الدخول من خلال النفاذ الوطني الموحد
تبنت المملكة العربية السعودية (رؤية 2030) لتكون خارطة طريق؛ لتحقيق النمو الاقتصادي والتنمية الوطنية. وحددت الرؤية الأهداف العامة للمملكة والمستهدفات اللازمة لتمكينها من أن تكون نموذجًا عالميًا لدولة ناجحة ورائدة. وتعتزم المملكة العربية السعودية بناء مجتمع رقمي مزدهر؛ يُعد التبني الواسع النطاق لإنترنت الأشياء عامل تمكين رئيسي فيه.
ومن هذا المنطلق؛ قامت الهيئة الوطنية للأمن السيبراني بإعداد إرشادات الأمن السيبراني لإنترنت الأشياء (CGIoT-1:2023) من خلال تحديد المبادئ التوجيهية التي يُوصى بتطبيقها في جميع الجهات المستخدمة لتقنية إنترنت الأشياء في المملكة؛ وذلك للحد من مخاطر الأمن السيبراني، المصاحبة للتبني الواسع النطاق لإنترنت الأشياء.
وتغطي هذه الإرشادات أربع مكونات رئيسية، هي: حوكمة الأمن السيبراني، وتعزيز الأمن السيبراني، وصمود الأمن السيبراني، والأمن السيبراني المتعلق بالأطراف الخارجية والحوسبة السحابية.
يعنى مكون (حوكمة الأمن السيبراني) بضمان كون الإستراتيجية، والرؤية، وخارطة الطريق، والأهداف للجهة؛ تضع في الحسبان الأمن السيبراني لإنترنت الأشياء. ويشمل ذلك الالتزام بالتنظيمات والتشريعات ذات العلاقة. ويُعنى هذا المحور بتوثيق ونشر سياسات وإجراءات الأمن السيبراني ذات العلاقة بإنترنت الأشياء، بالإضافة إلى ضمان تحديد أدوار الأمن السيبراني ومسؤولياته لإنترنت الأشياء، لجميع الأطراف المعنية داخل الجهة، ضمن هيكلية الحوكمة. ويوضح هذا المكون أيضاً الإرشادات التي يوصى بتطبيقها فيما يخص إدارة مخاطر الأمن السيبراني لإنترنت الأشياء، وإدراج متطلبات الأمن السيبراني لإنترنت الأشياء في دورة حياة إدارة المشاريع المعلوماتية والتقنية؛ بالإضافة إلى التركيز على جانب الأمن السيبراني لإنترنت الأشياء فيما يتعلق بالموارد البشرية وتطوير برامج لتوعية وتدريب العاملين في مجال الأمن السيبراني المتعلق بإنترنت الأشياء. وفيما يخص مكون (تعزيز الأمن السيبراني)، فإنه يعنى بضمان تطبيق آليات الأمن السيبراني الملائمة لتقنية إنترنت الأشياء من أجل حماية المعلومات وأصولها ضد الهجمات السيبرانية. في حين يعنى مكون (صمود الأمن السيبراني) بتعزيز قدرة الجهة على الصمود أمام الآثار المترتبة على الكوارث التي قد تطرأ بسبب الحوادث المتعلقة بالأمن السيبراني لإنترنت الأشياء. ويعنى مكون (الأمن السيبراني المتعلق بالأطراف الخارجية والحوسبة السحابية) بتلبية الاحتياج للإدارة الفعالة لمخاطر الأمن السيبراني المتعلقة بالأطراف الخارجية التي تعمل على دعم عمليات إنترنت الأشياء؛ بما في ذلك المخاطر المرتبطة بخدمات الحوسبة السحابية.
يشير مصطلح إنترنت الأشياء الى الحساسات و الأجهزة ("الأشياء") المتصلة بالإنترنت و/أو الشبكات الأخرى والتي تضيف قيمة بناءً على البيانات؛ مثل تسهيل المهام. وتدعم تقنية إنترنت الأشياء العديد من حالات الاستخدام بما في ذلك المنازل الذكية والمدن الذكية والرعاية الصحية الذكية والسيارات الذكية. وتؤدي تقنية إنترنت الأشياء دورًا هامًا في تحسين مستويات المعيشة، وتحقيق التحول الرقمي الذكي، والتنمية المجتمعية المستدامة، ونظرًا للتبني الواسع لهذة التقنية، قد تكون الجهات المستخدمة لتقنية إنترنت الأشياء أكثر عرضة للتهديدات والمخاطر السيبرانية.
وعليه؛ قامت الهيئة الوطنية للأمن السيبراني (ويشار لها في هذه الوثيقة بـ "الهيئة") بإعداد إرشادات الأمن السيبراني لإنترنت الأشياء (CGIoT-1: 2023) وذلك بعد إجراء دراسة شاملة لعدة إرشادات ومعايير وأطر وضوابط عالمية تتعلق بالأمن السيبراني، وتحليل الوضع الراهن والمتطلبات التشريعية والتنظيمية في مجال تقنية إنترنت الأشياء في المملكة، وتحليل ماتم رصده من الحوادث والهجمات السيبرانية السابقة المتعلقة بإنترنت الأشياء.
تتكون إرشادات الأمن السيبراني لإنترنت الأشياء مما يلي:
تهدف هذه الإرشادات إلى تضمين أفضل ممارسات الأمن السيبراني لدى الجهات التي تستخدم تقنية إنترنت الأشياء. وتستند هذه الممارسات إلى المعايير الرائدة مما يساعد الجهات على تقليل مخاطر الأمن السيبراني لإنترنت الأشياء التي تنشأ من التهديدات الداخلية والخارجية.
ومع تزايد الاعتماد على التقنيات المترابطة؛ قد تظهر مخاطر الأمن السيبراني المحتملة داخل منظومة إنترنت الأشياء. لذلك، يجب تضمين متطلبات الأمن السيبراني باستمرار في حوكمة إنترنت الأشياء، وتطويرها وصيانتها وإدارتها؛ لضمان حماية مصالح الجهات المعنية في هذه المنظومة.
وتأخذ هذه الإرشادات في الحسبان المحاور الأربعة الأساسية التي يرتكز عليها الأمن السيبراني، وهي:
· الاستراتيجية (Strategy)
· الأشخاص (People)
· الإجراء (Process)
· التقنية (Technology)
توصي الهيئة الجهات التي تستخدم إنترنت الأشياء والشركات المصنّعة لها ومقدمو الخدمات لمنتجاتها في المملكة (ويشار لها جميعًا في هذه الوثيقة باسم "الجهة") على اتباع الإرشادات؛ بهدف ضمان تطبيق أفضل الممارسات، والتقليل من مخاطر الأمن السيبراني، التي قد تنتج من استخدام هذه التقنية.
ونظرًا للطبيعة المتغيرة باستمرار للتهديدات السيبرانية؛ تحث الهيئة الجهات على المراجعة الدورية وتقييم المخاطر السيبرانية لتحديد مدى الحاجة إلى اتخاذ تدابير إضافية فيما يتعلق بالأمن السيبراني لإنترنت الأشياء.
5.1 المكونات الأساسية والفرعية، لإرشادات الأمن السيبراني لإنترنت الأشياء
يوضح الشكل (1) أدناه، المكونات الأساسية والفرعية، لإرشادات الأمن السيبراني لإنترنت الأشياء
5.2 الهيكلية
يوضح الشكلان (2) و (3) أدناه معنى رموز إرشادات الأمن السيبراني لإنترنت الأشياء
يوضح الجدول (1) أدناه طريقة هيكلية إرشادات الأمن السيبراني لإنترنت الأشياء.
إجراء المراجعة الدورية على فترات زمنية مخطط لها، وإذا لزم الأمر؛ تحديث السياسات والإجراءات والمعايير، وفقًا لمتطلبات الأعمال التنظيمية للجهة، أو عند حدوث تغييرات في المتطلبات التشريعية والتنظيمية ذات العلاقة.
إجراء المراجعة الدورية على فترات زمنية مخطط لها، وإذا لزم الأمر؛ تحديث إجراءات إدارة مخاطر الأمن السيبراني لإنترنت الأشياء، وفقًا للسياسات والإجراءات التنظيمية للجهة، أو عند حدوث تغييرات في المتطلبات التشريعية والتنظيمية ذات العلاقة، وضمان مواءمتها مع متطلبات الأمن السيبراني لإنترنت الأشياء الخاصة بالجهة.
تحديد إجراءات إدارة التغيير لإنترنت الأشياء لضمان التحكم في حالة الأمن السيبراني لإنترنت الأشياء في الجهة. ومنها:
تحديد متطلبات الأمن السيبراني لإنترنت الأشياء للعاملين في الجهة قبل التوظيف وأثناء توظيف العاملين، وبعد انتهاء/إنهاء العلاقة الوظيفية مع الجهة وتوثيقها واعتمادها. ويشمل ذلك ما يلي:
تضمين جوانب الأمن السيبراني لإنترنت الأشياء، ضمن برنامج التوعية بالأمن السيبراني واستراتيجية التدريب داخل الجهة. ويشمل ذلك على ما يلي:
تعزيز الوعي بالأمن السيبراني لإنترنت الأشياء، على جميع مستويات الجهة؛ مع مراعاة الآتية:
تطبيق معايير عالية، للتحقق من الهوية، واتباع أفضل الممارسات وهي:
تطبيق التدابير الآتية للأجهزة المحمولة المتصلة بإنترنت الأشياء:
تنصيب التحديثات والإصلاحات على جميع مكونات البرمجيات، ضمن أجهزة إنترنت الأشياء في الوقت المناسب حسب الآتي:
تنفيذ عمليات اختبار الاختراق؛ من أجل اكتشاف الثغرات، التي قد تواجه برامج إنترنت الأشياء، ومكونات الأجهزة استباقيًا وذلك عن طريق:
تحديد أصول إنترنت الأشياء ضمن نطاق عمل اختبار الاختراق، وتحليلها.
تمكين أجهزة إنترنت الأشياء من تسجيل أحداث الأمن السيبراني، ورصد البيانات وتخزينها مركزيًا ونقلها إلى مركز عمليات مراقبة الأمن السيبراني (SOC) في الجهة مع مراعاة الآتي:
وضع خطة لإدارة حوادث الأمن السيبراني لإنترنت الأشياء؛ لتشمل الاستجابة للحوادث، وإجراءات المعالجة بما يتسق مع ممارسات إدارة الحوادث للجهة؛ ومنها:
تحديد متطلبات الأمن السيبراني لإنترنت الأشياء لإدارة التهديدات ضمن عملية نمذجة التهديدات السيبرانية التي طورتها الجهة وتوثيقها واعتمادها، وتطبيق الممارسات الآتية ضمن خطة إدارة تهديدات الأمن السيبراني لإنترنت الأشياء:
استخدام الأجهزة التي تتضمن وظائف الأمن السيبراني على مستوى المكونات؛ للحفاظ على حماية الأجهزة وسلامتها، مع اتباع الآتي:
تحديد خطوات تثبيت أجهزة إنترنت الأشياء وخدماتها، وإعدادها. ويُنصح أن تتوافق هذه الخطوات مع أفضل ممارسات الأمن السيبراني، فيما يتعلق بإمكانية استخدام الأجهزة أو الخدمات، ومنها:
وضع خطة معنية بسحب أجهزة إنترنت الأشياء أو خدماتها في نهاية دورة حياتها. بالإضافة إلى تنفيذ الممارسات الآتية لوضع استراتيجية عند نهاية العمر الافتراضي لأجهزة إنترنت الأشياء وخدماتها:
يوضح الجدول (2) أدناه بعض المصطلحات وتعريفاتها، التي ورد ذكرها في هذه الإرشادات.
التشفير
Cryptography
إنترنت الأشياء
Internet of Things
التصميم الآمن
Secure-by-Design
بيانات القياس عن بُعد
Telemetry Data
جدول 2 : مصطلحات وتعريفات
يوضح الجدول (3) أدناه، معنى الاختصارات التي ورد ذكرها في هذه الإرشادات.
Cloud Cybersecurity Controls
ضوابط الأمن السيبراني للحوسبة السحابية
Cybersecurity Guidelines for Inernet of Things
إرشادات الأمن السيبراني لإنترنت الأشياء
Memory Management Unit
وحدة إدارة الذاكرة
Memory Protection Unit
وحدة حماية الذاكرة
National Cryptographic Standards
المعايير الوطنية للتشفير
Security Operations Center
مركز عمليات الأمن السيبراني
Traffic Light Protocol
بروتوكول الإشارة الضوئية
جدول 3: قائمة الاختصارات
آخر تحديث : 06 أغسطس 2023
يمكنك تصفح البوابة عن طريق إعطاء أوامر صوتية بإستخدام المايكروفون
تحدث الان...
برجاء اعطاء الاوامر الصوتية من الخيارات التالية:
إخلاء المسؤولية : الترجمة إلى لغات أخرى يعتمد على ترجمة جوجل (Google)، وبالتالي فإن المركز الوطني للتنافسية غير مسؤول عن دقة المعلومات في اللغة الجديدة.
