الدخول من خلال النفاذ الوطني الموحد
الهيئة الوطنية للأمن السيبراني هي الجهة المختصة في المملكة بالأمن السيبراني، والمرجع الوطني في شؤونه. وتهدف إلى تعزيزه؛ حمايةً للمصالح الحيوية للدولة، وأمنها الوطني، والبنى التحتية الحساسة، والقطاعات ذات الأولوية، والخدمات والأنشطة الحكومية؛ وذلك وفقًا لتنظيمها الصادر بموجب الأمر الملكي الكريم ذي الرقم (6801) والتاريخ 11/2/1439 هـ.
وقامت الهيئة الوطنية للأمن السيبراني بإعداد إرشادات الأمن السيبراني للمدن الذكية (CGSC – 1: 2024)، مستهدفة بذلك صناع القرار، وشركاء منظومة المدن الذكية في جميع أنحاء المملكة. وتهدف هذه الإرشادات إلى تقليل مخاطر الأمن السيبراني التي تواجهها المدن الذكية ومن ثم توفير أفضل الممارسات للتخفيف من هذه المخاطر السيبرانية.
تعتمد المدن الذكية على بنية معقدة ومترابطة تضم مكونات مختلفة، مثل أجهزة إنترنت الأشياء، والمنصات السحابية، وأدوات تحليل البيانات؛ لتعزيز الإدارة الحديثة، وجودة الحياة. ويمر تطوير المدن الذكية في دورة حياة كاملة؛ تتضمن التخطيط، والتصميم، والتنفيذ، والتشغيل، والتحسين المستمر؛ مما يضمن مواكبة التقدم التقني، ومعالجة مخاطر الأمن السيبراني. كما يؤدي أصحاب المصلحة في كامل المنظومة أدوارًا محورية في حوكمة المدن الذكية وتطويرها وتشغيلها الآمن.
وتغطي هذه الإرشادات؛ أربع مكونات رئيسية، هي: حوكمة الأمن السيبراني، وتعزيز الأمن السيبراني، وصمود الأمن السيبراني، والأمن السيبراني المتعلق بالأطراف الخارجية، والحوسبة السحابية.
يُعنى مكون حوكمة الأمن السيبراني بضمان كون الإستراتيجية، والرؤية، وخارطة الطريق، والأهداف للمدينة الذكية؛ تضع في حسبانها الأمن السيبراني لسكان المدن الذكية وشركاء منظومتها. ويشمل ذلك الالتزام بالتنظيمات والتشريعات ذات العلاقة بالمدن الذكية. ويعنى هذا المكون كذلك؛ بتوثيق سياسات الأمن السيبراني وإجراءاته ذات العلاقة بالمدن الذكية وتطبيقها بالإضافة إلى ضمان تحديد أدوار الأمن السيبراني للمدن الذكية، لجميع الأطراف المعنية داخل الجهة؛ ضمن هيكلية الحوكمة. ويبين هذا المكون أيضاً الإرشادات التي يوصى بتطبيقها، فيما يخص إدارة مخاطر الأمن السيبراني للمدن الذكية، كما يضمن إدراج متطلبات الأمن السيبراني للمدن الذكية في دورة حياة إدارة المشاريع المعلوماتية والتقنية.
فيما يخص مكون تعزيز الأمن السيبراني؛ فإنه يُعنى بضمان تطبيق آليات الأمن السيبراني الملائمة لمنظومة المدن الذكية، من أجل حماية المعلومات وأصولها ضد الهجمات السيبرانية. في حين يُعنى مكون صمود الأمن السيبراني بتعزيز قدرة المدنية الذكية على الصمود أمام الآثار، التي قد تطرأ بسبب الحوادث المتعلقة بالأمن السيبراني للمدن الذكية.
ويُعنى مكون الأمن السيبراني المتعلق بالأطراف الخارجية، والحوسبة السحابية، بتلبية الاحتياج للإدارة الفعالة لمخاطر الأمن السيبراني المتعلقة بالأطراف الخارجية التي تعمل على دعم عمليات المدن الذكية؛ بما في ذلك المخاطر المرتبطة بخدمات الحوسبة السحابية.
تعتمد المدن الذكية على التقنيات الرقمية، وأدوات التحليل، وإنترنت الأشياء؛ لتوفير الخدمات التي تعمل على تحسين جودة الحياة في المدينة، والازدهار الاقتصادي، والاستدامة البيئية، وتعزيز فعالية الإدارة الحكومية. ويتسق هذا التعريف مع تعاريف الجهات العالمية الأخرى، التي أبرزت أن المدن الذكية، تمثل تقاطع بين تقنية المعلومات والاتصالات والتقنية التشغيلية، مع البنية التحتية المادية.
حرصت رؤية المملكة العربية السعودية 2030 وبرامج تحقيق الرؤية بشكل كبير على المدن الذكية، وحددت أهدافًا متعلقة باستخدام التقنية لإنشاء مناطق حضرية، وصالحة للعيش بكفاءة واستدامة أعلى. وقد أدى ذلك إلى زيادة في النمو، وفي أعمال التطوير في مشاريع المدن الذكية ومبادراتها بأشكالها المختلفة.
يعنى الهدف الإستراتيجي للمدن الذكية باستخدام أجهزة الاستشعار، وأجهزة إنترنت الأشياء وغيرها من تقنيات جمع البيانات؛ بهدف جمع البيانات في الوقت الفعلي، وتحليلها أيضًا. وبعد ذلك، يجري الاعتماد على هذه البيانات؛ لتحسين أداء الخدمات والبنية التحتية في المدينة، بالإضافة إلى تحديد مجالات التحسين اللازمة، ورفع مستوى العيش في المدينة.
أمّا الهدف الرئيسي من المدن الذكية، فيتمثّل في خلق بيئة حضرية مستدامة وفعّالة، تضمن حياةً عالية الجودة وتعزز مشاركة المستفيدين، مع تقليل استهلاك الموارد، والحدّ من الأثر البيئي السلبي المنعكس من هذه الموارد. وعلى هذا فإن الاعتماد المتزايد على تقنية المعلومات والاتصالات يجعل المدن الذكية أكثر عرضة لمخاطر الأمن السيبراني.
وبناءً على ذلك؛ قامت الهيئة الوطنية للأمن السيبراني بتطوير إرشادات الأمن السيبراني للمدن الذكية (CGSC – 1: 2024). وذلك بعد إجراء دراسة شاملة لعدة إرشادات، ومعايير، وأطر، وضوابط عالمية؛ تتعلق بالأمن السيبراني للمدن الذكية، وكذلك تحليل الوضع الراهن للمبادرات الوطنية والإحصاءات؛ والمتطلبات التشريعية، والتنظيمية ذات العلاقة، ومراجعة أفضل الممارسات في مجال الأمن السيبراني؛ للاستفادة منها، وتحليل حوادث وهجمات الأمن السيبراني السابقة. وجرى تطوير هذه الوثيقة، لتقديم التوجيه الأساسي لأصحاب القرار في المدن الذكية وشركاء المنظومة. والغرض من ذلك هو تحديد الإستراتيجيات، والممارسات الفعالة؛ للتخفيف من مخاطر الأمن السيبراني، وضمان النمو الصامد والتشغيل الآمن للمدن الذكية.
تتكون إرشادات الأمن السيبراني للمدن الذكية من:
· (4) مكونات رئيسية ((Main Domains.
· (14) مكونًا فرعياً (Subdomains).
· (71) إرشادًا (Guidelines).
تهدف هذه الوثيقة إلى تقديم إرشادات يكون الغرض منها، تضمين أفضل ممارسات الأمن السيبراني في تطوير المدن الذكية وإدارتها.
ومع تزايد الاعتماد على التقنيات المترابطة؛ قد تظهر مخاطر الأمن السيبراني المحتملة، داخل منظومة المدينة الذكية. ولذلك، يوصى بتضمين متطلبات الأمن السيبراني باستمرار، في حوكمة المدن الذكية، وتطويرها وصيانتها وإدارتها وتشغيلها؛ لضمان حماية مصالح الجهات المعنية في منظومة المدينة الذكية.
تهدف الإرشادات الواردة في هذه الوثيقة، إلى تحقيق العديد من الأهداف الرئيسية، الضرورية للتشغيل الآمن والصامد للمدن الذكية:
- تضمين الأمن السيبراني، خلال مراحل تطوير المدن الذكية؛ لمواجهة التهديدات السيبرانية.
- توجيه وإرشاد أصحاب المصلحة في المدن الذكية، لإدارة مخاطر الأمن السيبراني.
- تعزيز الوعي بالأمن السيبراني، بين جميع أصحاب المصلحة في المدن الذكية؛ بما في ذلك التشريعات الوطنية للأمن السيبراني ذات العلاقة.
- تعزيز تبني أفضل ممارسات الأمن السيبراني، في تصميم وتشغيل المدن الذكية.
- تعزيز التكيف المستمر، مع التهديدات الناشئة والتغيرات التقنية.
تستهدف الإرشادات في المقام الأول صناع القرار في المدن الذكية، في كل من القطاعين العام والخاص، في المملكة العربية السعودية. ويشمل مصطلح صناع القرار في المدن الذكية؛ جميع الأفراد والجهات، المكلفين بالإشراف على المدن الذكية وإدارتها. وتستهدف هذه الإرشادات أيضاً شركاء المنظومة؛ بما في ذلك رؤساء إدارة الأمن السيبراني، وخبراء الأمن السيبراني ومهندسيه وغيرهم من الأشخاص الذين يشاركون في تخطيط المدن الذكية، وتصميمها، وتنفيذها، وتشغيلها.
هذه الإرشادات مخصصة للتوعية؛ وتهدف إلى المساعدة في تعزيز الأمن السيبراني للمدن الذكية، بهدف ضمان تطبيق أفضل الممارسات؛ للحد من مخاطر الأمن السيبراني، وزيادة الصمود في مواجهة الهجمات السيبرانية.
ونظراً للطبيعة المتغيرة للتهديدات السيبرانية؛ تحث الهيئة الوطنية للأمن السيبراني، صناع القرار في المدن الذكية، وشركاء المنظومة على مراجعة المخاطر السيبرانية وتقييمها بشكل دوري؛ لتحديد الحاجة إلى اتخاذ تدابير إضافية فيما يتعلق بالأمن السيبراني للمدن الذكية.
أصحاب المصلحة
تعد المدن الذكية؛ هي نتيجة للجهود التعاونية بين مجموعات مختلفة من أصحاب المصلحة؛ حيث يسهم كل منهم بخبرات وموارد فريدة. تشمل المجموعات الأساسية ما يلي:
تُبنى المدن الذكية على أساس من التقنيات المترابطة، التي تشكل منظومة حديثة، وفعالة، وسريعة الاستجابة. إذ تعمل أجهزة إنترنت الأشياء، وأجهزة الاستشعار المنتشرة في جميع أنحاء المناطق الحضرية، لجمع بيانات لحظية بطريقة مباشرة، ثم يجري نقلها إلى شبكة مركزية من المنصات السحابية، ومراكز البيانات. وتتولى هذه الشبكة معالجة البيانات وتخزينها، ليجري استخدامها بعد ذلك بواسطة تطبيقات، وبرمجيات مختلفة، لإدارة عمليات المدن الذكية؛ بدءًا من تدفق حركة المرور، ووصولًا إلى الخدمات العامة. وتشكل أدوات التحليل المتقدمة، والذكاء الاصطناعي أهمية بارزة في هذا النظام، إذ تساعد هذه الأدوات في تحليل البيانات؛ لتوجيه عملية صنع القرار، وتحسين وظائف المدن الذكية.
وتشمل البنية التقنية الأساسية للمدن الذكية العديد من الوظائف التقنية، والمكونات التابعة لها. يقدم الشكل (1) مثالاً توضيحياً للبنية التقنية، التي تتضمن الأساسيات التقنية اللازمة؛ لتحقيق الإمكانات الكاملة للمنظومة الذكية والحديثة. ويعد هذا بمثابة مثال توضيحي؛ وتظل الإرشادات قابلة للتطبيق، حتى في حال استخدام تقسيم مختلف للبنية التقنية.
شكل 1: البنية التقنية المرجعية للمدن الذكية
توجد المدن الذكية في مراحل مختلفة، من دورة حياة تطويرها. تتسق مراحل التطوير في هذه الدورة بشكل وثيق مع مراحل دورة حياة التقنية الخاصة بها. وتحدد دورة الحياة، المراحل الرئيسية المطلوبة لتطوير التقنية في المدن الذكية، لتكون متقدمة ومدارة بفعالية وكفاءة.
تمتد دورة الحياة الموضحة في الشكل (2) إلى خمس مراحل رئيسية؛ ولكل مرحلة منها أهمية بالغة للتطوير الناجح للمدن الذكية. بالإضافة إلى ضمان التوزيع الإستراتيجي للتقنية، تعنى دورة الحياة هذه أيضًا بالقدرة على التكيف والتحسين المستمر؛ لمواجهة المخاطر المستقبلية، بما في ذلك مخاطر الأمن السيبراني.
شكل 2: مراحل دورة حياة التقنية للمدن الذكية
مراحل دورة حياة التقنية للمدن الذكية:
تؤدي الأدوات المستخدمة في المدن الذكية، مثل: إنترنت الأشياء، والحوسبة السحابية، والأدوات الأخرى؛ إلى توسيع نطاق تهديدات الأمن السيبراني.
ويمكن أن تؤدي الثغرات في هذه الأنظمة إلى مشكلات تتعلق بالسلامة، وأعطال واسعة النطاق؛ مما يعرّض البنية التحتية الرقمية والمادية للخطر. كما يمكن أن تؤدي الهجمات السيبرانية على مراكز البيانات، والمنصات السحابية، والتطبيقات الحديثة إلى إضعاف ثقة العامة، وتعطيل عمليات المدينة الذكية. بالإضافة إلى ذلك؛ قد تشكل التهديدات، مثل انتحال الهوية في مراكز العمليات والانتهاكات في الواجهات العامة، مخاطر كبيرة على سلامة البيانات وسريتها، والأمن العام في المدينة. وتؤكد الأهمية البارزة لشبكات الاتصالات، وضرورة تأمين البوابات، وواجهات برمجة التطبيقات، على ضرورة اتخاذ تدابير إضافية؛ لضمان الأمن السيبراني للمدينة الذكية.
لمعالجة هذه التحديات وتخفيف مخاطرها؛ يجب وجود منظومة شاملة ومتماسكة تعزز أفضل ممارسات الأمن السيبراني في جميع مراحل دورة حياة المدينة الذكية. ويعد هذا النهج في غاية الأهمية، لحماية المدن الذكية، من التهديدات السيبرانية الناشئة، وضمان تطويرها، لتكون أكثر أماناً وصمودًا. ويتطلب ذلك التفاني من جميع أصحاب المصلحة داخل منظومة المدينة الذكية. ومع هذا كله فإن، تقع المسؤولية العظمى تقع على صانعي القرار في المدينة الذكية، بحكم أدوارهم الأساسية في الإشراف على تضمين هذه التدابير، وتوجيه المدينة نحو مستقبل أكثر أمانًا وصمودًا.
بالإضافة إلى إرشادات الأمن السيبراني للمدن الذكية؛ فقد أصدرت الهيئة الوطنية للأمن السيبراني، سياسات أخرى للأمن السيبراني، وآليات للحوكمة، وأطر، ومعايير، وضوابط وإرشادات (على سبيل المثال إرشادات الأمن السيبراني لإنترنت الأشياء) يجب على صناع القرار في المدن الذكية، وشركاء المنظومة، الرجوع إليها للاسترشاد والتوجيه؛ وفي بعض الحالات يجب الالتزام بها.
وجرى ربط الإرشادات بإصدارات الهيئة الوطنية للأمن السيبراني، التي يمكن أن توفر تفاصيل إضافية بشأن طريقة التنفيذ وقابلية التطبيق.
يعرض الشكل (3) الربط العام بين مكونات البنية التقنية للمدينة الذكية، والإصدارات الصادرة عن الهيئة الوطنية للأمن السيبراني.
شكل 3: الربط العام بين البنية التقنية والإصدارات الصادرة عن الهيئة الوطنية للأمن السيبراني
المكونات الأساسية والفرعية، لإرشادات الأمن السيبراني للمدن الذكية
يوضح الشكل (4) الآتي، المكونات الأساسية والفرعية، لإرشادات الأمن السيبراني للمدن الذكية.
شكل 4: المكونات الأساسية والفرعية لإرشادات الأمن السيبراني للمدن الذكية
يوضح الشكلان (5) و(6) الآتيان معنى رموز إرشادات الأمن السيبراني للمدن الذكية:
يبين الجدول (1) أدناه طريقة هيكلة ارشادات الأمن السيبراني للمدن الذكية.
جدول 1: هيكلية إرشادات الأمن السيبراني للمدن الذكية
حوكمة الأمن السيبراني (Cybersecurity Governance)
الضوابط الأساسية للأمن السيبراني
ضوابط الأمن السيبراني للأنظمة الحساسة
الضوابط الأساسية للأمن السيبراني
ضوابط الأمن السيبراني للأنظمة التشغيلية
الضوابط الأساسية للأمن السيبراني
الضوابط الأساسية للأمن السيبراني
تأمين الترابط والتفاعل بين الأنظمة؛ خاصة تلك التي تعالج بيانات المدينة الحساسة أو تخزنها، باستخدام إستراتيجية الدفاع المتعدد المراحل.
الضوابط الأساسية للأمن السيبراني
ضوابط الأمن السيبراني للبيانات
الضوابط الأساسية للأمن السيبراني
ضوابط الأمن السيبراني للبيانات
تعزيز الأمن السيبراني (Cybersecurity Defense)
المعايير الوطنية للتشفير
صمود الأمن السيبراني (Cybersecurity Resilience)
الأمن السيبراني المتعلق بالأطراف الخارجية والحوسبة السحابية (Third-Party and Cloud Computing Cybersecurity)
ضوابط الأمن السيبراني للحوسبة السحابية
المصطلح
التعريف
واجهات برمجة التطبيقات Application Programming Interface (API)
مجموعة من القواعد (مثل: الأوامر والدوال والكائنات والبروتوكولات) التي طورت؛ ليتم استخدامها من قبل المبرمجين، لتطوير البرمجيات، أو التفاعل مع أنظمة و/أو برمجيات أخرى.
إمكانية نقل البيانات Data Portability
القدرة على نقل البيانات بين التطبيقات، أو البرامج، أو بيئات الحوسبة، أو الخدمات السحابية المختلفة.
إدارة الهوية وصلاحيات الدخول Identity and Access Management (IAM)
إطار من السياسات والتقنيات؛ لضمان حصول مستخدمين محددين، دون غيرهم، على إمكانية الوصول المناسب إلى الموارد التقنية.
حادثة Incident
انتهاك أمني بمخالفة سياسات الأمن السيبراني، أو سياسات الاستخدام المقبول، أو ممارسات، أو ضوابط، أو متطلبات الأمن السيبراني.
سلامة المعلومات Integrity
الحماية من التعديل، أو التدمير غير المصرح به للمعلومات، كما يتضمن ضمان عدم الإنكار للمعلومات (Non-Repudiation) والموثوقية.
مؤشر الأداء الرئيسي Key Performance Indicator (KPI)
أحد أدوات قياس الأداء، وتستخدم لتقييم مدى نجاح نشاط أو جهة في تحقيق أهداف محددة.
الحد الأدنى من الصلاحيات والامتيازات
Least Privilege
مبدأ في الأمن السيبراني، يتمثل في منح المستخدمين فحسب امتيازات الوصول، التي يحتاجونها، للقيام بمسؤولياتهم الرسمية.
التحقق من الهوية متعدد العناصر Multi-factor Authentication (MFA)
عنصر ضبط أمني؛ للتحقق من هوية المستخدم، وهو أمر يتطلب استخدام عناصر منفصلة، ومتعددة، لآليات التحقق من الهوية. وقد تتضمن آليات التحقق من الهوية العناصر الآتية:
الحاجة إلى المعرفة Need-to-know
نهج لتقييد الوصول فحسب، لمن يحتاجون إلى معرفة ذلك، أو يحتاجون إلى استخدامه.
الشركات المصنعة للمعدات الأصلية Original Equipment Manufacturers (OEMs)
شركة تقوم بتصنيع منتجات أو بيعها، وتشمل كذلك أجزاء من منتج يمكن تسويقه بواسطة جهة مصنعة أخرى.
التحكم في الوصول بناءً على الأدوار Role-Based Access Control (RBAC)
وسيلة للتحكم في الوصول إلى الشبكة؛ بناءً على الصلاحيات والأدوار ومتطلبات المستخدمين داخل الجهة.
البيانات / المعلومات الحساسة
Sensitive Data/Information
المعلومات (أو البيانات) ذات الأهمية البالغة، ومن المحتمل أن تكون سرية وفقًا لتصنيف المعلومات أو البيانات. فقدان هذه المعلومات أو سوء الاستخدام، أو الوصول غير المصرح به، أو تعديل هذه المعلومات أو البيانات؛ يمكن أن يؤثر سلبًا على المنظمة، أو الجهة المسؤولة عن هذه المعلومات أو البيانات.
أصحاب القرار في المدن الذكية Smart City Decision Makers
تشمل هذه الفئة جميع الأفراد، وأصحاب المصلحة، المكلفين بالإشراف على المدن الذكية وإدارتها؛ ممن لديهم الصلاحيات اللازمة لاتخاذ القرار.
شركاء منظومة المدن الذكية Smart City Ecosystem Partners
جميع الجهات، والجهات المسؤولة عن المخاطر، ذات العلاقة، بما في ذلك كبار رؤساء إدارة الأمن السيبراني، ومهندسي ومخططي الأمن السيبراني، وغيرهم من الموظفين، الذين يشاركون في تخطيط المدن الذكية، وتصميمها، وتنفيذها، وتشغيلها.
الجهات الخارجية Third-party
أي جهة تعمل على أنها ذات علاقة تعاقدية؛ لتقديم السلع أو الخدمات (وهذا يشمل الموردين ومقدمي الخدمات).
منظومة المدن الذكية
Smart City Ecosystem
شبكة معقدة ومترابطة؛ تضم مختلف أصحاب المصلحة، والتقنيات، والخدمات التي تعمل معًا، لإنشاء بيئة حضرية فعالة، ومستدامة، وعالية الجودة.
API
واجهة برمجة التطبيق
Application Programming Interface
CCC
ضوابط الأمن السيبراني للحوسبة السحابية Cloud Cybersecurity Controls
CISO
رئيس إدارة الأمن السيبراني Chief Information Security Officer
CGSC
إرشادات الأمن السيبراني للمدن الذكية Cybersecurity Guidelines for Smart Cities
CSCC
ضوابط الأمن السيبراني للأنظمة الحساسة Critical Systems Cybersecurity Controls
DCC
ضوابط الأمن السيبراني للبيانات Data Cybersecurity Controls
ECC
الضوابط الأساسية للأمن السيبراني Essential Cybersecurity Controls
IAM
إدارة الهوية وصلاحيات الدخول Identity and access management
ICT
تقنية المعلومات والاتصالات Information and communication technology
IoT
إنترنت الأشياء Internet-of-Things
NCA
الهيئة الوطنية للأمن السيبراني National Cybersecurity Authority
NCS
المعايير الوطنية للتشفير National Cryptographic Standards
OEMs
شركات تصنيع المعدّات الأصلية
Original Equipment Manufacturers
OT
التقنية التشغيلية Operational Technology
OTCC
ضوابط الأمن السيبراني للأنظمة التشغيلية Operational Technology Cybersecurity Controls
RBAC
التحكم في الوصول بناءً على الأدوار Role-Based Access Control
جدول 3: قائمة الاختصارات
آخر تحديث : 25 يوليو 2024
يمكنك تصفح البوابة عن طريق إعطاء أوامر صوتية بإستخدام المايكروفون
تحدث الان...
برجاء اعطاء الاوامر الصوتية من الخيارات التالية:
إخلاء المسؤولية : الترجمة إلى لغات أخرى يعتمد على ترجمة جوجل (Google)، وبالتالي فإن المركز الوطني للتنافسية غير مسؤول عن دقة المعلومات في اللغة الجديدة.
