馬來西亞已與至少兩個其他國家(新加坡和加納)一起通過法律,要求網路安全專業人員或其公司獲得認證和許可,才能在本國提供某些網路安全服務。
繼上個月在下議院通過《3 年網路安全法案》後,2024 月 XNUMX 日,馬來西亞國會上議院(下議院)通過了《XNUMX 年網路安全法案》。該法案將在國王簽署並在政府公報上公佈後成為法律,其結構為傘式立法,並將作為未來政府活動確保關鍵基礎設施和改善國家網路安全狀況的框架。
總部位於馬來西亞的 Christopher & Lee Ong 律師事務所表示,雖然立法強制要求獲得許可,但對網路安全專業人員和服務提供者的實際要求將在稍後提出 在諮詢中指出.
「雖然該法案沒有具體說明受許可製度約束的網路安全服務類型……這可能適用於提供保護他人資訊和通訊技術設備的服務的服務提供者——[例如]滲透測試提供者和安全營運中心, 」該律師事務所表示。
馬來西亞加入亞太鄰國新加坡的行列,要求 網路安全服務提供者 (CSP) 的許可 過去兩年,以及西非國家加納,這需要 CSP 的許可和網路安全專業人員的認證。更廣泛地說,政府 例如歐盟 已標準化網路安全認證,而其他機構 - 例如美國紐約州 — 要求特定行業的網路安全能力取得認證和許可。
加納駭客許可
總部位於莫斯科的網路安全供應商 Positive Technologies 的網路安全業務諮詢董事總經理 Alexey Lukatsky 表示,雖然許多政府要求企業取得提供網路安全服務的許可證,但加納是唯一要求個人取得許可證的國家。
「加納方法的獨特之處在於,許可要求並不適用於所有網路安全專家,而是適用於那些計劃在四個特定領域工作的人——漏洞評估和滲透測試、數位取證、託管網路安全服務、網路安全培訓和網路安全GRC,」他說。
新加坡政府已採取積極主動的方式,促使私人企業採用嚴格的網路安全法規,迄今為止,各組織已 執行率70%以上 “Cyber Essentials”認證所需的要求。
“我們肯定認為,制定最低標準將為整個生態系統帶來更多信心,因為將確保滲透測試、安全審計和所提供的事件響應服務符合行業期望和不斷發展的技術”,貝克·麥堅時國際成員所Wong & Partners 的智慧財產權與技術業務合夥人Serene Kan 說。
在美國,此類努力並未取得太大進展。相反,許多專業組織 提供特定技能的認證。例如,ISC2 負責管理著名的資訊系統安全專家 (CISSP) 認證,而 CompTIA 提供 Security+ 認證,ISACA(前身為資訊系統審計與控制協會)提供資訊系統審計師 (CISA) 認證,除其他外。
ISC2 和 ISACA 拒絕對本文發表評論。
言論自由缺乏保護
雖然這些要求似乎提高了各國網路安全態勢的整體成熟度,但立法常常引起人們對言論自由和其他個人權利的潛在成本的擔憂。
獲得廣泛權力來監管網路安全相關活動的政府默認擁有控制數位服務的權力。根據人權組織 Article 19 的說法,這通常會導致針對新聞活動和舉報人,要求「根據可能改變或撤銷的任意標準進行預先批准」。
例如,該組織表示,馬來西亞的網路安全法案「在目前的狀態下是不必要的且有缺陷」。
該組織稱:“儘管該法案冒充‘網路安全’工具,但它將賦予政府對電腦相關活動的不負責任的控制,以及幾乎無限的搜查和扣押權力。” 在對該法案的分析中說。 “其刑事條款不要求任何實際違反意圖,有效地引入了許多嚴格責任犯罪。”
該組織表示,特別是網路安全研究人員可能會面臨危險,因為發布原始程式碼或網路攻擊性研究需要許可證。
然而,Positive Technologies 的 Lukatsky 表示,許可要求通常只是在現有的認證最佳實踐上打上政府的印記,並要求求職者擁有特定的網路安全認證,但帶有本地特色。
例如,加納採取的方法「類似於建立所有網路安全專家的登記冊,因為在這個國家或任何其他國家,不太可能有許多獨立的專家可以與嚴肅的組織合作,而在這些組織中,僱用風險不合格的人員太多了,」他說。 「提出此類要求的主要原因是,隨著網路攻擊數量的增加,需要了解他們在做什麼以及為什麼這樣做的專家來檢測和預防它們 - 如何應用國際最佳實踐以及如何使它們適應當地情況具體情況。
