφάλειας, η Γκάνα είναι το μόνο έθνος που απαιτεί από τα άτομα να έχουν άδεια, λέει ο Alexey Lukatsky, διευθύνων σύμβουλος επιχειρηματικών συμβουλών για την ασφάλεια στον κυβερνοχώρο στην Positive Technologies, έναν πάροχο κυβερνοασφάλειας με έδρα τη Μόσχα.

«Η μοναδικότητα της προσέγγισης της Γκάνας έγκειται στο γεγονός ότι οι απαιτήσεις αδειοδότησης δεν ισχύουν για όλους τους ειδικούς στον κυβερνοχώρο, αλλά για εκείνους που σχεδιάζουν να εργαστούν σε τέσσερις συγκεκριμένους τομείς — εκτίμηση ευπάθειας και δοκιμές διείσδυσης, ψηφιακή εγκληματολογία, διαχειριζόμενες υπηρεσίες κυβερνοασφάλειας, εκπαίδευση στον κυβερνοχώρο και ασφάλεια στον κυβερνοχώρο GRC», λέει.

Η κυβέρνηση της Σιγκαπούρης έχει υιοθετήσει μια προληπτική προσέγγιση για να ωθήσει την ιδιωτική βιομηχανία να υιοθετήσει αυστηρούς κανονισμούς για την ασφάλεια στον κυβερνοχώρο, με οργανισμούς μέχρι στιγμής υλοποίηση άνω του 70% των απαιτήσεων που απαιτούνται για την πιστοποίηση «Cyber ​​Essentials».

«Σίγουρα πιστεύουμε ότι η ύπαρξη ενός απλού ελάχιστου προτύπου θα δημιουργήσει μεγαλύτερη εμπιστοσύνη σε όλο το οικοσύστημα, καθώς θα υπάρχει βεβαιότητα ότι — μεταξύ άλλων — οι δοκιμές διείσδυσης, οι έλεγχοι ασφαλείας και οι υπηρεσίες αντιμετώπισης συμβάντων που θα παρέχονται είναι στο ίδιο επίπεδο με τις προσδοκίες του κλάδου και τις εξελισσόμενες τεχνολογίες », λέει η Serene Kan, συνεργάτης στην πρακτική IP και τεχνολογίας στη Wong & Partners, εταιρεία μέλος της Baker McKenzie International.

Στις Ηνωμένες Πολιτείες, τέτοιες προσπάθειες δεν έχουν κερδίσει πολύ έδαφος. Αντίθετα, πολλές επαγγελματικές οργανώσεις προσφέρουν πιστοποίηση συγκεκριμένων συνόλων δεξιοτήτων. Το ISC2, για παράδειγμα, διαχειρίζεται τη γνωστή διαπίστευση Certified Information Systems Security Professional (CISSP), ενώ η CompTIA προσφέρει την πιστοποίηση Security+ και η ISACA —πρώην Ένωση Πληροφοριακών Συστημάτων Ελέγχου και Ελέγχου— προσφέρει την πιστοποίηση Certified Information System Auditor (CISA). μεταξύ άλλων.

Το ISC2 και το ISACA αρνήθηκαν να σχολιάσουν αυτό το άρθρο.

Έλλειψη προστασίας για τον ελεύθερο λόγο

Ενώ οι απαιτήσεις φαίνεται να βελτιώνουν τη συνολική ωριμότητα της στάσης της κυβερνοασφάλειας των χωρών, η νομοθεσία συχνά εγείρει ανησυχίες σχετικά με το πιθανό κόστος για την ελευθερία του λόγου και άλλα ατομικά δικαιώματα.

Οι κυβερνήσεις που αποκτούν ευρεία εξουσία να ρυθμίζουν δραστηριότητες που σχετίζονται με την κυβερνοασφάλεια από προεπιλογή έχουν εξουσίες ελέγχου των ψηφιακών υπηρεσιών. Αυτό οδηγεί συχνά στη στόχευση δημοσιογραφικών δραστηριοτήτων και καταγγελιών, απαιτώντας «προέγκριση βάσει αυθαίρετων προτύπων που υπόκεινται σε αλλαγές ή ανάκληση», σύμφωνα με το Άρθρο 19, μια οργάνωση ανθρωπίνων δικαιωμάτων.

Το νομοσχέδιο της Μαλαισίας για την κυβερνοασφάλεια, για παράδειγμα, είναι «περιττό και ελαττωματικό στην τρέχουσα κατάστασή του», δήλωσε ο οργανισμός.

«Αν και παρουσιάζεται ως μέσο «κυβερνοασφάλειας», το νομοσχέδιο θα δώσει στην κυβέρνηση ακατάσχετο έλεγχο των δραστηριοτήτων που σχετίζονται με υπολογιστές, καθώς και σχεδόν απεριόριστες εξουσίες έρευνας και κατάσχεσης», η οργάνωση είπε σε ανάλυση του νομοσχεδίου. «Οι ποινικές του διατάξεις δεν απαιτούν καμία πραγματική πρόθεση παραβίασης, εισάγοντας ουσιαστικά πολλά αδικήματα αυστηρής ευθύνης».

Συγκεκριμένα, οι ερευνητές της κυβερνοασφάλειας θα μπορούσαν να τεθούν σε κίνδυνο, καθώς η απελευθέρωση του πηγαίου κώδικα ή η έρευνα για την επίθεση στον κυβερνοχώρο θα απαιτούσε άδεια, δήλωσε ο οργανισμός.

Ωστόσο, συχνά οι απαιτήσεις αδειοδότησης απλώς βάζουν μια κυβερνητική σφραγίδα στις βέλτιστες πρακτικές πιστοποίησης που ήδη υπάρχουν και στις απαιτήσεις ότι οι υποψήφιοι για εργασία έχουν συγκεκριμένες πιστοποιήσεις κυβερνοασφάλειας, αλλά με μια τοπική αλλαγή, λέει ο Lukatsky της Positive Technologies.

Η προσέγγιση που έχει ακολουθήσει η Γκάνα, για παράδειγμα, «μοιάζει με τη δημιουργία μητρώου όλων των ειδικών στον κυβερνοχώρο, καθώς είναι απίθανο σε αυτή ή σε οποιαδήποτε άλλη χώρα να υπάρχουν πολλοί ανεξάρτητοι μοναχικοί ειδικοί που μπορούν να συνεργαστούν με σοβαρούς οργανισμούς, όπου οι κίνδυνοι πρόσληψης Το ανειδίκευτο προσωπικό είναι πολύ υψηλό», λέει. «Ο κύριος λόγος για τέτοιες απαιτήσεις είναι ότι καθώς αυξάνεται ο αριθμός των κυβερνοεπιθέσεων, χρειάζονται ειδικοί που καταλαβαίνουν τι κάνουν και γιατί το κάνουν για να τις εντοπίσουν και να τις αποτρέψουν — πώς να εφαρμόζουν τις διεθνείς βέλτιστες πρακτικές και πώς να τις προσαρμόζουν στα τοπικά συγκεκριμένα."

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/cyber-risk/licensed-to-bill-nations-mandate-certification-licensure-of-cybersecurity-pros