Malezya, siber güvenlik profesyonellerinin veya firmalarının ülkelerinde bazı siber güvenlik hizmetleri sağlamak üzere sertifikalandırılmasını ve lisanslanmasını gerektiren yasaları geçirme konusunda en az iki ülkeye (Singapur ve Gana) katıldı.
3 Nisan’da Malezya Parlamentosu’nun Dewan Negara olarak bilinen üst meclisi, bir önceki ay alt mecliste kabul edilmesinin ardından 2024 Siber Güvenlik Yasa Tasarısı’nı kabul etti. Kral tarafından imzalanması ve Hükümet Gazetesi’nde yayınlanmasının ardından yasalaşacak olan tasarı, şemsiye mevzuat olarak yapılandırılmış ve kritik altyapıyı güvence altına alan ve ulusal siber güvenlik durumunu iyileştiren gelecekteki hükümet faaliyetleri için bir çerçeve görevi görecek.
Malezya merkezli hukuk firması Christopher & Lee Ong, mevzuatın lisanslamayı zorunlu kılmasına rağmen siber güvenlik uzmanları ve hizmet sağlayıcılara yönelik asıl gerekliliklerin daha sonra geleceğini söylüyor. bir danışma belgesinde belirtildi.
“Yasa, lisanslama rejimine tabi olan siber güvenlik hizmetlerinin türlerini belirtmese de … bu muhtemelen başka bir kişinin bilgi ve iletişim teknolojisi cihazını korumaya yönelik hizmetler sağlayan hizmet sağlayıcılar için geçerli olacaktır.” [for example,] Sızma testi sağlayıcıları ve güvenlik operasyon merkezleri.” hukuk firması belirtti.
Malezya, Asya-Pasifik komşusu Singapur’a katıldı. Siber güvenlik hizmet sağlayıcılarının (CSP’ler) lisanslanması son iki yıldır ve Batı Afrika ülkesi Gana’da CSP’lerin lisanslanması ve siber güvenlik profesyonellerinin akreditasyonu. Daha geniş anlamda, hükümetler Avrupa Birliği gibi diğer kurumlar siber güvenlik sertifikalarını normalleştirirken — ABD’nin New York eyaleti gibi — belirli sektörlerdeki siber güvenlik yetenekleri için sertifika ve lisans gerektirir.
Gana’da Hackleme Lisansı
Moskova merkezli bir siber güvenlik sağlayıcısı Positive Technologies’in siber güvenlik iş danışmanlığı genel müdürü Alexey Lukatsky, birçok hükümetin siber güvenlik hizmetleri sunmak için işletmelerin lisans almasını zorunlu kılmasına rağmen, Gana’nın bireylerin lisans sahibi olmasını zorunlu kılan tek ülke olduğunu söylüyor.
“Gana’nın yaklaşımının benzersizliği, lisans gerekliliklerinin tüm siber güvenlik uzmanları için değil, dört belirli alanda çalışmayı planlayanlar için geçerli olması gerçeğinde yatmaktadır: güvenlik açığı değerlendirmesi ve sızma testi, dijital adli tıp, yönetilen siber güvenlik hizmetleri, siber güvenlik eğitimi ve siber güvenlik GRC” diyor.
Singapur hükümeti, şimdiye kadar kuruluşlarla birlikte özel sektörü sıkı siber güvenlik düzenlemeleri benimsemeye teşvik etmek için proaktif bir yaklaşım benimsedi. %70’ten fazlasını uyguluyor “Siber Temeller” sertifikasyonu için gereken gereksinimlerin listesi.
“Kesinlikle asgari bir standarda sahip olmanın ekosistem genelinde daha fazla güven yaratacağını düşünüyoruz; çünkü diğerlerinin yanı sıra sızma testleri, güvenlik denetimleri ve sağlanacak olay müdahale hizmetlerinin sektör beklentileri ve gelişen teknolojilerle aynı seviyede olduğuna dair güvence olacak.” Baker McKenzie International’ın üye firması Wong & Partners’ın fikri mülkiyet ve teknoloji uygulamalarından biri olan Serene Kan, “diyor.
Amerika Birleşik Devletleri’nde bu tür çabalar pek fazla zemin kazanmadı. Bunun yerine birçok meslek kuruluşu belirli beceri gruplarının sertifikasyonunu sunmak. Örneğin ISC2, iyi bilinen Sertifikalı Bilgi Sistemleri Güvenliği Uzmanı (CISSP) akreditasyonunu yönetirken, CompTIA Güvenlik+ sertifikasını sunarken, eski adıyla Bilgi Sistemleri Denetim ve Kontrol Derneği olan ISACA, Sertifikalı Bilgi Sistemi Denetçisi (CISA) sertifikasını sunar. diğerleri arasında.
ISC2 ve ISACA bu makale için yorum yapmayı reddetti.
İfade Özgürlüğüne İlişkin Korumaların Eksikliği
Gereklilikler, ülkelerin siber güvenlik duruşunun genel olgunluğunu iyileştirecek gibi görünse de, mevzuat sıklıkla ifade özgürlüğü ve diğer bireysel haklara yönelik potansiyel maliyet konusunda endişeleri artırıyor.
Varsayılan olarak siber güvenlikle ilgili faaliyetleri düzenleme konusunda geniş yetki kazanan hükümetler, dijital hizmetleri kontrol etme yetkisine de sahip oluyor. Bir insan hakları örgütü olan Madde 19’a göre bu genellikle “değişime veya iptale tabi keyfi standartlar kapsamında ön onay” gerektirerek gazetecilik faaliyetlerinin ve ihbarcıların hedef alınmasıyla sonuçlanır.
Örgüt, örneğin Malezya siber güvenlik yasa tasarısının “mevcut haliyle gereksiz ve kusurlu” olduğunu belirtti.
Örgüt, “Her ne kadar bir ‘siber güvenlik’ aracı gibi görünse de, yasa tasarısı hükümete bilgisayarla ilgili faaliyetlerin hesap edilemez kontrolünün yanı sıra neredeyse sınırsız arama ve el koyma yetkisi verecek.” tasarının bir analizinde söyledi. “Ceza hükümleri herhangi bir fiili ihlal niyeti gerektirmemekte ve pek çok katı sorumluluk suçunu etkili bir şekilde ortaya koymaktadır.”
Kuruluş, kaynak kodunun yayınlanması veya siber saldırı amaçlı araştırmaların lisans gerektirmesi nedeniyle özellikle siber güvenlik araştırmacılarının tehlikeye atılabileceğini belirtti.
Ancak Positive Technologies’den Lukatsky, çoğunlukla lisanslama gerekliliklerinin, halihazırda var olan en iyi sertifikasyon uygulamalarına devlet damgası vurmaktan ibaret olduğunu ve iş başvurusunda bulunanların belirli siber güvenlik sertifikalarına sahip olma gerekliliklerini, ancak bunun yerel bir değişiklikle yapıldığını söylüyor.
Örneğin Gana’nın izlediği yaklaşım, “tüm siber güvenlik uzmanlarının kayıt altına alınmasına benzer; çünkü bu ülkede veya başka herhangi bir ülkede, işe alım risklerinin yüksek olduğu ciddi kuruluşlarla çalışabilecek çok sayıda bağımsız yalnız uzmanın bulunması pek mümkün değildir.” vasıfsız personel sayısı çok fazla” diyor. “Bu tür gerekliliklerin ana nedeni, siber saldırıların sayısı arttıkça, ne yaptıklarını ve neden yaptıklarını anlayan, bunları tespit edip önleyecek, uluslararası en iyi uygulamaların nasıl uygulanacağını ve bunların yerel koşullara nasıl uyarlanacağını anlayan uzmanlara ihtiyaç duyulmasıdır. ayrıntılar.”