الأمن السيبراني في المملكة العربية السعودية
المقدمة:
أصبح الأمن السيبراني في العالم كله اليوم ضرورة ملحة على جميع المستويات وعلى جميع أوجه العمل، وذلك بسبب التداحل الكبير الذي أحدث عالم الأنترنت في جميع الأمور المتعلقة بالحياة العملية على مستوى الأشخاص أو مستوى الشركات
فإن العالم اليوم أضحى بكل أساليبه، وأنماطه وتفاصيله مرتبطًا ارتباطا وثيقا بالشبكات العالمية المتجددة، وبأنظمة تقنية المعلومات وأنظمة التقنيات التشغيلية؛ بل أصبح قرية كونية صغيرة يتفاعل الجميع فيها ويتواصلون ويتشاركون في المعلومات والأفكار، وارتبطت فيه أغلب الأنشطة الحياتية الأساسية بانسيابية المعلومات وأمانها وتكامل أنظمتها.
ويتهيأ العالم مع هذا التقدم لاستقبال ثورة صناعية رابعة تقوم على تقنيات تتسم بالنمو المتسارع في قدرات المعالجة الحاسوبية وقدرات التخزين الهائلة للبيانات وتبادلها، والاستعداد للتعامل مع منتجات ومعطيات الذكاء الاصطناعي والروبوتات والأجهزة ذاتية التحكم، وكل ذلك يتطلب المواكبة الذكية، وتنمية القدرات النوعية المختلفة، والتكييف وفق متطلبات الأمن السيبراني.
ما هو الأمن السيبراني؟
والأمن السيبراني ربما يكون مصلح جديد فيهمنا هنا أن نوضح معنا بصورة مبسطة
فلقد تم تعرف الأمن السيبراني من قبل الهيئة الوطنية للأمن السيبراني في المملكة العربية السعودية بأنه.
“حماية الشبكات وأنظمة تقنية المعلومات وأنظمة التقنيات التشغيلية ومكوناتها من أجهزة وبرمجيات، وما تقدمه من خدمات، وما تحويه من بيانات، من أي اختراق أو تعطيل أو تعديل أو دخول أو استخدام أو استغلال غير مشروع. كما يشمل هذا المفهوم أمن المعلومات والأمن الإلكتروني والأمن الرقمي ونحوها.”
الأمن السيبراني في المملكة العربية السعودية:
انطلاقًا من إدراك المملكة العربية السعودية لأهمية الأمن السيبراني المتغيرات وتفاعلها مع مستجدات العصر وتطوراته، وترجمةً لنهج خادم الحرمين الشريفين الملك سلمان بن عبد العزيز وسمو ولي العهد حفظهم الله في قيادة بلادنا لتكون نموذجًا ناجحًا ورائدًا في العالم على كافة الأصعدة، ولرؤية المملكة 2030
التي جعلت التحول نحو العالم الرقمي وتنمية البنية التحتية الرقمية ضمن مستهدفاتها، واستشعارًا لأهمية البيانات والأنظمة التقنية والبنى التحتية الحساسة وارتباطها بالمصالح الوطنية، وأهمية حمايتها من أي تهديدات أو مخاطر يشهدها الفضاء السيبراني.
فقد قامت المملكة العربية السعودية بأسيس هيئة كاملة لتنظيم عمل الأمن السيبراني، ويأتي تأسيس الهيئة الوطنية للأمن السيبراني وارتباطها بالملك -حفظه الله-
وذلك وفق الأمر الملكي الكريم بالموافقة على تنظيمها بتاريخ 1439/2/11 هـ لتكون الهيئة هي الجهة المختصة في المملكة بالأمن السيبراني، والمرجع الوطني في شؤونه،
وتهدف إلى تعزيزه؛ حمايةً للمصالح الحيوية للدولة وأمنها الوطني والبنى التحتية الحساسة والقطاعات ذات الأولوية والخدمات والأنشطة الحكومية. ولا يخلي ذلك أي جهة عامة أو خاصة أو غيرها من مسؤوليتها تجاه أمنها السيبراني بما لا يتعارض مع اختصاصات ومهمات الهيئة الواردة في تنظيمها.
أهم الأعمال التي تقوم به هيئة الأمن السيبراني في المملكة العربية السعودية:
تقوم هيئة الأمن السيبراني في المملكة العربية السعودية بمجموعة من المهام المنوطة بها، والتي تحافظ بها على الأمور الأمنية المتعلقة بأمن المعلومات، وأمن الأنترنت جميعًا ومن هذه المهام:
1 – إعداد الاستراتيجية الوطنية للأمن السيبراني، والإشراف على تنفيذها، واقتراح تحديثها.
2 – وضع السياسات وآليات الحوكمة والأطر والمعايير والضوابط والإرشادات المتعلقة بالأمن السيبراني، وتعميمها على الجهات ذات العلاقة، ومتابعة الالتزام بها، وتحديثها.
3 – تصنيف وتحديد البنى التحتية الحساسة والجهات المرتبطة بها، وتحديد القطاعات و الجهات ذات الأولوية بالأمن السيبراني.
4 – وضع أطر إدارة المخاطر المتعلقة بالأمن السيبراني، ومتابعة الالتزام بها، وتحديثها.
5 – إشعار الجهات المعنية بالمخاطر والتهديدات ذات العلاقة بالأمن السيبراني.
6 – وضع أطر الاستجابة للحوادث المتعلقة بالأمن السيبراني، ومتابعة الالتزام بها، وتحديثها.
7 – بناء مراكز العمليات الوطنية الخاصة بالأمن السيبراني – وما في حكمها – بكافة أنواعها، بما في ذلك مراكز التحكم والسيطرة والاستطلاع والرصد وتبادل وتحليل المعلومات،
وكذلك بناء مراكز العمليات القطاعية الخاصة بالأمن السيبراني – عند الحاجة -، وبناء المنصات ذات العلاقة، والإشراف عليها، وتشغيلها.
8 – القيام – بنفسها أو من خلال غيرها – بالأنشطة والعمليات المتعلقة بالأمن السيبراني.
9 – تنظيم آلية مشاركة المعلومات والبيانات المرتبطة بالأمن السيبراني بين الجهات و القطاعات المختلفة في المملكة، والإشراف على ذلك.
10 – تقديم المساندة للجهات المختصة – في حال طلبها وفقًا للإمكانيات المتاحة لدى الهيئة- خلال الاستدلال والتحقيق في الجرائم المتعلقة بالأمن السيبراني.
11 – وضع السياسات والمعايير الوطنية للتشفير، ومتابعة الالتزام بها، وتحديثها.
12 – وضع ما يلزم من معايير أو ضوابط للفسح والترخيص باستيراد وتصدير واستخدام الأجهزة والبرمجيات ذات الحساسية العالية للأمن السيبراني التي تحددها الهيئة، ومتابعة الالتزام بها، وتحديثها، وذلك دون إخلال بأي معايير أو ضوابط معتمدة لدى الجهات الأخرى ذات العلاقة.
13- بناء القدرات الوطنية المتخصصة في مجالات الأمن السيبراني، والمشاركة في إعداد البرامج التعليمية والتدريبية الخاصة بها، وإعداد المعايير المهنية والأطر وبناء وتنفيذ المقاييس والاختبارات القياسية المهنية ذات العلاقة.
14 – الترخيص بمزاولة الأفراد والجهات غير الحكومية للأنشطة والعمليات المتعلقة بالأمن السيبراني التي تحددها الهيئة.
15 – التواصل مع الجهات المماثلة خارج المملكة والجهات الخاصة لتبادل الخبرات، وتأسيس آليات للتعاون والشراكة معها، وفقاً للإجراءات المتبعة.
16 – تبادل الإنتاج التقني والمعرفي وتبادل البيانات والمعلومات مع الجهات المماثلة خارج المملكة.
17 – تمثيل المملكة في المنظمات والهيئات واللجان والمجموعات الثنائية والإقليمية والدولية ذات الصلة، ومتابعة تنفيذ التزامات المملكة الدولية الخاصة بالأمن السيبراني.
18 – رفع مستوى الوعي بالأمن السيبراني.
19 – تحفيز نمو قطاع الأمن السيبراني في المملكة، وتشجيع الابتكار والاستثمار فيه.
20 – إجراء الدراسات والبحوث والتطوير وعمليات التصنيع، ونقل التقنية وتطويرها في الأمن السيبراني وما يرتبط به من مجالات.
21 – اقتراح آليات رفع كفاءة الإنفاق في مجالات الأمن السيبراني.
22 – تطوير مؤشرات قياس الأداء الخاصة بالأمن السيبراني، وإعداد التقارير الدورية حول حالة الأمن السيبراني في المملكة على المستويين الوطني والقطاعي.
23 – اقتراح إصدار وتعديل الأنظمة واللوائح والقرارات ذات الصلة بالأمن السيبراني.
دور الجهات الحكومية والخاصة وغيرها تجاه الأمن السيبراني في المملكة العربية السعودية:
إن تعزيز الأمن السيبراني للمملكة العربية السعودية يتطلب تعاون كافة الجهات للعمل في منظومة وطنية متكاملة قادرة على مواجهة المخاطر السيبرانية وتقليل أثرها.
ولذلك فإن الهيئة الوطنية للأمن السيبراني تعتبر كل جهة، عامة كانت أو خاصة، شريكا أساسيًا لتحقيق الأهداف التي أنشئت من أجلها الهيئة.
وقد أكد تنظيم الهيئة على أنها الجهة المختصة في المملكة بالأمن السيبراني، وأن ذلك لا يخلي أي جهة عامة أو خاصة أو غيرها من مسؤوليتها تجاه أمنها السيبراني بما لا يتعارض مع اختصاصات ومهمات الهيئة الواردة في تنظيمها.
كما أكد الأمر السامي الكريم بتاريخ 1439/11/10 هـ على الآتي:
” على جميع الجهات الحكومية رفع مستوى أمنها السيبراني لحماية شبكاتها وأنظمتها وبياناتها الإلكترونية، والالتزام بما تصدره الهيئة الوطنية للأمن السيبراني من سياسات وأطر ومعايير وضوابط وإرشادات بهذا الشأن”.
وبحسب تنظيم الهيئة تلتزم كافة الجهات ذات العلاقة بما يأتي:
1 – تمكين الهيئة من مباشرة اختصاصاتها، وتنفيذ مهماتها بشكل كامل.
2 – إبلاغ الهيئة – بشكل فوري – بأي خطر أو تهديد أو اختراق لأمنها السيبراني واقع أو محتمل.
3 – تنفيذ السياسات واَليات الحوكمة والأطر، وتطبيق المعايير والضوابط التي تقرها الهيئة.
4 – التعاون التام مع الهيئة عند قيامها بأي أعمال تحرِ أو تدقيق أو تقييم للأمن للسيبراني
5 – تزويد الهيئة بالوثائق والمعلومات والبيانات والتقارير اللازمة للقيام باختصاصاتها ومهماتها، وتمكينها من فحص الأجهزة والشبكات والنظم والبرمجيات الخاصة بتلك الجهات.
ضوابط وإرشادات ضرورية صادرة من الهيئة الوطنية للامن السيبراني في المملكة العربية السعودية:
الهيئة الوطنية للأمن السيبراني في المملكة العربية السعودية حرصًا منها على أن يكون الجميع في أصدرت مجموعة من الإرشادات والضوابط من شأن الالتزام بها أن يحقق الأمن المنظمة التي تلتزم بهذه الضوابط وقد اشتملت اختصاصات ومهام الهيئة الوطنية للأمن السيبراني على وضع السياسات وآليات الحوكمة والأطر والمعايير والضوابط والإرشادات المتعلقة بالأمن السيبراني، وتعميمها على الجهات ذات العلاقة، ومتابعة الالتزام بها، وتحديثها.
وقد أصدرت الهيئة عدداً من الضوابط والأطر والإرشادات ذات العلاقة بالأمن السيبراني على المستوى الوطني بهدف تعزيز الأمن السيبراني في المملكة حماية للمصالح الحيوية للدولة وأمنها الوطني والبنى التحتية الحساسة والقطاعات ذات الأولوية والخدمات والأنشطة الحكومية.
وتشتمل الضوابط والأطر والإرشادات التي أصدرتها الهيئة ما يلي:
أولاً الضوابط العامة من هيئة الأمن السيبراني في المملكة العربية السعودية:
1 – الضوابط الأساسية للأمن السيبراني:
قامت الهيئة الوطنية للأمن السيبراني بتطوير الضوابط الأساسية للأمن السيبراني التي تهدف إلى توفير الحد الأدنى من المتطلبات الأساسية للأمن السيبراني المبنية على أفضل الممارسات والمعايير لتقليل المخاطر السيبرانية على الأصول المعلوماتية والتقنية للجهات من التهديدات الداخلية والخارجية.
تتكون الضوابط الأساسية للأمن السيبراني من 114 ضابطاً أساسياً، مقسمة على خمسة مكونات رئيسية، هي:
1 – حوكمة الأمن السيبراني
2 – تعزيز الأمن السيبراني
3 – صمود الأمن السيبراني
4 – الأمن السيبراني المتعلق بالأطراف الخارجية والحوسبة السحابية
5 – الأمن السيبراني لأنظمة التحكم الصناعي
وتعتبر الضوابط الأساسية للأمن السيبراني ضوابط إلزامية. حيث يجب على جميع الجهات، ضمن نطاق عمل هذه الضوابط، تنفيذ ما يحقق الالتزام الدائم والمستمر بهذه الضوابط.
2 – ضوابط الأمن السيبراني للأنظمة الحساسة
قامت الهيئة الوطنية للأمن السيبراني بتطوير ضوابط الأمن السيبراني للأنظمة الحساسة.
وتهدف هذه الضوابط إلى دعم الضوابط الأساسية للأمن السيبراني في توفير الحد الأدنى من متطلبات الأمن السيبراني للأنظمة الحساسة المبنية على أفضل الممارسات والمعايير؛ لتلبية الاحتياجات الحالية الأمنية ورفع جاهزية الجهات ضمن نطاق عمل هذه الضوابط حتى تتمكن من حماية أنظمتها الحساسة ومنع الوصول غير المصرح به لها، الذي ينجم عنه مخاطر وخسائر مكلفة على المستوى الوطني.
تتكون ضوابط الأمن السيبراني للأنظمة الحساسة من ٣٢ ضابطًا أساسيًا و٧٣ ضابطًا فرعيًا، مقسمة على أربعة مكونات رئيسة، هي:
1 – حوكمة الأمن السيبراني
2 – تعزيز الأمن السيبراني
3 – صمود الأمن السيبراني
4 – الأمن السيبراني المتعلق بالأطراف الخارجية والحوسبة السحابية
وتعتبر ضوابط الأمن السيبراني للأنظمة الحساسة ضوابط إلزامية، في حال تحقق أحد معايير تحديد الأنظمة الحساسة، حيث يجب على جميع الجهات ضمن نطاق عمل هذه الضوابط، تنفيذ ما يحقق الالتزام الدائم والمستمر بهذه الضوابط.
ثانيًا: الإرشادات العامة من هيئة الأمن السيبراني في المملكة العربية السعودية:
انطلاقاً من دور الهيئة الوطنية للأمن السيبراني في وضع الإرشادات المتعلقة بالأمن السيبراني وضمن جهود التعاون والتكامل بين الهيئة ومجلس التجارة الإلكترونية، فقد تم إصدار وثيقتي إرشادات الأمن السيبراني لموفري خدمة التجارة الإلكترونية و إرشادات الأمن السيبراني لمستهلكي التجارة الإلكترونية.
وتُقدم الوثيقتان إرشادات خاصة بموفري خدمة التجارة الإلكترونية من أصحاب المنشآت الصغيرة والمتوسطة وأصحاب المكاتب الصغيرة والمنزلية لحماية بيانات وأجهزة وخدمات التجارة الإلكترونية الخاصة بهم. كما تُقدم الوثيقتان الإرشادات اللازمة لمستهلكي التجارة الإلكترونية لتحقيق تجربة تسوق إلكترونية آمنة تُساهم في حماية أجهزتهم وحساباتهم ومعلوماتهم الشخصية أثناء عمليات التسوق الإلكترونية.
مذكرة إرشادية حول النظام الأوروبي لحماية البيانات الشخصية
في ضوء التطور الهائل الذي تتيحه التقنيات الحديثة، وخاصة فيما يتعلق بجمع البيانات الشخصية، ومعالجتها؛ وتحديد هوية الأشخاص وميولهم، وأطيافهم بشكل مباشر أو غير مباشر، ولما تمثله هذه البيانات الشخصية من أهمية؛ تعمل الكثير من الدول على توفير قوانين وتشريعات، تهدف إلى حماية حقوق مواطنيها، فيما يتعلق ببياناتهم الشخصية وخصوصيتها؛ ومن الأمثلة على ذلك، النظام الأوروبي لحماية البيانات الشخصية.
يعد النظام الأوروبي لحماية البيانات الشخصية بمثابة التغيير الأكثر أهمية في تشريعات خصوصية وحماية البيانات الشخصية خلال العقدين الماضيين.
ولما لهذا النظام من آثار قد تطال العديد من الأشخاص الطبيعيين أو المعنويين خارج حُدود الاتحاد الأوروبي؛ سعت الهيئة الوطنية للأمن السيبراني من خلال هذه المذكرة الإرشادية، إلى تقديم عرض مُجمل حول النظام الأوروبي لحماية البيانات الشخصية.
وتتضمن هذه المذكرة إرشادات عامة؛ تساعد الجهات الحكومية والخاصة في تحديد مدى القابلية لتطبيق النظام الأوروبي لحماية البيانات الشخصية عليها، أو على بعض أنشطتها، كما توضح هذه المذكرة -وبشكل مختصر وعام- الالتزامات المطلوبة للامتثال للنظام، مع الأخذ في الحسبان أن هذه المذكرة إرشادية؛ ولا تُعد بأي حال من الأحوال استشارة قانونية.
أدوات الأمن السيبراني
ضمن مساعي الهيئة الوطنية للأمن السيبراني لمساعدة الجهات في تطوير ورفع كفاءة الأمن السيبراني وزيادة فعاليته لديها، قامت الهيئة بتطوير أدوات الأمن السيبراني وهي عبارة عن محتوى يشمل نماذج توضيحية غير إلزامية لسياسات ومعايير ووثائق الأمن السيبراني.
كما يلزم الجهات المستفيدة من هذه النماذج إعادة تطويرها بناءً على نتائج تقييم المخاطر السيبرانية للجهة، لتتوافق مع متطلبات الأعمال التنظيمية لديها وبما يضمن الالتزام للمتطلبات التشريعية والتنظيمية ذات العلاقة.
مشاركة المعلومات من قبل الهيئة العامة للأمن السيبراني في المملكة العربية السعودية:
مشاركة المعلومات في مجال الأمن السيبراني هي عملية تبادل المعلومات بين أكثر من جهة بهدف رفع مستوى حماية البنى التحتية لدى تلك الجهات. كما تساهم في تأمين الشبكات، وتنفيذ الاحترازات الأمنية اللازمة، والحد من الهجمات في وقت مناسب من خلال مشاركة مؤشرات التهديدات وأفضل
ممارسات الحماية والدروس المستفادة في مواجهة حوادث الأمن السيبراني. لهذا يوفر برنامج مشاركة المعلومات في الهيئة بيئة تعاونية من أجل فهم أفضل لمشهد تهديدات الأمن السيبراني الناشئة، وتقديم التوصيات اللازمة التي من شأنها تفعيل سبل حماية البنى التحتية في الجهات الوطنية. حيث تقوم الهيئة بمشاركة المعلومات بشكل آمن من وإلى الجهات مع المحافظة على سرية الجهات المصابة.
وتتم مشاركة معلومات عن التهديدات السيبرانية، ويشمل ذلك أي معلومات يمكنها مساعدة جهة لتحديد، أو تقييم، أو رصد، أو الاستجابة للتهديدات السيبرانية. ومن أمثلة مشاركة معلومات التهديدات السيبرانية؛ مؤشرات التهديدات أو الهجوم، التكتيكات والتقنيات والإجراءات، والتنبيهات الأمنية، وتقارير التهديدات الاستخباراتية،
وتوصيات للحد من التهديدات. وتحتاج هذه المعلومات إلى تمثيل موحد ومنظم لجعلها سهلة التحكم. وتعتمد الهيئة معايير عالمية لبناء منظم للمعلومة.
كما تسعى الهيئة إلى بناء منصة وطنية موحدة تساعد في تبادل آمن وسريع لمعلومات التهديدات وفقاً لأفضل المواصفات والمعايير المتبعة عالمياً في بناء تلك المنصة، تهدف لخلق مشاركة فاعلة وبيئة تعاونية لتحليل ومشاركة المعلومات، وتعتمد الهيئة معايير عالمية لأتمتة نقل معلومات التهديدات
ما بين المنصة وشبكة الجهات، والمساهمة في سرعة وصول المعلومة واتخاذ الإجراءات الاحترازية للحد من الاختراقات التي قد تنشأ عن التهديدات السيبرانية.
تتيح الهيئة إمكانية الاستفادة من برنامج مشاركة المعلومات من خلال تسجيل عضوية الجهة المستفيدة لديها، وتستهدف الهيئة بالدرجة الأساسية في هذا البرنامج جميع القطاعات الحكومية بالإضافة إلى الجهات الحيوية والحساسة من القطاع الخاص. حيث يجب على الجهة الراغبة في الاستفادة من البرنامج تقديم طلب تسجيل عضوية إلى إدارة مشاركة المعلومات بالهيئة.
تستند معالجة طلبات التسجيل على معايير محددة لدى الهيئة تعتمد على أهمية وحساسية البنية التحتية للجهة، وكذلك مدى تأثير خطر إصابة البنية التحتية فيها على مستوى الأمن الوطني. كما يشترط المشاركة الفاعلة من قِبل الجهات الأعضاء بتقديم ومشاركة معلومات التهديدات السيبرانية والتي قد يستفيد منها الأعضاء الآخرون أو تفيد الأمن الوطني السيبراني على وجه العموم.
وتساعد المنصة في توفير معلومات التهديدات السيبرانية والتي قامت الهيئة برصدها وتحليلها وتقديم المعلومات الكافية لاتخاذ الإجراءات الاحترازية، وذلك للحد من إمكانية استغلال الثغرات ونقاط الضعف في البنى التحتية لجهات الأعضاء. حيث يتم رصد التهديدات ومتابعة مؤشرات التهديدات السيبرانية،
بغرض تحليلها والتأكد منها. بعد ذلك يقوم فريق مشاركة المعلومات بالهيئة بتطوير تحذيرات بناء على نتائج التحليل، ومشاركتها من خلال المنصة مع الجهات ذات العلاقة. وتضمن الهيئة توفر المعلومات الكافية ضمن التحذير والتي تساعد الجهات في اتخاذ الإجراءات الاحترازية والتعديلية حسب الحاجة.
كما يوفر برنامج مشاركة المعلومات بيئة تعاونية تساعد الأعضاء على العمل الجماعي لرفع مستوى النضج الأمني للجهات الأعضاء، وتقديم المساعدة اللازمة عند الحاجة. ويضمن ذلك المنتديات وورش العمل والجلسات التقنية بالإضافة إلى الاختبارات التجريبية للتعامل الحوادث.
الأسئلة الشائعة المتعلقة بـ “مشاركة المعلومات”
وهناك مجموعة من الأسئلة مشهور عن مشاركة المعلومات من قبل الهيئة العامة للأمن السيبراني في المملكة العربية السعودية
تتبادر عدة أسئلة لأذهان مختصي الأمن السيبراني في مختلف الجهات قبل الشروع في عملية مشاركة المعلومات والتي تخص معلومات تهديدات أمنية حساسة، ومن ذلك الأسئلة التالية:
مع من يجب أن أشارك معلومات التهديدات السيبرانية؟
تتم مشاركة المعلومات مع الجهات الوطنية والمنشآت الحيوية في المملكة العربية السعودية.
هل المعلومات ملائمة وكافية ودقيقة ويتم تسليمها في الوقت المناسب؟
تقوم فرق الهيئة بالعمل على رصد وتحليل بيانات التهديدات للفضاء السيبراني السعودي واستخلاص مؤشرات الاختراق ومشاركة فقط المعلومات التي تمكن الجهات من حماية بنيتها التحتية. ويخضع نوع وكمية ووقت مشاركة تلك المعلومات لمعايير الهيئة بما يمكن الهيئة من أداء مهمة حماية الفضاء السعودي على الوجه الأكمل وحيث لا يؤثر على مهام المراقبة والرصد.
هل يتم توصيلها عبر قنوات آمنة؟
نعم ويوجد عدة تصنيفات للمعلومات التي تتم مشاركتها من قبل إدارة مشاركة المعلومات وبناءً على تصنيف المعلومة يتم تحديد قناة التواصل المناسبة.
ما هي آليات مشاركة المعلومات التي سيتم استخدامها؟
توجد أكثر من آلية لمشاركة المعلومات تحدد حسب تصنيف المعلومة. حيث يتم مشاركة المعلومات السرية والسرية للغاية بشكل يدوي حسب معايير السرية لدى الهيئة، بينما يتم مشاركة المعلومات الحساسة فأقل بشكل آلي عبر قنوات آمنة.
هل المعلومات المشاركة يمكن أن تستخدم من قبل جميع الأطراف؟
تم اعتماد بروتوكول الإشارة الضوئية لتوضيح حدود استهلاك المعلومات المشاركة، وهناك أربعة ألوان (إشارات ضوئية):
أحمر – شخصي وسري للمستلم فقط
المستلم لا يحق له مشاركة المصنف بالإشارة الحمراء مع أي فرد سواء من داخل او خارج المنشأة خارج النطاق المحدد للاستلام.
برتقالي – مشاركة محدودة
المستلم بالإشارة البرتقالية يمكنه مشاركة المعلومات في نفس المنشأة مع الأشخاص المعنين فقط، ومن يتطلب الأمر منه اتخاذ إجراء يخص المعلومة.
أخضر -مشاركة في نفس المجتمع
حيث يمكنك مشاركتها مع آخرين من منشأتك أو منشأة أخرى على علاقة معكم أو بنفس القطاع، ولا يسمح بتبادلها أو نشرها من خلال القنوات العامة.
أبيض – غير محدود
يسمح بتبادلها أو نشرها من خلال القنوات العامة، مع الأخذ بالاعتبار الحقوق الفكرية.
كيف يمكن استخدام المعلومات التي تتم مشاركتها؟
تقدم الهيئة من خلال المعلومات المشاركة النصائح والخطوات لتحسين حماية البنى التحتية للجهات الحكومية والمنشآت الحيوية فيما يتعلق بالأمن السيبراني والاستجابة للحوادث الإلكترونية وبناء الاستراتيجيات والسياسات والمعايير.
الأكاديمية الوطنية للأمن السيبراني في المملكة العربية السعودية
الأكاديمية الوطنية للأمن السيبراني في المملكة العربية السعودية تمثل الكوادر الوطنية المتخصصة أحد أهم العوامل لتعزيز الأمن السيبراني.
وقد أكدت الدراسات والتقارير الدولية أن كافة الدول – بما في ذلك الدول الرائدة في مجالات التقنية والهندسة – تعاني في الوقت الحالي من نقص واضح في الكوادر المتخصصة في مجال الأمن السيبراني وأن الفجوة بين العرض والطلب في الكوادر البشرية في هذا المجال تزداد اتساعا خلال السنوات القادمة، مما يشكل تحديا كبيرا في هذا المجال المهم.
وحيث اشتمل تنظيم الهيئة الوطنية للأمن السيبراني على اختصاصها ببناء القدرات الوطنية المتخصصة في مجالات الأمن السيبراني، والمشاركة في إعداد البرامج التدريبية والتعليمية الخاصة بها، وإعداد المعايير المهنية والأطر وبناء وتنفيذ المقاييس والاختبارات القياسية المهنية ذات العلاقة؛ فقد بادرت الهيئة بإنشاء الأكاديمية الوطنية للأمن السيبراني لتأهيل الكوادر الوطنية المتخصصة في هذا المجال من خلال برامج تدريب وتمارين سيبرانية متقدمة.
نبذة عن الأكاديمية
تتبع الأكاديمية للهيئة الوطنية للأمن السيبراني وتعمل على بناء وتأهيل الكوادر الوطنية المتخصصة في مجالات الأمن السيبراني لسد الفجوة الموجودة في هذا المجال والمساهمة في حماية الفضاء السيبراني للمملكة وأمنها الوطني
وتستهدف الأكاديمية تدريب ٢٠٠٠٠ متدرب من الجنسين بنهاية عام ٢٠٢٢
وقد قامت الأكاديمية في عامها الأول ومن خلال مبادرة التدريب في الأمن السيبراني
بتدريب أكثر من 1000 متدرب من الجنسين من موظفي الجهات الوطنية العاملين في مجال الأمن السيبراني وطلبة الجامعات حديثي التخرج في التخصصات ذات العلاقة بالأمن السيبراني من 113 جهة وطنية و23 جامعة سعودية. وتسعى الأكاديمية في هذه المبادرة لرفع كفاءة ومهارات الكوادر الوطنية التي تعمل في مجال الأمن السيبراني حاليا بالإضافة إلى تهيئة خريجي الكليات والجامعات في المجالات ذات العلاقة للالتحاق بسوق العمل في هذا المجال. تم تقديم التدريب في السنة الأولى بالتعاون مع شركات عالمية متخصصة تحت إشراف الأكاديمية.
كما قامت الأكاديمية الوطنية للامن السيبراني بتنظيم عدد من التمارين السيبرانية الفنية والإدارية بمشاركة خبرات دولية، وقد شارك في هذه التمارين عدد من موظفي الجهات الوطنية في مختلف القطاعات، وبحضور نخبة من المسؤولين والمختصين في مجال الأمن السيبراني. وتهدف هذه التمارين إلى توفير بيئة افتراضية للمتدربين تشمل عدد من السيناريوهات المختلفة للتطبيق العملي على اكتشاف الثغرات، ومعالجتها، والاستجابة للحوادث والحماية من الهجمات السيبرانية وتنفيذ مناورات سيبرانية يقسم فيها المتدربين إلى فريق للهجوم وآخر للاستجابة للحوادث وصد الهجمات. وقد بلغ عدد المشاركين 169 موظف وموظفة من 95 جهة وطنية.
أهداف الأكاديمية
1 – تأهيل وتدريب الكوادر الوطنية في مجال الأمن السيبراني
2 – تطوير مهارات موظفي الجهات الوطنية ورفع الجاهزية
3 – توفير ملتقى لتبادل المعارف والخبرات لمجتمع الأمن السيبراني في المملكة
4 – توعية وتثقيف الموظفين غير المتخصصين بأساسيات الأمن السيبراني
خدمات الأكاديمية
1 – التدريب الفني في مجالات الأمن السيبراني
2 – التدريب على الأطر والمعايير التي تصدرها الهيئة
3 – التمارين السيبرانية
4 – ندوات وفعاليات وبرامج تثقيفية في مجال الأمن السيبراني
الفئات المستهدفة
1 – موظفو الجهات الوطنية العاملون في مجال الأمن السيبراني والمجالات ذات العلاقة
2 – الطلبة حديثو التخرج من الجامعات والكليات السعودية في برامج الحاسب الآلي والأمن السيبراني
3 – الطلبة حديثو التخرج من برنامج خادم الحرمين الشريفين للابتعاث الخارجي في برامج الحاسب الآلي والأمن السيبراني
مستويات التدريب
1 – مستوى التأسيس
دورات تدريبية للمستوى التأسيسي في الأمن السيبراني في المواضيع التالية
1 – مقدمة في أنظمة التشغيل والشبكات ومكوناتها ووظائفها
2 – مقدمة في الأمن السيبراني
2- المستوى المبتدئ
دورات تدريبية للمستوى المبتدئ في الأمن السيبراني في المواضيع التالية
1 – الأمن السيبراني في أنظمة التشغيل
2 – الأمن السيبراني في الشبكات
3 – المستوى المتوسط
دورات تدريبية للمستوى المتوسط في الأمن السيبراني في المواضيع التالية
1 – حماية الشبكات والبنية التحتية والاختراق الأخلاقي
2 – الاختراق الأخلاقي
4 – المستوى المتقدم
دورات تدريبية للمستوى المتقدم في الأمن السيبراني في أحد المواضيع الفرعية التالية
1 – الاستجابة للحوادث والتحليل الجنائي الرقمي
2 – المراقبة وكشف الثغرات
3 – اختبار الاختراق المتقدمحماية أنظمة التحكم الصناعي
4 – الحوكمة والمخاطر
5 – البرمجة الامنة
شروط الترشيح لحضور هذه الدورات
أ – بالنسبة لموظفي الجهات الحكومية فيجب أن تنطبق على المرشح الشروط التالية
1 – أن يكون الموظـف/ ـة سعودي/ ـة الجنسية، ويعمل في الجهة التي قامت بترشيحه سواء كان موظفا رسميا أو متعاقدًا
2 – أن يكون الموظف حاصلاً على مؤهل جامعي أو الدبلوم في مجال الأمن السيبراني أو المجالات ذات العلاقة
3 – قدرة الموظف وموافقة جهة عمله على حضوره لاختبار تحديد المستوى وحضوره لكل أيام الدورة التدريبية
4 – إجادة اللغة الإنجليزية
ب – بالنسبة لطلبة الجامعات فيجب أن تنطبق على المرشح الشروط التالية
1 – أن يكون الطالب/ ـة سعودي/ ـة الجنسية
2 – أن يكون الطالب من طلبة برنامج البكالوريوس المتوقع تخرجهم في الفصل الدراسي الذي يتم فيه الترشيح
3 – أن يكون تخصص الطالب في مجال الأمن السيبراني أو أحد مجالات الحاسب الآلي (مثل علوم الحاسب ونظم المعلومات وهندسة الحاسب وهندسة البرمجيات)
أن لا يقل معدل الطالب التراكمي عند ترشيحه عن 3.75 من 5 أو 2.75 من 4 أو ما يعادلها
4 – قدرة الطالب على حضور اختبار تحديد المستوى وحضور كل أيام الدورة التدريبية
5 – إجادة اللغة الإنجليزية
آلية الترشيح للدورات في الأكاديمية:
بالنسبة لموظفي الجهات الحكومية فقد تمت مخاطبة جميع الجهات الحكومية المشمولة بهذه المبادرة وتم تحديد ضابط اتصال وممثل لكل جهة من تلك الجهات. ويتم ترشيح موظفي كل جهة من خلال ضابط الاتصال الخاص بها. بالنسبة للطلبة فقد تمت مخاطبة جميع الجامعات والكليات السعودية التي تقدم برامج بكالوريوس في مجالات الحاسب الآلي أو الأمن السيبراني وتم تحديد ضابط اتصال لكل كلية من تلك الكليات. ويتم ترشيح الطلبة من خلال ضابط الاتصال للكلية التي يدرسون بها. أما بالنسبة لحديثي التخرج من الطلبة المبتعثين في مجال الأمن السيبراني والحاسب الآلي فيتم التواصل معهم بشكل مباشر للتسجيل في الدورات بالتنسيق مع وزارة التعليم.
آلية اختيار المتدربين
يتم اختيار المتدربين من المرشحين من موظفي الجهات الوطنية وخريجي الجامعات والكليات وخريجي برنامج الابتعاث بناءً على اختبارات تحديد المستوى وحسب المقاعد المتوفرة لكل دورة.
مركز الأمن الإلكتروني
يمثل مركز الأمن الإلكتروني أحد الأذرع التشغيلية للهيئة من خلال دوره الوطني في رصد المخاطر والتهديدات الإلكترونية وتحليلها ومشاركة المعلومات مع الجهات الحكومية والحيوية والحساسة للحماية من تلك التهديدات والتعامل معها حال وقوعها لاحتوائها ومنع تفاقم أضرارها؛ حيث يتولى المركز عمليات مراقبة التهديدات على مدار الساعة لتحديد أي إشارات لاختراق أنظمة الجهات الحكومية والحساسة. ويقوم كذلك برصد وتحليل التهديدات وتأكيدها قبل تنبيه الجهات الشريكة، وينفذ عمليات الدراية الأمنية من خلال القدرات الفنية والبشرية المتوافرة فيه ويسعى لإيجاد بيئة تعاونية تساعد المحللين على الوصول إلى فهم أعمق لتهديدات الأمن الإلكتروني وتسهم في فعالية الدفاع ضد تلك المخاطر، وتضمن خلال ذلك استقبال ومشاركة تقارير التهديدات السيبرانية مع الشركاء.
كما يقوم بتوعية الجهات بالحالة الراهنة لتلك التهديدات بشكل تفصيلي ومبكر بما يساعد على التنسيق والحماية ضد الحوادث الإلكترونية واتخاذ قرارات مبنية على معلومات كافية تساعد على حماية الأنظمة الحساسة. ويساعد في رفع درجة التأهب والنضج الخاص بالأمن الإلكتروني لمقدمي الخدمات في المملكة العربية السعودية. ومن أمثلة التهديدات السيبرانية التي يتم مشاركتها لرفع الوعي الأمني؛ مؤشرات التهديدات أو الهجوم، التكتيكات والتقنيات والإجراءات ، والتنبيهات الأمنية، وتقارير التهديدات الاستباقية، وتوصيات للحد من التهديدات. حيث يتم تمثيل هذه المعلومات بآلية موحدة ومنظمة لجعلها سهلة التنفيذ والاستفادة منها من قبل الجهات، تعتمد خلالها الهيئة على معايير عالمية لتنظيم المعلومات التي يتم مشاركتها.
ويحرص المركز على تعزيز أمن ومرونة البنى التحتية الخاصة بالجهات الحيوية والمنشآت الحكومية والحفاظ على البيئة الإلكترونية التي تدعم الفعالية والابتكار والنمو الاقتصادي مع تعزيز السلامة والأمن والسرية والخصوصية الخاصة بالجهات.
المركز الوطني الإرشادي للأمن السيبراني
يعمل المركز الوطني الإرشادي للأمن السيبراني على تعزيز جهود المملكة في رفع مستوى الوعي بالأمن السيبراني وذلك من خلال رفع الوعي والمعرفة بالأمن السيبراني لتجنب المخاطر السيبرانية وتقليل آثارها عن طريق إصدار التنبيهات بآخر وأخطر الثغرات، وإطلاق حملات وبرامج توعوية والتعاون مع المراكز الإرشادية الأخرى.
صدر الأمر الملكي الكريم في تاريخ 11– 2 – 1439 هـ بإنشاء الهيئة الوطنية للأمن السيبراني والموافقة على تنظيمها لتكون الجهة المختصة بالأمن السيبراني، والمرجع الوطني في شؤونه لحماية المصالح الحيوية للمملكة وأمنها السيبراني والبنى التحتية والقطاعات ذات الأولوية والخدمات والأنشطة الحكومية.
وفي سبيل تحقيق أهداف الهيئة التي أُنشئت من أجلها والقيام باختصاصاتها ومهامها، فقد تضمن إنشاء الهيئة نقل المركز الوطني الإرشادي لأمن المعلومات من هيئة الاتصالات وتقنية المعلومات إلى الهيئة الوطنية للأمن السيبراني.
هذه كانت بعض المعلومات المستعرضة عن وضع الأمن السيبراني داخل المملكة العربية السعودية، وعن الهيئات والمؤسسات، وطريقة عمل الأمن السيبراني داخل المملكة العربية السعودية.
وهذا يدل عن أن المملكة العربية السعودية قد خطتة خطوات كبيرة في هذا المجال تماشيًا مع النظام العالم، والمستجدات التي حدثت في زمن الأنترنت وفي زمن أمن المعلومات.
الأمن السيبراني كما مر ضرورة ملحة وله أهمية كبيرة على جميع مناحي الحياة الشخصية والعامة ولا تقتصر أهميته على جزء من الحياة.
+
هذه المقالة بعدم من شركة ريناد المجد لتقنية المعلومات