มาเลเซียได้เข้าร่วมกับประเทศอื่น ๆ อย่างน้อยสองประเทศ — สิงคโปร์และกานา — ในการผ่านกฎหมายที่กำหนดให้ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์หรือบริษัทของพวกเขาต้องได้รับการรับรองและได้รับใบอนุญาตในการให้บริการด้านความปลอดภัยทางไซเบอร์ในประเทศของตน
เมื่อวันที่ 3 เมษายน สภาสูงของรัฐสภามาเลเซียหรือที่รู้จักในชื่อ Dewan Negara ได้ผ่านร่างพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ปี 2024 หลังจากที่ผ่านร่างกฎหมายในสภาล่างเมื่อเดือนที่แล้ว ร่างกฎหมายดังกล่าวซึ่งจะกลายเป็นกฎหมายหลังจากการลงนามของพระบาทสมเด็จพระเจ้าอยู่หัวและการตีพิมพ์ในราชกิจจานุเบกษา มีโครงสร้างเป็นกฎหมายแม่และจะทำหน้าที่เป็นกรอบสำหรับกิจกรรมของรัฐบาลในอนาคตเพื่อรักษาโครงสร้างพื้นฐานที่สำคัญและปรับปรุงสถานะความปลอดภัยทางไซเบอร์ของประเทศ
ในขณะที่กฎหมายกำหนดการออกใบอนุญาต ข้อกำหนดที่แท้จริงสำหรับผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์และผู้ให้บริการจะมาในภายหลัง บริษัทกฎหมาย Christopher & Lee Ong ในมาเลเซีย ระบุไว้ในคำแนะนำ.
“ในขณะที่ร่างกฎหมายไม่ได้ระบุประเภทของบริการรักษาความปลอดภัยทางไซเบอร์ที่อยู่ภายใต้ระบอบการปกครองการออกใบอนุญาต … สิ่งนี้มีแนวโน้มที่จะนำไปใช้กับผู้ให้บริการที่ให้บริการเพื่อปกป้องอุปกรณ์เทคโนโลยีสารสนเทศและการสื่อสารของบุคคลอื่น — [ตัวอย่าง] ผู้ให้บริการทดสอบการเจาะระบบ และศูนย์ปฏิบัติการรักษาความปลอดภัย” สำนักงานกฎหมายระบุ
มาเลเซียเข้าร่วมกับสิงคโปร์ซึ่งเป็นเพื่อนบ้านในเอเชียแปซิฟิก ซึ่งจำเป็นต้องมี การออกใบอนุญาตของผู้ให้บริการความปลอดภัยทางไซเบอร์ (CSP) ในช่วงสองปีที่ผ่านมาและประเทศกานาในแอฟริกาตะวันตกซึ่งกำหนดให้ การออกใบอนุญาตของ CSP และการรับรองผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์- อย่างกว้างขวางมากขึ้นรัฐบาล เช่นสหภาพยุโรป มีการรับรองความปลอดภัยทางไซเบอร์แบบมาตรฐาน ในขณะที่หน่วยงานอื่นๆ — เช่น รัฐนิวยอร์กของสหรัฐอเมริกา — ต้องการใบรับรองและใบอนุญาตสำหรับความสามารถด้านความปลอดภัยทางไซเบอร์ในอุตสาหกรรมเฉพาะ
ใบอนุญาตแฮ็คในประเทศกานา
ในขณะที่รัฐบาลหลายแห่งต้องการให้ธุรกิจต่างๆ ต้องได้รับใบอนุญาตเพื่อให้บริการรักษาความปลอดภัยทางไซเบอร์ กานาเป็นประเทศเดียวที่กำหนดให้บุคคลต้องมีใบอนุญาต Alexey Lukatsky กรรมการผู้จัดการฝ่ายที่ปรึกษาธุรกิจความปลอดภัยทางไซเบอร์ที่ Positive Technologies ผู้ให้บริการความปลอดภัยทางไซเบอร์ในมอสโกกล่าว
“แนวทางที่เป็นเอกลักษณ์ของกานาอยู่ที่ความจริงที่ว่าข้อกำหนดใบอนุญาตไม่ได้นำไปใช้กับผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ทุกคน แต่กับผู้ที่วางแผนทำงานในสี่ด้านเฉพาะ — การประเมินช่องโหว่และการทดสอบการเจาะระบบ, นิติวิทยาศาสตร์ดิจิทัล, บริการรักษาความปลอดภัยทางไซเบอร์ที่ได้รับการจัดการ, การฝึกอบรมด้านความปลอดภัยทางไซเบอร์ และความปลอดภัยทางไซเบอร์ GRC” เขากล่าว
รัฐบาลสิงคโปร์ใช้แนวทางเชิงรุกเพื่อกระตุ้นให้อุตสาหกรรมเอกชนนำกฎระเบียบด้านความปลอดภัยทางไซเบอร์ที่เข้มงวดมาใช้กับองค์กรต่างๆ จนถึงขณะนี้ ดำเนินการไปแล้วมากกว่า 70% ของข้อกำหนดที่จำเป็นสำหรับการรับรอง “Cyber Essentials”
“เราคิดอย่างแน่นอนว่าการมีมาตรฐานขั้นต่ำจะทำให้เกิดความมั่นใจมากขึ้นทั่วทั้งระบบนิเวศ เนื่องจากจะมีการรับประกันว่า การทดสอบการเจาะระบบ การตรวจสอบความปลอดภัย และบริการตอบสนองต่อเหตุการณ์ ที่จะมอบให้นั้นทัดเทียมกับความคาดหวังของอุตสาหกรรมและเทคโนโลยีที่กำลังพัฒนา ” Serene Kan หุ้นส่วนด้านทรัพย์สินทางปัญญาและเทคโนโลยีของ Wong & Partners ซึ่งเป็นบริษัทสมาชิกของ Baker McKenzie International กล่าว
ในสหรัฐอเมริกา ความพยายามดังกล่าวยังไม่ได้รับผลมากนัก แทนที่จะเป็นองค์กรวิชาชีพหลายแห่ง เสนอการรับรองชุดทักษะเฉพาะ- ตัวอย่างเช่น ISC2 บริหารจัดการการรับรอง Certified Information Systems Security Professional (CISSP) ที่มีชื่อเสียง ในขณะที่ CompTIA เสนอการรับรอง Security+ และ ISACA — เดิมชื่อ Information Systems Audit and Control Association — เสนอการรับรอง Certified Information System Auditor (CISA) ท่ามกลางคนอื่น ๆ.
ISC2 และ ISACA ปฏิเสธที่จะแสดงความคิดเห็นสำหรับบทความนี้
ขาดการคุ้มครองเสรีภาพในการพูด
แม้ว่าข้อกำหนดดังกล่าวดูเหมือนจะปรับปรุงความสมบูรณ์โดยรวมของมาตรการรักษาความปลอดภัยทางไซเบอร์ของประเทศต่างๆ แต่กฎหมายก็มักจะก่อให้เกิดความกังวลเกี่ยวกับต้นทุนต่อเสรีภาพในการพูดและสิทธิส่วนบุคคลอื่นๆ ที่อาจเกิดขึ้น
รัฐบาลที่ได้รับอำนาจอย่างกว้างขวางในการควบคุมกิจกรรมที่เกี่ยวข้องกับความปลอดภัยทางไซเบอร์โดยค่าเริ่มต้นจะมีอำนาจในการควบคุมบริการดิจิทัล ซึ่งมักส่งผลให้มุ่งเป้าไปที่กิจกรรมนักข่าวและผู้แจ้งเบาะแสโดยกำหนดให้ “ได้รับการอนุมัติล่วงหน้าภายใต้มาตรฐานตามอำเภอใจซึ่งอาจมีการเปลี่ยนแปลงหรือเพิกถอนได้” ตามมาตรา 19 องค์กรสิทธิมนุษยชน
ตัวอย่างเช่น ร่างพระราชบัญญัติความปลอดภัยทางไซเบอร์ของมาเลเซีย “ไม่จำเป็นและมีข้อบกพร่องในสถานะปัจจุบัน” องค์กรระบุ
“แม้ว่าจะวางตัวเป็นเครื่องมือ 'ความปลอดภัยทางไซเบอร์' แต่ร่างกฎหมายนี้จะให้อำนาจรัฐบาลในการควบคุมกิจกรรมที่เกี่ยวข้องกับคอมพิวเตอร์อย่างไม่อาจรับผิดชอบได้ เช่นเดียวกับอำนาจการค้นหาและยึดที่แทบจะไม่จำกัด” องค์กร กล่าวในการวิเคราะห์ร่างพระราชบัญญัติ- “บทบัญญัติทางอาญาไม่จำเป็นต้องมีเจตนาที่แท้จริงในการละเมิด ซึ่งก่อให้เกิดความผิดอันเข้มงวดหลายประการ”
โดยเฉพาะอย่างยิ่งนักวิจัยด้านความปลอดภัยทางไซเบอร์อาจตกอยู่ในอันตราย เนื่องจากการเปิดตัวซอร์สโค้ดหรือการวิจัยที่ล่วงละเมิดทางไซเบอร์จะต้องได้รับใบอนุญาต องค์กรดังกล่าว
แต่บ่อยครั้งที่ข้อกำหนดด้านใบอนุญาตเป็นเพียงการประทับตราของรัฐบาลในแนวทางปฏิบัติที่ดีที่สุดในการรับรองที่มีอยู่แล้ว และข้อกำหนดที่ผู้สมัครงานต้องมีใบรับรองความปลอดภัยทางไซเบอร์ที่เฉพาะเจาะจง แต่มีการเปลี่ยนแปลงในท้องถิ่น Lukatsky จาก Positive Technologies กล่าว
ตัวอย่างเช่น แนวทางที่กานาดำเนินการ “คล้ายกับการจัดตั้งทะเบียนผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ทั้งหมด เนื่องจากไม่น่าเป็นไปได้ที่ในประเทศนี้หรือประเทศอื่นๆ จะมีผู้เชี่ยวชาญอิสระจำนวนมากเพียงคนเดียวที่สามารถทำงานร่วมกับองค์กรที่จริงจังได้ ซึ่งมีความเสี่ยงในการจ้างงาน บุคลากรที่ไม่มีคุณสมบัติเหมาะสมนั้นสูงเกินไป” เขากล่าว “เหตุผลหลักสำหรับข้อกำหนดดังกล่าวก็คือ เมื่อจำนวนการโจมตีทางไซเบอร์เพิ่มมากขึ้น ผู้เชี่ยวชาญที่เข้าใจสิ่งที่พวกเขากำลังทำและทำไมจึงจำเป็นต้องตรวจจับและป้องกันพวกเขา — วิธีใช้แนวทางปฏิบัติสากลที่ดีที่สุด และวิธีปรับให้เข้ากับท้องถิ่น เฉพาะเจาะจง”
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/cyber-risk/licensed-to-bill-nations-mandate-certification-licensure-of-cybersecurity-pros
