国家要求网络安全专业人员获得许可

国家要求网络安全专业人员获得许可

时间戳记:22年2024月9日下午00:XNUMX
国家要求网络安全专业人员获得柏拉图区块链数据情报许可。垂直搜索。人工智能。

马来西亚已与至少两个其他国家(新加坡和加纳)一起通过法律,要求网络安全专业人员或其公司获得认证和许可,才能在本国提供某些网络安全服务。

继上个月在下议院通过《3 年网络安全法案》后,2024 月 XNUMX 日,马来西亚国会上议院(下议院)通过了《XNUMX 年网络安全法案》。该法案将在国王签署并在政府公报上公布后成为法律,其结构为伞式立法,并将作为未来政府活动确保关键基础设施和改善国家网络安全状况的框架。

总部位于马来西亚的 Christopher & Lee Ong 律师事务所表示,虽然立法强制要求获得许可,但对网络安全专业人员和服务提供商的实际要求将在稍后提出 在咨询中指出.

“虽然该法案没有具体说明受许可制度约束的网络安全服务类型……这可能适用于提供保护他人信息和通信技术设备的服务的服务提供商——[例如]渗透测试提供商和安全运营中心,”该律师事务所表示。

马来西亚加入亚太邻国新加坡的行列,要求 网络安全服务提供商 (CSP) 的许可 过去两年,以及西非国家加纳,这需要 CSP 的许可和网络安全专业人员的认证。更广泛地说,政府 例如欧盟 已标准化网络安全认证,而其他机构 - 例如美国纽约州 — 要求特定行业的网络安全能力获得认证和许可。

加纳黑客许可

总部位于莫斯科的网络安全提供商 Positive Technologies 的网络安全业务咨询董事总经理 Alexey Lukatsky 表示,虽然许多政府要求企业获得提供网络安全服务的许可证,但加纳是唯一要求个人获得许可证的国家。

“加纳方法的独特之处在于,许可要求并不适用于所有网络安全专家,而是适用于那些计划在四个特定领域工作的人——漏洞评估和渗透测试、数字取证、托管网络安全服务、网络安全培训和网络安全GRC,”他说。

新加坡政府已采取积极主动的方式,促使私营企业采用严格的网络安全法规,迄今为止,各组织已 执行率70%以上 “Cyber​​ Essentials”认证所需的要求。

“我们肯定认为,制定最低标准将在整个生态系统中产生更多信心,因为将确保渗透测试、安全审计和所提供的事件响应服务符合行业期望和不断发展的技术”,贝克·麦坚时国际成员所 Wong & Partners 知识产权与技术业务合伙人 Serene Kan 说道。

在美国,此类努力并未取得多大进展。相反,许多专业组织 提供特定技能的认证。例如,ISC2 负责管理著名的信息系统安全专家 (CISSP) 认证,而 CompTIA 提供 Security+ 认证,ISACA(前身为信息系统审计与控制协会)提供信息系统审计师 (CISA) 认证,除其他外。

ISC2 和 ISACA 拒绝对本文发表评论。

言论自由缺乏保护

虽然这些要求似乎提高了各国网络安全态势的整体成熟度,但立法常常引起人们对言论自由和其他个人权利的潜在成本的担忧。

获得广泛权力来监管网络安全相关活动的政府默认拥有控制数字服务的权力。根据人权组织 Article 19 的说法,这通常会导致针对新闻活动和举报人,要求“根据可能改变或撤销的任意标准进行预先批准”。

例如,该组织表示,马来西亚的网络安全法案“在目前的状态下是不必要的且存在缺陷”。

该组织称:“虽然该法案冒充‘网络安全’工具,但它将赋予政府对计算机相关活动的不负责任的控制,以及几乎无限的搜查和扣押权力。” 在对该法案的分析中说。 “其刑事条款不要求任何实际违反意图,​​有效地引入了许多严格责任犯罪。”

该组织表示,特别是网络安全研究人员可能会面临危险,因为发布源代码或网络攻击性研究需要许可证。

然而,Positive Technologies 的 Lukatsky 表示,许可要求通常只是在现有的认证最佳实践上打上政府的印记,并要求求职者拥有特定的网络安全认证,但带有本地特色。

例如,加纳采取的方法“类似于建立所有网络安全专家的登记册,因为在这个国家或任何其他国家不太可能有许多独立的专家可以与严肃的组织合作,而在这些组织中,雇用风险不合格的人员太多了,”他说。 “提出此类要求的主要原因是,随着网络攻击数量的增加,需要了解他们在做什么以及为什么这样做的专家来检测和预防它们 - 如何应用国际最佳实践以及如何使它们适应当地情况具体情况。”

时间戳记:

更多来自 暗读