Reklama

Cyberbezpieczeństwo

Arabia Saudyjska. Instytucje i system cyberbezpieczeństwa

Arabia Saudyjska. Jak radzi sobie z cyberbezpieczeństwem?
Arabia Saudyjska. Jak radzi sobie z cyberbezpieczeństwem?
Autor. Akhilesh Sharma/ Unsplash

Arabia Saudyjska ma największy rynek teleinformatyczny na Bliskim Wschodzie, który cały czas się rozwija. Rocznie dochodzi do ponad 20 mln ataków na saudyjskie podmioty, które w większości są w pełni neutralizowane.

Ewolucja obserwowana jest od czasu pierwszego cyberataku na Saudi Aramco, gdy Arabia Saudyjska wprowadziła serię rozwiązań mających na celu ograniczenie występowania ataków cybernetycznych. Rijad ma dalekosiężne plany i potwierdza utworzenie Instytutu Globalnego Forum Cyberbezpieczeństwa, który będzie platformą służącą zwiększaniu stabilności, bezpieczeństwa i rozwoju cyberprzestrzeni dla wszystkich państw na świecie.

Królestwo Arabii Saudyjskiej (KAS) jest jednym z najważniejszych państw pod względem bezpieczeństwa na Bliskim Wschodzie. KAS jest również największym ośrodkiem technologii informacyjnych i komunikacyjnych w regionie. Z tych względów jest narażony na różnego rodzaju ataki cybernetyczne, o czym świadczą liczne incydenty mające miejsce na przestrzeni ostatnich kilku lat.

Czytaj też

Na początku 2021 r. liczba ataków cybernetycznych w kraju przekroczyła 7 milionów w pierwszych dwóch miesiącach. W 2016 r. ukazał się dokument „Saudi Vision 2030”, w którym zostały określone priorytety rozwoju Królestwa Arabii Saudyjskiej. Jednym z nich jest cyfrowa transformacja, polegająca na digitalizacji, przeniesieniu usług prywatnych oraz państwowych do strefy cyfrowej oraz skupieniu się na rozwoju technologii informatycznych.

W 2017 r. został powołany Krajowy Urząd ds. Cyberbezpieczeństwa (z ang. National Cybersecurity Authority, NCA), który jest podmiotem rządowym i głównym organem odpowiedzialnym za cyberbezpieczeństwo w kraju. NCA został utworzony na mocy rozporządzenia królewskiego, które łączy instytucję bezpośrednio z królem Salmanem ibn Abd al-Aziz Al Su’udem. Z uwagi na fakt, że KAS jest monarchią absolutną, również w kwestii Cyberbezpieczeństwa to król, posiada ostateczne zdanie w tych kwestiach.

Oprócz króla, za Krajowy Urząd ds. Cyberbezpieczeństwa odpowiada książe koronny Arabii Saudyjskiej Mohammed bin Salman. W skład kierownictwa agencji wchodzi też doradca ds. bezpieczeństwa narodowego, Musaad bin Mohammed Al Aiban. NCA pełni zarówno funkcje regulacyjne, jak i operacyjne związane z cyberbezpieczeństwem oraz ściśle współpracuje z podmiotami publicznymi oraz prywatnymi w celu poprawy cyberbezpieczeństwa kraju.

Usprawnienie systemów cyberbezpieczeństwa wchodzi w zakres ochrony żywotnych interesów KAS, bezpieczeństwa narodowego, infrastruktury krytycznej, sektorów o wysokim priorytecie oraz usług i działań rządowych zgodnie z dokumentem „Vision 2030”. Zgodnie z oficjalnym statutem NCA, cyberbezpieczeństwo definiuje się jako „ochronę systemów i sieci informatycznych, a także systemów oraz komponentów technologii operacyjnych, w tym sprzętu i oprogramowania, wraz ze świadczonymi przez nie usługami i zawartymi w nich danymi, przed bezprawnym włamaniem, utrudnianiem, modyfikacją, dostępem, użyciem lub wykorzystaniem”.

NCA posiada szeroki zakres kompetencji, który obejmuje między innymi opracowanie krajowej strategii cyberbezpieczeństwa, a także nadzorowanie jej wdrażania, tworzenie ram cyberbezpieczeństwa, kontrole i zgodność systemów cyberbezpieczeństwa, budowanie i prowadzenie ośrodków operacyjnych ds. cyberbezpieczeństwa, rozwijanie kompetencji ludzkich w zakresie cyberbezpieczeństwa, podnoszenie świadomości na temat cyberbezpieczeństwa, stymulowanie wzrostu sektora cyberbezpieczeństwa oraz zachęcanie do innowacji i inwestycji w tym zakresie, a także, nawiązywanie kontaktów z podobnymi agencjami za granicą i podmiotami prywatnymi w celu wzajemnej wymiany wiedzy oraz doświadczenia z zakresu cyberbezpieczeństwa.

Czytaj też

W ramach NCA utworzono szereg komitetów sektorowych w celu zwiększenia cyberbezpieczeństwa w poszczególnych sektorach zgodnie z ramami legislacyjnymi. Wyszczególnia się następujące sektory: energetyczny, ochrony zdrowia, handlu, mediów, komunalny, łączności, technologii informacyjnych, finansowy, pielgrzymek, edukacji, transportu , wody, środowiska i rolnictwa. NCA wspiera działalność komitetów sektorowych poprzez powoływanie zespołów reagowania na incydenty cybernetyczne w każdym z sektorów zgodnie z modelem zarządzania danego komitetu.

Za pośrednictwem działu Cyber Research and Development, NCA realizuje swoje cele badawczo-rozwojowe, między innymi prowadzi nowoczesne badania w celu dostarczania innowacyjnych rozwiązań. Badania te opierają się na bieżących wyzwaniach związanych z cyberbezpieczeństwem, koncentrując się na takich dziedzinach, jak bezpieczeństwo infrastruktury krytycznej, bezpieczeństwo sieci i stron internetowych, skuteczne wykrywanie cyberataków. Cyber Research and Develompent ma na celu tworzenie rozwiązań, które skutecznie przyczyniają się do zwiększenia zasobu informacji o zagrożeniach, wzmocnienia zapór ogniowych oraz wsparcia systemów IDS nowej generacji.

NCA ma obowiązek opracowywać i aktualizować polityki, ramy, standardy oraz wytyczne związane z cyberbezpieczeństwem, a także udostępniać je odpowiednim podmiotom i monitorować ich przestrzeganie. Wśród opracowań NCA możemy znaleźć liczne szablony opisujące standardy dotyczące poszczególnych zagadnień, między innymi bezpieczeństwo adresów e-mail, telefonów komórkowych, serwerów, aplikacji webowych oraz social mediów. Istnieje również dokument, który dotyczy zarządzania rejestrem ryzyka, za pomocą którego jesteśmy w stanie zidentyfikować potencjalne zagrożenia dla naszego przedsiębiorstwa.

Z pewnością można stwierdzić, iż Arabia Saudyjska posiada rozbudowaną politykę cyberbezpieczeństwa i w dodatku oferuje różne rozwiązania dla przedsiębiorstw oraz zwykłych użytkowników w postaci ogólnodostępnych szablonów, z których można korzystać przy zabezpieczaniu swojej firmy czy domu. Wszystkie szablony i dokumenty znajdują się na oficjalnej stronie NCA (nca.gov.sa).

Czytaj też

Istotny głos społeczny

Co ciekawe, opinia publiczna ma znaczenie. Do każdej propozycji projektu ustawy lub dyrektyw istnieje możliwość wypowiedzenia się w tej sprawie przez społeczeństwo. Swoje uwagi, zastrzeżenia lub korekty można wysłać na dwa sposoby: bezpośrednio na adres e-mail: [email protected] lub poprzez platformę konsultacji społecznych „Istitlaa”.

NCA jest również inicjatorem wielu przedsięwzięć. Prowadzi program Akcelerator Cyberbezpieczeństwa, którego celem jest wspieranie rozwoju cyberbezpieczeństwa w państwie poprzez wzmacnianie pozycji lokalnych przedsiębiorców i start-upów za pomocą możliwości inwestycyjnych, mentoringu i dostępu do lokalnej oraz globalnej specjalistycznej wiedzy. NCA organizuje CyberIC, do którego mogą zgłaszać się zespoły realizujące projekty związane z cyberbezpieczeństwem. Na zwycięzców czeka 6-miesięczny program innowacji, który zapewnia intensywne sesje naukowe oraz opiekę mentorską lokalnych i międzynarodowych ekspertów w dziedzinie innowacji, cyberbezpieczeństwa oraz technologii przyszłości.

Krajowy Urząd ds. Cyberbezpieczeństwa

W ramach mandatu wydanego na mocy dekretu królewskiego, Krajowy Urząd ds. Cyberbezpieczeństwa ma na celu stymulowanie wzrostu, inwestycji i innowacji w sektorze cyberbezpieczeństwa Królestwa. W ramach swoich wysiłków na rzecz ochrony żywotnych interesów KAS oraz podniesienia poziomu usług cybernetycznych świadczonych na rzecz instytucji krajowych, NCA został upoważniony do wydawania licencji podmiotom pozarządowym, prowadzącym działalność i operacje związane z cyberbezpieczeństwem.

W tym celu uruchomiono platformę rejestracji dostawców usług online dla każdego podmiotu świadczącego usługi, rozwiązania lub produkty z zakresu cyberbezpieczeństwa na terenie Królestwa. Rejestracja na platformie cyfrowej właściwego organu krajowego jest wymogiem regulacyjnym, począwszy od 1 sierpnia 2022 r. Na stronie NCA możemy sprawdzić listę zarejestrowanych podmiotów, co może pomóc nam w decyzji czy dana firma jest godna zaufania i spełnia rządowe wymogi dotyczące bezpieczeństwa cybernetycznego.

Wytyczne i regulacje z zakresu Cyberbezpieczeństwa w KAS wprowadzone przez NCA:

  • Essential Cybersecurity Controls (ECC), które służą jako podstawa ochrony krytycznych systemów i wrażliwych danych. Obejmują szereg środków, od kontroli dostępu po planowanie reagowania na incydenty.
  • Cloud Cybersecurity Controls (CCC) w celu zabezpieczenia danych i aplikacji w chmurze. Dotyczą szyfrowania danych, zarządzania tożsamością i dostępem oraz monitorowania zgodności w środowisku chmury.
  • Kontrola cyberbezpieczeństwa systemów krytycznych (CSCC) - w celu ochrony infrastruktury krytycznej opracowano system kontroli cyberbezpieczeństwa systemów krytycznych (Critical Systems Cybersecurity Controls, CSCC). Koncentruje się na segmentacji sieci, wykrywaniu włamań i monitorowaniu krytycznych systemów w czasie rzeczywistym w celu ochrony przed zagrożeniami cybernetycznymi.
  • Telework Cybersecurity Controls (TCC), służy zapewnieniu bezpiecznego prowadzenia pracy zdalnej. Obejmuje bezpieczny dostęp do sieci VPN, ochronę punktów końcowych i bezpieczne udostępnianie plików.
  • Ochrona technologii operacyjnej (OT) ma kluczowe znaczenie dla takich branż, jak energetyka, produkcja i opieka zdrowotna. Arabia Saudyjska wdrożyła OT Cybersecurity Controls w celu ochrony infrastruktury krytycznej, w tym systemów SCADA, przed zagrożeniami cybernetycznymi.
  • Krajowe Standardy Kryptograficzne (NCS) Standardy te zawierają wytyczne dotyczące bezpiecznego szyfrowania danych, podpisów cyfrowych i bezpiecznej komunikacji, zapewniając poufność i integralność danych.
  • Saudi Cybersecurity Workforce Framework (SCyWF) określa role i kompetencje wymagane dla personelu zajmującego się cyberbezpieczeństwem.
  • SCYBER-EDU – stworzone, aby sprostać rosnącemu zapotrzebowaniu na specjalistów ds. cyberbezpieczeństwa, zachęca instytucje edukacyjne do oferowania specjalistycznych programów cyberbezpieczeństwa.

Oprócz wyżej wymienionych, KAS stosuje się również do światowych ram cyberbezpieczeństwa jakimi są NIST CFS oraz norma ISO 27001.

W skład NCA wchodzi również Zespół Reagowania na Incydenty Komputerowe (CERT), który został przeniesiony na mocy dekretu z Komisji ds. Komunikacji i Technologii Informacyjnych (CITC).

System cyberbezpieczeństwa

Główną misją Saudi CERT jest zwiększanie poziomu wiedzy oraz podnoszenie świadomości w zakresie cyberbezpieczeństwa w Królestwie Arabii Saudyjskiej poprzez:

  • Podnoszenie poziomu świadomości obywateli, sektora prywatnego i podmiotów krajowych.
  • Zatwierdzanie strategii dotyczących wykrywania i analizy zagrożeń.
  • Wysyłanie alertów, aby ostrzegać i chronić obywateli oraz przedsiębiorstwa.
  • Wspieranie rozwoju krajowego poziomu bezpieczeństwa cybernetycznego.
  • Zachęcanie organizacji rządowych i prywatnych do rozbudowywania swoich systemów zabezpieczeń, a także rozwijanie wiedzy na temat cyberbezpieczeństwa wśród osób fizycznych poprzez organizowanie wydarzeń oraz warsztatów.
  • Współpraca i budowa partnerstwa krajowego oraz międzynarodowego.
  • Uczestniczenie w międzynarodowych wydarzeniach i konferencjach w celu wymiany doświadczeń i informacji.
  • Udostępnianie listy dobrych praktyk w zakresie cyberbezpieczeństwa i prowadzenie programów edukacyjnych.

Saudi CERT ma za zadanie ostrzeganie o najnowszych i najbardziej niebezpiecznych lukach w zabezpieczeniach. W ramach swojej działalności prowadzi także programy i kampanie uświadamiające społeczeństwo oraz współpracuje z innymi zespołami reagowania, aby zapewnić wysoki poziom bezpieczeństwa.

Na stronie Saudi CERT codziennie udostępniane są alerty bezpieczeństwa ostrzegające przed zagrożeniami, w tym lukami, atakami i dotyczące aktualizacji technicznych. Są one klasyfikowane na podstawie 4 poziomów ważności: krytyczny; wysoki; średni; niski.

W alercie mamy podaną datę ostrzeżenia, poziom ważności, numer ostrzeżenia, sektor, którego to ostrzeżenie dotyczy, opis oraz rekomendacje dotyczące tego. jak należy dalej postępować.

Rola w G20

Arabia Saudyjska jest również państwem członkowskim G20, czyli międzynarodowego forum skupiającego największe gospodarki świata. Jej członkowie stanowią ponad 80 proc. światowego PKB, 75 proc. światowego handlu i 60 proc. populacji planety. Dlatego też ze względu na ilość i krytyczność uczestniczących stron – oraz cyfrowy charakter komunikacji – zapewnienie cyberbezpieczeństwa ma kluczowe znaczenie.

Na swoją prezydencję w G20 w 2021 r. KAS przygotowało dokument pod nazwą „Saudyjski model wzmocnienia odporności cybernetycznej podczas prezydencji Królestwa w G20”. Przedstawiono tam cele i strategie wzmocnienia bezpieczeństwa cybernetycznego w G20, których realizacja odbywała się we współpracy z krajowym organem saudyjskim ds. cyberbezpieczeństwa – NCA.

W opisie instytucji zajmujących się cyberbezpieczeństwem w Królestwie Arabii Saudyjskiej, warto również wspomnieć o Tanqia Cyber, czyli spółce będącej w całości własnością Saudyjskiego Funduszu Inwestycji Publicznych. Taqnia Cyber ma na celu zwiększanie dywersyfikacji gospodarki KAS poprzez rozwój technologii cybernetycznych. Jest pionierem w rozwoju niestandardowych rozwiązań niszowych produktów cyberbezpieczeństwa, a także specjalistycznych programów szkoleniowych. W swojej ofercie posiada usługę zapory sieciowej RAD oraz Authenticator RAD.

Arabia Saudyjska - plany na przyszłość

Podsumowując, instytucje oraz system cyberbezpieczeństwa w Arabii Saudyjskiej odznacza się niezwykłą innowacyjnością oraz przejrzystą strukturą z jasno wyznaczonymi celami. Nietrudno odnaleźć się w dyrektywach oraz ustawach wydawanych przez NCA, ponieważ wszystkie są łatwo dostępne na ich stronie internetowej. Bieżące monitorowanie zagrożeń, pozwala na skuteczne reagowanie na incydenty, a do każdego z nich dodatkowo podawane są wytyczne do dalszego działania. Arabia Saudyjska nadal rozwija się w temacie bezpieczeństwa cybernetycznego i już posiada plany na przyszłość.

Zgodnie z dekretem królewskim, wydanym w czerwcu 2023 r., Arabia Saudyjska potwierdza plany utworzenia Instytutu Globalnego Forum Cyberbezpieczeństwa (GCFI) ze stolicą w Rijadzie. GCFI będzie platformą służącą zwiększaniu stabilności, bezpieczeństwa i rozwoju cyberprzestrzeni na poziomie globalnym. Osobiście jestem bardzo ciekawa, jak potoczy się ta inicjatywa. Z pewnością KAS będzie chciało się dalej rozwijać, tak jak można zauważyć nie tylko na poziomie krajowym, ale również międzynarodowym.

Autorzy: dr Aleksander Olech, Dorota Kwaśniewska

Reklama
Reklama
Reklama

Komentarze