مع تسارع وتيرة التحول الرقمي في منطقة الشرق الأوسط، تواجه بعض القطاعات تحديات فريدة من نوعها في مجال الأمن السيبراني؛ نظرًا لأهميتها البالغة في الاقتصادات الوطنية والسلامة العامة. وتتعرض قطاعات مثل: قطاع الطاقة، والتمويل، والرعاية الصحية بشكل خاص للتهديدات السيبرانية؛ بسبب البيانات عالية القيمة التي تتعامل معها ودورها في دعم البنية التحتية الوطنية. ولمواجهة هذه التحديات، وُضعت أُطر عمل للأمن السيبراني خاصة بكل قطاع وأُدمجت في الاستراتيجيات الوطنية للأمن السيبراني. وتوفر هذه الأُطر مبادئ توجيهية مصممة خصيصًا لضمان أمن البيانات الحساسة، وحماية البنية التحتية الحيوية، وتعزيز الامتثال للوائح القطاع.
وفي هذه المقالة التدوينية نستكشف أُطر العمل الرئيسية الخاصة بكل قطاع في الشرق الأوسط، مع التركيز على دورها في حماية الأنظمة والبيانات الحساسة وضمان استمرارية الأعمال والامتثال والمرونة ضد الهجمات السيبرانية المتطورة.
الطاقة
تضمّ منطقة الشرق الأوسط بعضًا من أكبر احتياطيات النفط والغاز في العالم؛ ما يجعل قطاع الطاقة ركيزة أساسية في اقتصادها. ومع تبّني هذا القطاع للتقنيات المتقدمة، مثل: إنترنت الأشياء، والذكاء الاصطناعي لتحقيق الكفاءة التشغيلية، يصبح هذا القطاع أيضًا هدفًا رئيسيًا للهجمات السيبرانية. إذ غالبًا ما يستهدف العاملون في مجال التهديدات البنية التحتية للطاقة لتعطيل العمليات، أو يقومون بسرقة البيانات الحساسة، أو التسبّب في أضرار مادية. وإدراكًا لهذه الثغرات، تم شمول ضوابط الأمن السيبراني المخصّصة ضمن أُطر عمل وطنية أوسع نطاقًا، مثل:
ضوابط الأمن السيبراني للأنظمة التشغيلية في المملكة العربية السعودية (OTCC)
يوفّر إطار عمل ضوابط الأمن السيبراني للأنظمة التشغيلية مجموعة متكاملة من الضمانات التقنية الهادفة إلى حماية بيئات الأنظمة التشغيلية. ويشمل ذلك أنظمة التحكم الصناعي (ICS) وأنظمة التحكم الإشرافي واكتساب البيانات (SCADA)، المستخدَمة في مراقبة البُنى التحتية الحيوية واسعة النطاق والتحكم بها، مثل خطوط أنابيب النفط والغاز، وشبكات الطاقة، وأنظمة توزيع المياه.
وقد طوّرت الهيئة الوطنية للأمن السيبراني هذا الإطار، بصفتها جهة حكومية مختصة تتولى تنظيم وتعزيز ممارسات الأمن السيبراني في كلٍ من القطاعين العام والخاص داخل المملكة العربية السعودية.
ويغطي الإطار عدة مجالات رئيسية، من أبرزها: حوكمة الأمن السيبراني، وآليات الدفاع، وتعزيز القدرة على الصمود أمام التهديدات. كما يتضمن متطلبات أساسية، مثل إجراء تقييمات مخاطر الأمن السيبراني لأصول التقنيات التشغيلية وأنظمة التحكم الصناعي، وتطبيق إدارة الهوية والوصول (IAM)، إضافةً إلى دمج مكونات الأمن السيبراني في دورة حياة مشاريع التقنيات التشغيلية وأنظمة التحكم الصناعي.
القطاع المالي
يُعَد القطاع المالي في الشرق الأوسط هدفًا عالي القيمة للتهديدات السيبرانية نظرًا للكميات الهائلة من البيانات المالية الحساسة التي يعالجها ولدور القطاع في الاستقرار الاقتصادي. ولتعزيز الأمن السيبراني وضمان الامتثال التنظيمي، يجب على المؤسسات المالية الالتزام بالأُطر الأمنية الخاصة بالقطاع والمصممة لحماية البنية التحتية المالية الحساسة، والتخفيف من المخاطر السيبرانية، وتعزيز القدرة على الصمود في وجه التهديدات. وتشمل أُطر العمل الرئيسية التي تشكل ممارسات الأمن السيبراني في القطاع المالي في الشرق الأوسط ما يلي:
لوائح حماية البيانات في الإمارات العربية المتحدة
في دولة الإمارات العربية المتحدة، وضع سوق أبوظبي العالمي (ADGM) لوائح لحماية البيانات في سوق أبوظبي العالمي، من خلال تحديد متطلبات خصوصية البيانات والحوكمة للمؤسسات العاملة في المركز المالي في أبوظبي. تهدف هذه اللوائح، والتي تم تصميمها على غرار المعايير الدولية مثل اللائحة العامة لحماية البيانات (GDPR)، إلى حماية البيانات الشخصية وضمان ممارسات مسؤولة في التعامل مع البيانات داخل القطاع المالي. وهي تحتوي على أحكام محددة بشأن حقوق البيانات الفردية، وعمليات نقل البيانات واتفاقيات معالجة البيانات مع أطراف ثالثة، وتقييمات تأثير حماية البيانات (DPIAs).
إطار عمل الأمن السيبراني للبنك المركزي السعودي (SAMA)
وضع البنك المركزي السعودي، مؤسسة النقد العربي السعودي سابقًا، إطار عمل البنك المركزي السعودي للأمن السيبراني (SAMA)؛ لتوحيد استراتيجيات الأمن السيبراني في القطاع المالي، وتعزيز مرونة الخدمات المالية، والبنية التحتية الحيوية. وبموجبه يتعين على البنوك وشركات التأمين والكيانات المالية الأخرى الالتزام بمتطلبات محددة، مصنفة تحت أربعة مجالات رقابية، هي: القيادة والحوكمة، وإدارة المخاطر والامتثال، والعمليات والتكنولوجيا، والأمن السيبراني للأطراف الثالثة. وهي تغطي مجالات متنوعة بدءًا من التوعية والتدريب، ومرورًا بالتشفير وبنية الأمن السيبراني، وصولًا إلى عمليات التدقيق والامتثال لمعايير الصناعة مثل PCI DSS؛ لتعزيز بيئة آمنة وجديرة بالثقة للمعاملات المالية.
الرعاية الصحية
يواجه قطاع الرعاية الصحية في الشرق الأوسط مخاطر متزايدة في مجال الأمن السيبراني؛ نظرًا لاعتماده المتزايد على السجلات الصحية الإلكترونية (EHR) والتقنيات الطبية الرقمية. ويُعَد ضمان سرية بيانات المرضى وسلامتها وتوافرها أولوية حاسمة يتم تناولها ضمن أُطر عمل خاصة بالقطاع مثل:
معيار أبوظبي لمعلومات الرعاية الصحية والأمن السيبراني (ADHICS) في دولة الإمارات
يُعدّ هذا المعيار، الذي وضعته دائرة الصحة في أبوظبي، إطارًا متكاملًا يضمّ مجموعة شاملة من الضوابط المنظّمة لجميع الجهات التي تتعامل مع المعلومات الصحية. وتُصنَّف هذه الضوابط إلى ثلاثة مستويات رئيسية: أساسي، ومستوى المعاملات، ومتقدم، مع متطلبات ترخيص وتنفيذ تتناسب مع حجم منشآت الرعاية الصحية ودرجة تعقيدها. كما يحدّد المعيار جملة من المتطلبات الإلزامية، تشمل: إجراء تقييمات للمخاطر ووضع تدابير للحدّ منها، وتطوير سياسات وإجراءات لأمن المعلومات، إضافة إلى تصنيف الأصول وإدارتها. ويغطي المعيار نطاقًا واسعًا من المجالات، من أبرزها: أمن الموارد البشرية، والأمن المادي والبيئي، وإدارة التحكم في الوصول، وإدارة العمليات، والاتصالات، وإدارة مخاطر الأطراف الثالثة، فضلًا عن اقتناء أنظمة المعلومات وتطويرها وصيانتها، وغيرها من الجوانب الداعمة لتعزيز الخصوصية والأمن في قطاع الرعاية الصحية.
ابدأ مع 6clicks
تقدم 6clicks منصة قوية لمساعدة المؤسسات في الشرق الأوسط على التعامل مع تعقيدات الامتثال للأمن السيبراني في مختلف القطاعات. استفِد من الإمكانات المتطورة لتعزيز جهودك في مجال الأمن السيبراني والامتثال:
- بُنية Hub & Spoke الثورية: صُممت البنية الفريدة للمنصة لمساعدة المؤسسات التي تدير شركات فرعية أو وحدات أعمال متعددة على مركَزة الحوكمة مع تمكين الاستقلالية والمرونة المحلية. حيثُ يمكن إدارة وتوزيع السياسات وأُطر العمل والمعايير الأساسية من نظام مركزي، والسماح للكيانات الخاضعة للتنظيم بالعمل بشكل مستقل مع عمليات وضوابط مخصّصة.
- الامتثال المدعوم بالذكاء الاصطناعي: يُسهم الذكاء الاصطناعي في تبسيط تطبيق أُطر الأمن السيبراني وتسريع تحقيق الامتثال بكفاءة أعلى. استفِد من قدرات الذكاء الاصطناعي عبر Hailey، محرك الذكاء الاصطناعي الخاص بشركة 6clicks، والذي يمكّنك من أتمتة مجموعة واسعة من العمليات، مثل مطابَقة الضوابط مع الأُطر التنظيمية، والإجابة عن أسئلة التدقيق المتكررة، وتحديد المخاطر والثغرات المحتملة، إضافةً إلى إنشاء وتتبع مهام المعالجة والإصلاح بشكل ذكي ومنهجي.
- وظائف شاملة للحوكمة وإدارة المخاطر والامتثال: توفر 6clicks مجموعة كاملة من الأدوات، بما في ذلك إدارة المخاطرالمتكاملة، وإدارة الضوابط، وإدارة مخاطر الطرف الثالث، ووحدات التدقيق والتقييم، ويمكن لمؤسسات الشرق الأوسط الاستفادة من تلك الميزات لإجراء تقييمات المخاطر بكفاءة، وأتمتة مراقبة الضوابط، وتبسيط تدفقات عمل التدقيق، وإدارة برامج الامتثال الخاصة بها من منصة واحدة.
اعرف كيف يمكن لـ 6clicks، دعم مؤسستك بالتواصل مع خبرائنا.
