في خطوة استراتيجية تهدف إلى تعزيز البنية التحتية الرقمية للمملكة، أصدرت الهيئة الوطنية للأمن السيبراني توجيهات ملزمة لمؤسسات القطاع الخاص بضرورة إنشاء وحدة إدارية متخصصة في الأمن السيبراني. ونصت الضوابط الجديدة على أن ترتبط هذه الوحدة مباشرة برئيس الجهة أو من يفوضه، مع اشتراط استقلاليتها التامة عن إدارة تقنية المعلومات، لضمان الحيادية وكفاءة الرقابة على الأنظمة التقنية.
وتأتي هذه الخطوة في سياق التحول الرقمي المتسارع الذي تشهده المملكة العربية السعودية ضمن رؤية 2030، حيث أصبح الفضاء السيبراني جزءاً لا يتجزأ من الأمن الوطني والاقتصادي. وتعمل الهيئة منذ تأسيسها على رفع مستوى النضج السيبراني لدى الجهات الحكومية والخاصة على حد سواء، لضمان بيئة استثمارية آمنة وموثوقة، قادرة على التصدي للهجمات الإلكترونية التي تتزايد وتيرتها وتعقيداتها على مستوى العالم.
تصنيف الجهات ومتطلبات الامتثال
وفقاً للضوابط المعلنة، تم تصنيف منشآت القطاع الخاص إلى فئتين رئيسيتين بناءً على حجم القوى العاملة. الفئة الأولى هي الجهات الكبيرة التي تضم أكثر من 250 موظفاً بدوام كامل، حيث أُلزمت بتطبيق معايير دقيقة تشمل توفير 3 مكونات أساسية، و22 مكوناً فرعياً، بالإضافة إلى 65 ضابطاً أساسياً لضمان أعلى درجات الحماية. أما الفئة الثانية، فهي الجهات المتوسطة والصغيرة (من 6 إلى 249 موظفاً)، والتي طُولبت بتوفير مكون أساسي واحد، و13 مكوناً فرعياً، و26 ضابطاً أساسياً.
وشددت الهيئة على ضرورة إسناد مهام رئاسة إدارة الأمن السيبراني والوظائف الحساسة إلى كوادر وطنية مؤهلة وذات كفاءة عالية. وتهدف هذه الإدارات بشكل رئيسي إلى حماية الأصول المعلوماتية للجهة من التهديدات المتنوعة، مع التركيز على نشر الوعي حول مخاطر التصيد الإلكتروني، وأهمية استخدام كلمات مرور معقدة، واتباع أفضل الممارسات الأمنية عند التعامل مع منصات التواصل الاجتماعي، فضلاً عن وضع آليات واضحة وسريعة للإبلاغ عن الحوادث والسلوكيات الرقمية المشبوهة.
تعزيز حماية الهوية والشبكات
تضمنت الضوابط تفاصيل دقيقة حول إدارة هويات الدخول والصلاحيات، حيث يجب توثيق واعتماد سياسات التحقق من هوية المستخدمين باستخدام آليات مصادقة قوية. وألزمت الضوابط بتطبيق المصادقة متعددة العوامل (MFA) على كافة عمليات الدخول، بما في ذلك البريد الإلكتروني والتطبيقات الخارجية، مع تطبيق مبدأ "الحد الأدنى من الصلاحيات" ومبدأ "الحاجة إلى المعرفة" لتقليص مساحة المخاطر المحتملة.
وفيما يخص حماية قنوات الاتصال، أوجبت الضوابط على إدارة الأمن السيبراني تبني تقنيات حديثة لتحليل وتصفية البريد الإلكتروني للكشف عن الرسائل الاحتيالية وهجمات التصيد، بالإضافة إلى الحماية من التهديدات المتقدمة المستمرة (APTs) والبرمجيات الخبيثة غير المعروفة (Zero-day attacks). كما شملت المتطلبات تأمين تصفح الإنترنت عبر حجب المواقع المشبوهة، واستخدام أنظمة متطورة لكشف ومنع الاختراقات (IPS/IDS)، وتوفير حلول للحماية من هجمات حجب الخدمة الموزعة (DDoS)، مما يعزز من استمرارية الأعمال ويقلل من الآثار الاقتصادية للمخاطر السيبرانية.
