مع تزايد الاعتماد على التقنيات المترابطة، قد تظهر مخاطر الأمن السيبراني، داخل منظومة المدينة الذكية، ولذلك يوصى بتضمين متطلبات الأمن السيبراني باستمرار، في حوكمة المدن الذكية، وتطويرها وصيانتها وإدارتها وتشغيلها؛ لضمان حماية مصالح الجهات المعنية في منظومة المدينة الذكية.
تبني أفضل ممارسات الأمن السيبراني في تصميم وتشغيل المدن الذكية
وتهدف الإرشادات، التي طرحتها الهيئة الوطنية للأمن السيبراني، على منصة "استطلاع"، إلى تحقيق الأهداف الرئيسية، الضرورية للتشغيل الآمن والصامد للمدن الذكية، من خلال تضمين الأمن السيبراني، خلال مراحل تطوير المدن الذكية؛ لمواجهة التهديدات السيبرانية، وتوجيه وإرشاد أصحاب المصلحة في المدن الذكية، لإدارة مخاطر الأمن السيبراني.
كما تهدف إلى تعزيز الوعي بالأمن السيبراني، بين أصحاب المصلحة في المدن الذكية؛ بما في ذلك التشريعات الوطنية للأمن السيبراني ذات العلاقة، وتبني أفضل ممارسات الأمن السيبراني، في تصميم وتشغيل المدن الذكية، والتكيف المستمر مع التهديدات الناشئة والتغيرات التقنية.
وتسعى الإرشادات إلى ضمان احتواء استراتيجية المدينة الذكية ورؤيتها، وخطط عملها، وأهدافها، ومبادراتها على جوانب الأمن السيبراني، الخاصة بالمدن الذكية، وإسهامها في تحقيق الالتزام بالمتطلبات التشريعية، والتنظيمية ذات العلاقة. وضمان امتلاك منظمة المدينة الذكية، الهيكليات اللازمة؛ لضمان إدارة الأمن السيبراني وتنفيذها، ضمن منظومة المدينة الذكية، وفقًا للتنظيمات والتشريعات ذات العلاقة. والتوثيق والنشر لسياسات الأمن السيبراني للمدن الذكية وإجراءاته، والالتزام بها من قبل شركاء المنظومة، للمدينة الذكية؛ بما في ذلك مشغلو عناصر البنية التحتية الرئيسية، وذلك وفقاً لمتطلبات الأعمال التنظيمية للجهة، والمتطلبات التشريعية والتنظيمية ذات العلاقة.
وتضمنت، تحديد الأدوار والمسؤوليات لجميع شركاء المنظومة، للمدينة الذكية، لإدارة متطلبات الأمن السيبراني في المدينة الذكية وتنفيذها ومراقبتها. وضمان اتباع طريقة منهجية، لإدارة مخاطر الأمن السيبراني، بما في ذلك تحديد المخاطر وتقييمها وإدارتها داخل منظومة المدينة الذكية، وضمان حماية أصول المعلومات والتقنية، بما يتسق مع متطلبات المدينة للمخاطر والالتزام.
كما نصت على شمول متطلبات الأمن السيبراني في دورة حياة إدارة مشروع تقنية المعلومات، لمبادرات المدينة الذكية؛ مما يضمن صمود البيانات، والبنية التحتية وتوفرها وسلامتها، والتأكد من أن الأمن السيبراني جزء لا يتجزأ من دورة حياة إدارة المشروع، لجميع مبادرات المدينة الذكية، بدءًا من التصميم الأولي، وحتى التشغيل. وتضمين معايير التشفير الآمن، ومبدأ الأمن من خلال التصميم، وآليات الأمان الفعالة، وتأمين الترابط والتفاعل بين الأنظمة؛ خاصة تلك التي تعالج بيانات المدينة الحساسة أو تخزنها، باستخدام استراتيجية الدفاع المتعدد المراحل.
وأكدت على الالتزام بتشريعات وتنظيمات ومعايير الأمن السيبراني للتأكد من أن برنامج الأمن السيبراني للجهات، داخل منظومة المدينة الذكية، يتوافق مع المتطلبات التنظيمية والتشريعية ذات العلاقة. والتأكد من تنفيذ ضوابط الأمن السيبراني؛ لتكون ملتزمة ومتوافقة مع متطلبات الأمن السيبراني للمدن الذكية.
إعداد متطلبات شاملة للأمن السيبراني لجميع العاملين بالمدن الذكية
وفيما يخص الأمن السيبراني المتعلق بالموارد البشرية، أكدت الإرشادات على ضمان إدارة مخاطر الأمن السيبراني ومتطلباته، المتعلقة بالعاملين (الموظفين والمتعاقدين) لشركاء منظومة المدينة الذكية، بشكل فعال، خلال دورة حياة التوظيف، وفقاً للسياسات والإجراءات التنظيمية، وإعداد متطلبات شاملة للأمن السيبراني لجميع العاملين، بما في ذلك الشروط التعاقدية، وإجراء عمليات المسح الأمني للأدوار الحساسة، والتدريب الإلزامي على الأمن السيبراني. والمراجعة بانتظام، والتعديل على إمكانية العاملين للوصول إلى أصول المعلومات والتقنية؛ بما يتسق مع أدوارهم، مما يضمن الرفض، والإلغاء الفوري للوصول إلى أصول المعلومات والتقنية، عند تغيير أدوارهم أو إنهائها.
وأشارت الإرشادات إلى ضمان وجود آليات كافية؛ لتعزيز الأمن السيبراني عبر المدن الذكية؛ لحماية المعلومات، وأصول المعلومات، ضد الهجمات السيبرانية، من خلال الاحتفاظ بقائمة جرد دقيقة وحديثة، لجميع أصول الأجهزة والبرامج، وتصنيفها حسب الحساسية، والجهة المسؤولة عنها، وتطبيق معايير عالية، لإدارة الهويات والوصول؛ ويتضمن ذلك، مبدأ الحد الأدنى من الصلاحيات، والمراقبة المستمرة، ومبدأ التحقق متعدد العناصر للهوية، ومبدأ الثقة الصفرية، وآليات التحكم في الوصول لجميع المستخدمين والأجهزة، وتطوير إجراءات آمنة لإدارة الهويات، وبيانات الاعتماد، والشهادات الرقمية، والتحقق منها ومنحها الصلاحية، والتعاون مع الموردين والشركات المصنعة، لتطبيق التصحيحات، والتحديثات الأمنية، في الوقت المناسب.
وتنفيذ التدابير اللازمة لضمان سلامة البيانات وسريتها وتوفرها باستخدام التقنيات المتطورة، وحلول التخزين الاحتياطية، وفحص الثغرات واكتشافها، ومراقبتها باستمرار، ومعالجتها وتطوير القدرات لجمع أحداث الأمن السيبراني وحوادثه، وتحليلها والإبلاغ عنها، وإدارتها؛ وتعزيز ثقافة الوعي بالأمن السيبراني عند إدارة المدينة الذكية، وبين جميع أصحاب المصلحة؛ بما في ذلك السكان، لتعزيز الوضع الأمني العام.
وتشجيع الممارسات الرقمية الآمنة، وضمان توفر متطلبات صمود الأمن السيبراني، ضمن خطة إدارة استمرارية الأعمال للمدينة الذكية؛ وذلك من أجل تعزيز سلامة البنية التحتية الرقمية، والمادية؛ أثناء حوادث الأمن السيبراني وبعدها، وتضمين سيناريوهات تهديدات الأمن السيبراني في خطط استمرارية الأعمال، والتعافي من الكوارث، وتطوير خطط إدارة الحوادث، وإجراء تدريبات وتمرينات منتظمة، بناءً على سيناريوهات تحاكي واقع الحوادث السيبرانية.
كما يجب ضمان الإدارة الفعالة، والتخفيف من مخاطر الأمن السيبراني، المرتبطة بالأطراف الخارجية، ومقدمي الخدمات، والتزامهم بمعايير الأمن السيبراني وإجراءاته الخاصة بالمدن الذكية، ووضع متطلبات صارمة، للأمن السيبراني، لشركاء المنظومة من الأطراف الخارجية، المشاركين في معالجة بيانات المدينة، أو تخزينها؛ والتأكد من أن الشركاء يعتمدون استخدام التدابير المناسبة، للحذف الآمن للبيانات؛ وإيقاف استخدام الأصول بعد انتهاء الخدمة، والحفاظ على خصوصية البيانات وسلامتها.
وشددت الإرشادات على الإدارة الفعالة لمخاطر الأمن السيبراني، المرتبطة بمنصات الحوسبة السحابية والاستضافة، وتطبيق متطلبات الأمن السيبراني؛ لتوفير الحماية الكافية، لأصول المعلومات، المستضافة على السحابة.