Malaysia đã cùng với ít nhất hai quốc gia khác – Singapore và Ghana – thông qua luật yêu cầu các chuyên gia an ninh mạng hoặc công ty của họ phải được chứng nhận và cấp phép cung cấp một số dịch vụ an ninh mạng ở quốc gia của họ.
Vào ngày 3 tháng 2024, thượng viện của Quốc hội Malaysia, được gọi là Dewan Negara, đã thông qua Dự luật An ninh mạng XNUMX, sau khi được hạ viện thông qua vào tháng trước. Dự luật sẽ trở thành luật sau khi được Nhà vua ký và công bố trên Công báo Chính phủ, được cấu trúc như luật chung và sẽ đóng vai trò là khuôn khổ cho hoạt động của chính phủ trong tương lai nhằm đảm bảo cơ sở hạ tầng quan trọng và cải thiện tình trạng an ninh mạng quốc gia.
Trong khi luật pháp quy định việc cấp phép, các yêu cầu thực tế đối với các chuyên gia an ninh mạng và nhà cung cấp dịch vụ sẽ được đưa ra sau, công ty luật Christopher & Lee Ong có trụ sở tại Malaysia. nêu trong một lời khuyên.
“Mặc dù Dự luật không nêu rõ các loại dịch vụ an ninh mạng phải tuân theo chế độ cấp phép… điều này có thể sẽ áp dụng cho các nhà cung cấp dịch vụ cung cấp dịch vụ bảo vệ thiết bị công nghệ thông tin và truyền thông của người khác - [ví dụ:] nhà cung cấp thử nghiệm thâm nhập và các trung tâm điều hành an ninh,” công ty luật cho biết.
Malaysia gia nhập nước láng giềng châu Á-Thái Bình Dương Singapore, nước đã yêu cầu cấp phép cho nhà cung cấp dịch vụ an ninh mạng (CSP) trong hai năm qua và quốc gia Ghana ở Tây Phi, nơi đòi hỏi cấp phép CSP và chứng nhận chuyên gia an ninh mạng. Rộng rãi hơn, các chính phủ chẳng hạn như Liên minh châu Âu đã bình thường hóa chứng chỉ an ninh mạng, trong khi các cơ quan khác - chẳng hạn như tiểu bang New York của Hoa Kỳ — yêu cầu chứng nhận và giấy phép về khả năng an ninh mạng trong các ngành cụ thể.
Giấy phép hack ở Ghana
Alexey Lukatsky, giám đốc điều hành tư vấn kinh doanh an ninh mạng tại Positive Technologies, một nhà cung cấp an ninh mạng có trụ sở tại Moscow, cho biết: Trong khi nhiều chính phủ yêu cầu các doanh nghiệp phải có giấy phép để cung cấp dịch vụ an ninh mạng thì Ghana là quốc gia duy nhất yêu cầu các cá nhân phải có giấy phép.
“Sự độc đáo trong cách tiếp cận của Ghana nằm ở chỗ các yêu cầu cấp phép không áp dụng cho tất cả các chuyên gia an ninh mạng mà áp dụng cho những người dự định làm việc trong bốn lĩnh vực cụ thể – đánh giá lỗ hổng và kiểm tra thâm nhập, pháp y kỹ thuật số, dịch vụ an ninh mạng được quản lý, đào tạo an ninh mạng và an ninh mạng. GRC,” anh nói.
Chính phủ Singapore đã thực hiện một cách tiếp cận chủ động để thúc đẩy ngành công nghiệp tư nhân áp dụng các quy định nghiêm ngặt về an ninh mạng, với các tổ chức cho đến nay thực hiện trên 70% trong số các yêu cầu cần thiết để có được chứng nhận “Cyber Essentials”.
“Chúng tôi chắc chắn nghĩ rằng việc có một tiêu chuẩn tối thiểu sẽ mang lại sự tự tin hơn trong toàn bộ hệ sinh thái vì sẽ có sự đảm bảo rằng - trong số những thứ khác - thử nghiệm thâm nhập, kiểm tra bảo mật và các dịch vụ ứng phó sự cố được cung cấp ngang bằng với mong đợi của ngành và các công nghệ đang phát triển Serene Kan, một đối tác trong lĩnh vực IP & công nghệ tại Wong & Partners, công ty thành viên của Baker McKenzie International, cho biết.
Ở Hoa Kỳ, những nỗ lực như vậy không đạt được nhiều thành tựu. Thay vào đó, nhiều tổ chức chuyên nghiệp cung cấp chứng nhận về các bộ kỹ năng cụ thể. Ví dụ: ISC2 quản lý chứng nhận Chuyên gia bảo mật hệ thống thông tin được chứng nhận (CISSP) nổi tiếng, trong khi CompTIA cung cấp chứng nhận Security+ và ISACA - trước đây là Hiệp hội kiểm soát và kiểm toán hệ thống thông tin - cung cấp chứng chỉ Kiểm toán viên hệ thống thông tin được chứng nhận (CISA), trong số những người khác.
ISC2 và ISACA từ chối bình luận cho bài viết này.
Thiếu sự bảo vệ cho tự do ngôn luận
Mặc dù các yêu cầu dường như cải thiện mức độ trưởng thành chung của tình hình an ninh mạng của các quốc gia, luật pháp thường gây ra mối lo ngại về chi phí tiềm ẩn đối với quyền tự do ngôn luận và các quyền cá nhân khác.
Các chính phủ có quyền lực rộng rãi để điều chỉnh các hoạt động liên quan đến an ninh mạng theo mặc định có quyền kiểm soát các dịch vụ kỹ thuật số. Điều này thường dẫn đến việc nhắm mục tiêu vào các hoạt động báo chí và người tố cáo bằng cách yêu cầu “sự phê duyệt trước theo các tiêu chuẩn tùy tiện có thể thay đổi hoặc thu hồi”, theo Điều 19, một tổ chức nhân quyền.
Ví dụ, dự luật an ninh mạng của Malaysia là “không cần thiết và có sai sót trong tình trạng hiện tại”, tổ chức này cho biết.
Tổ chức này cho biết: “Mặc dù đóng vai trò là một công cụ 'an ninh mạng', Dự luật sẽ trao cho chính phủ quyền kiểm soát không thể giải thích được đối với các hoạt động liên quan đến máy tính, cũng như quyền lực khám xét và thu giữ gần như không giới hạn”. cho biết trong một phân tích của dự luật. “Các quy định hình sự của nó không yêu cầu bất kỳ ý định vi phạm thực tế nào, từ đó đưa ra nhiều hành vi phạm tội nghiêm khắc.”
Đặc biệt, các nhà nghiên cứu an ninh mạng có thể gặp nguy hiểm vì việc phát hành mã nguồn hoặc nghiên cứu tấn công mạng sẽ cần phải có giấy phép, tổ chức này cho biết.
Tuy nhiên, các yêu cầu cấp phép thường chỉ là đóng dấu của chính phủ đối với các phương pháp chứng nhận tốt nhất đã tồn tại và yêu cầu người xin việc phải có chứng chỉ an ninh mạng cụ thể, nhưng mang tính địa phương, Lukatsky của Positive Technologies cho biết.
Ví dụ, cách tiếp cận mà Ghana đã theo đuổi “giống như việc thành lập cơ quan đăng ký tất cả các chuyên gia an ninh mạng vì ở quốc gia này hay bất kỳ quốc gia nào khác khó có nhiều chuyên gia độc lập có thể làm việc với các tổ chức nghiêm túc, nơi có rủi ro khi tuyển dụng. nhân sự không đủ tiêu chuẩn là quá cao”, ông nói. “Lý do chính cho những yêu cầu như vậy là khi số lượng các cuộc tấn công mạng tăng lên, cần có các chuyên gia hiểu rõ những gì họ đang làm và lý do họ làm việc đó để phát hiện và ngăn chặn chúng - cách áp dụng các thông lệ quốc tế tốt nhất và cách điều chỉnh chúng cho phù hợp với địa phương. chi tiết cụ thể.”
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/cyber-risk/licensed-to-bill-nations-mandate-certification-licensure-of-cybersecurity-pros
