Kategori Lesen NACSA Keselamatan Siber 2026: MSS, Pentest, Forensik dan Lebih
Akta Keselamatan Siber 2024 (Akta 854) memperkenalkan rejim pelesenan untuk pembekal perkhidmatan keselamatan siber tertentu di Malaysia. Walaupun butiran khusus berkembang melalui peraturan pelaksanaan, kategori utama yang dijangka memerlukan lesen termasuk Managed Security Services (MSS), ujian penembusan, dan respons insiden / forensik digital. Panduan ini menerangkan setiap kategori secara mendalam — apa yang termasuk, apa yang tidak, dokumentasi yang biasanya diperlukan dalam permohonan, dan implikasi praktikal untuk pelanggan korporat yang memilih pembekal.
Mengapa pelesenan kategori-spesifik diperkenalkan
Sebelum Akta 854, pasaran perkhidmatan keselamatan siber Malaysia adalah relatif tanpa kawalan formal — sesiapa boleh mengiklankan diri sebagai 'syarikat pentest' atau 'pembekal SOC' tanpa keperluan kelayakan minimum. Ini menghasilkan campuran kualiti: ada syarikat bersijil CREST yang serius, dan ada juga 'pemilik laptop dengan langganan Nessus' yang menjual laporan auto-scan sebagai 'pentest'.
Rejim pelesenan kategori-spesifik bertujuan untuk: (a) memastikan pembekal memenuhi piawaian kompetensi minimum, (b) memberi pelanggan satu sumber yang boleh dipercayai untuk mengesahkan kredibiliti vendor, (c) mewujudkan saluran rasmi untuk aduan dan tindakan tatatertib, dan (d) menggalakkan industri keselamatan siber tempatan yang lebih matang dan boleh dieksport.
Bagi pembekal yang sudah serius (CREST, ISO 27001, kakitangan bertauliah), pelesenan adalah kelebihan kompetitif yang membezakan mereka. Bagi vendor amatur, ia ialah halangan masuk yang melindungi pasaran.
Kategori 1 — Managed Security Services (MSS)
Managed Security Services (MSS) merangkumi syarikat yang menyediakan pemantauan keselamatan berterusan, pengurusan peranti keselamatan (firewall, EDR), dan tindak balas alert kepada pelanggan luar. Ini termasuk SOC as a Service, Managed Detection and Response (MDR), Managed SIEM, dan perkhidmatan threat intelligence.
Dalam Akta 854, MSS adalah salah satu kategori utama yang dijangka memerlukan pelesenan kerana akses langsung yang luas kepada data dan sistem pelanggan. Vendor MSS biasanya mempunyai keistimewaan masuk ke log audit, peristiwa rangkaian, dan kadang-kadang sistem core pelanggan. Tahap keistimewaan ini memerlukan tahap akauntabiliti yang sesuai.
Dokumen yang biasanya diperlukan dalam permohonan lesen MSS: (1) sijil pendaftaran syarikat (SSM), (2) polisi keselamatan dalaman dan ISMS (lazimnya ISO 27001), (3) bukti pasukan SOC dengan kelayakan minimum (analis L1/L2/L3 dengan sijil seperti GCIA, GCIH, GMON), (4) bukti infrastruktur SOC tempatan atau setidaknya kawalan data residency, (5) insurans profesional yang mencukupi, dan (6) polisi pengurusan insiden dan kerahsiaan pelanggan.
Kategori 2 — Ujian Penembusan (Penetration Testing)
Ujian penembusan adalah kategori dengan profil risiko tinggi kerana pembekal secara aktif melakukan tindakan yang dalam konteks lain akan menjadi serangan siber — eksploitasi kerentanan, akses tanpa izin, eskalasi keistimewaan. Tanpa pengaturan formal, ini boleh mencipta isu undang-undang dan moral hazard.
Pelesenan pentest di bawah Akta 854 dijangka mengkehendaki: bukti kakitangan teknikal bersijil (CREST CRT/CCT minimum, atau OSCP/OSCE/OSEE), polisi rules of engagement (RoE) yang terdokumen, polisi pengendalian data sensitif yang ditemui semasa engagement (selalunya bersifat highly confidential — siapa boleh akses, tempoh retention, mekanisme pemusnahan), polisi laporan dan eskalasi penemuan kritikal, dan insurans profesional (lazimnya minimum RM5 juta).
Pelesenan juga akan membezakan jenis pengujian — pentest web/mobile/network adalah satu band; red team intelligence-led ialah band yang lebih tinggi yang mungkin memerlukan kelayakan tambahan dan pemeriksaan latar belakang kakitangan. Vendor yang ingin menawarkan kedua-dua perlu memperolehi kelayakan untuk setiap.
Bagi pelanggan, pengaturan ini bermakna: jika anda mahu pentest yang diiktiraf untuk audit BNM, juruaudit luar, atau pengeluaran kepada regulator, pilih vendor berlesen. Sebut harga RM6,000 dari vendor tidak berlesen dengan 'laporan PDF' biasanya tidak akan memuaskan auditor.
Kategori 3 — Respons Insiden dan Forensik Digital
Respons insiden (Incident Response) dan forensik digital (Digital Forensics, DFIR) ialah perkhidmatan yang dipanggil semasa atau selepas insiden keselamatan untuk mengandung kerosakan, mengumpul bukti, melakukan analisis akar punca, dan menyokong tindakan undang-undang jika perlu. Profil risiko: pembekal mempunyai akses kepada bukti yang mungkin digunakan dalam mahkamah, data peribadi pelanggan yang terjejas, dan sistem yang sedang dalam keadaan kritikal.
Pelesenan DFIR/IR dijangka mengkehendaki: kakitangan teknikal dengan sijil forensik (GCFE, GCFA, EnCase Certified Examiner, Cellebrite CCO/CCPA), prosedur chain-of-custody yang didokumenkan, fasiliti makmal forensik tempatan dengan kawalan akses (kunci fizikal, kamera, log akses), polisi pengendalian bukti yang patuh Akta Bukti Malaysia 1950 dan Akta Komunikasi dan Multimedia 1998, dan rakan kongsi peguam untuk pengeluaran bukti kepada PDRM atau MCMC apabila diperlukan.
Bagi syarikat Malaysia yang menghadapi serangan ransomware atau breach data, menggunakan vendor IR berlesen memastikan bukti yang dikumpul boleh digunakan dalam tindakan undang-undang berikutnya (insurans, tindakan terhadap orang dalam, kerjasama dengan PDRM). Vendor tidak berlesen dengan procedure ad-hoc berisiko membuat bukti dicabar dalam mahkamah.
Jadual perbandingan tiga kategori utama
Jadual berikut meringkaskan keperluan tipikal untuk tiga kategori utama. Butiran khusus berkembang melalui peraturan pelaksanaan NACSA — gunakan ini sebagai panduan awal sahaja.
| Dimensi | MSS | Pentest | DFIR/IR |
|---|---|---|---|
| Akses kepada sistem pelanggan | Berterusan, luas | Terhad, semasa engagement | Krisis-driven, terhad |
| Sijil teknikal minimum | GCIA, GCIH, GMON | CREST CRT, OSCP | GCFE, GCFA, EnCase CE |
| Insurans profesional minimum | Tinggi (RM10 juta+) | Sederhana (RM5 juta) | Tinggi (RM10 juta+) |
| Polisi data residency | Penting — data berterusan | Penting — sampel data | Kritikal — bukti undang-undang |
| Fasiliti khusus | SOC tempatan | Persekitaran ujian terkawal | Makmal forensik dengan chain-of-custody |
| Kerjasama dengan agensi | NACSA (notifikasi) | Tidak biasa | PDRM, MCMC, peguam pelanggan |
| Pelanggan dalam sektor regulasi | Wajib gunakan vendor berlesen | Wajib untuk audit BNM/PCI | Wajib untuk insurans siber |
Implikasi praktikal untuk pelanggan korporat
Untuk pelanggan korporat Malaysia, pengaturan baru ini menambah tetapi tidak menggantikan due diligence vendor sedia ada. Langkah-langkah praktikal untuk procurement:
- Tambah 'status lesen NACSA' kepada borang vendor questionnaire standard anda.
- Minta salinan lesen (atau bukti permohonan dalam proses) sebagai sebahagian RFP.
- Sahkan status melalui portal NACSA secara berkala — bukan hanya pada masa pemilihan vendor.
- Untuk kontrak jangka panjang, masukkan klausa 'kehilangan lesen NACSA' sebagai sebab penamatan.
- Untuk vendor asing, dapatkan bukti pengaturan pematuhan (entiti MY, rakan kongsi berlesen, atau skop terhad kepada aktiviti bukan tertakluk).
- Nota penting: Maklumat dalam artikel ini bersifat panduan umum. Organisasi disyorkan untuk merujuk teks rasmi akta, garis panduan terkini regulator (BNM, NACSA, Pesuruhjaya Perlindungan Data Peribadi) dan mendapatkan nasihat peguam atau juruaudit bertauliah sebelum membuat keputusan pematuhan.
Implikasi praktikal untuk vendor (pembekal perkhidmatan)
Bagi syarikat keselamatan siber Malaysia, perubahan ini ialah kelebihan kompetitif yang besar jika anda sudah mempunyai kelayakan asas. Untuk vendor yang masih dalam tahap awal:
- Mulakan dengan pemetaan kakitangan kepada kelayakan sijil yang dijangka — kos peningkatan kelayakan (CREST CRT ~RM18,000 setiap kakitangan, OSCP ~RM5,000) adalah pelaburan permulaan.
- Bangunkan dan dokumenkan polisi dalaman (ISMS, RoE, chain-of-custody, data residency) — banyak elemen ini berguna walaupun di luar pelesenan.
- Dapatkan insurans profesional yang mencukupi awal — premium biasanya RM10,000-RM50,000 setahun bergantung skop.
- Mulakan permohonan awal — proses NACSA biasanya mengambil beberapa bulan, dan pelanggan B2B sudah mula meminta status pelesenan.
Status nCrypt Malaysia
nCrypt Malaysia komited kepada pematuhan penuh dengan rangka kerja pelesenan NACSA di bawah Akta 854. Pasukan teknikal kami mengekalkan sijil profesional bertahap industri (CREST, OSCP, GIAC), polisi dalaman selaras dengan ISO 27001, dan insurans profesional yang mencukupi. Sila rujuk halaman /company/certifications untuk status terkini akreditasi syarikat dan kakitangan.
Bacaan Lanjut & Khidmat nCrypt
Soalan Lazim
Adakah perkhidmatan audit ISO 27001 atau PDPA juga memerlukan lesen NACSA?
Audit pematuhan tulen (ISO 27001 lead auditor, PDPA gap assessment) biasanya tidak tertakluk dalam kategori pelesenan utama Akta 854. Walau bagaimanapun, jika audit melibatkan komponen ujian teknikal aktif (cth: pentest sebagai sebahagian audit), komponen itu mungkin tertakluk. Rujuk peraturan pelaksanaan terkini NACSA untuk butiran.
Bolehkah saya menggunakan vendor luar negara untuk pentest jika mereka tidak berlesen NACSA?
Risiko praktikal: hasil pentest mungkin tidak diterima oleh auditor BNM, juruaudit luar, atau regulator sektor. Kebanyakan vendor luar negara serius akan mendaftar entiti MY atau bekerjasama dengan rakan kongsi tempatan berlesen. Untuk pelanggan dalam sektor regulasi, jangan ambil risiko — pilih vendor MY berlesen atau gabungan MY+luar negara dengan entiti utama tempatan.
Bagaimana saya menyemak status lesen vendor?
Portal NACSA akan menyediakan saluran pengesahan rasmi. Sementara itu, minta salinan lesen vendor (atau bukti permohonan dalam proses), salinan sijil profesional kakitangan teras (CREST, OSCP), dan dokumen insurans profesional. Sertakan ini dalam kontrak sebagai representations and warranties.
Adakah freelancer pentester individu tertakluk kepada pelesenan?
Rejim pelesenan utama menyasarkan entiti syarikat, bukan individu. Walau bagaimanapun, perkhidmatan profesional di Malaysia biasanya disampaikan melalui entiti — freelancer mungkin perlu beroperasi melalui syarikat berlesen sebagai sub-kontraktor. Risiko kompliance untuk pelanggan korporat menggunakan freelancer kekal tinggi.
Berapa lama proses permohonan lesen NACSA biasanya?
Berdasarkan kelas vendor awal yang melalui proses 2024-2026, tipikal 3-9 bulan dari permohonan hingga keputusan, bergantung kepada kelengkapan dokumentasi dan tahap soalan susulan. Vendor dengan ISO 27001 dan kakitangan bersijil sedia ada biasanya bergerak lebih cepat berbanding vendor yang membina semuanya dari sifar.
Bincang dengan Pasukan nCrypt
Pasukan CREST-aligned kami membantu institusi kewangan, agensi kerajaan dan PKS Malaysia merancang ujian penembusan, pematuhan dan respons insiden. Dapatkan sebut harga atau tempah perbincangan percuma hari ini.