كيف سيحمي «المعيار الوطني» بياناتك الرقمية من التزوير والاختراق؟
أطلقت الهيئة الوطنية للأمن السيبراني وثيقة ”المعيار الوطني للتشفير للجذر السعودي ومزوّدي خدمات إصدار الشهادات الرقمية“ عبر منصة ”استطلاع“.
يأتي ذلك في خطوة استراتيجية تهدف إلى تحصين البنية التحتية الرقمية للمملكة عبر فرض بروتوكولات تشفير موحدة، وإلزام الجهات المزودة بمعايير أمنية ومكانية صارمة لضمان السيادة الرقمية وصد التهديدات السيبرانية المتنامية.
واستهدفت الهيئة من خلال المعيار الجديد بناء سد منيع حول منظومة ”الجذر السعودي“ ومزودي خدمات التصديق الرقمي، لرفع مستوى الصمود السيبراني الوطني وتوحيد الإجراءات التقنية التي تحكم الفضاء الرقمي في المملكة.
وتسعى الوثيقة إلى تنظيم دقيق لدورة حياة الشهادات الرقمية، بدءاً من لحظة التوليد مروراً بالتجديد وصولاً إلى الإلغاء، لضمان عدم استغلال أي ثغرة قد تنجم عن تقادم الشهادات أو ضعف إدارتها.
وألزم المعيار الجهات المعنية بالاحتفاظ بسجلات تدقيق شاملة للأحداث المرتبطة بالشهادات لمدة لا تقل عن 24 شهراً، مع تخزينها وفق آليات آمنة تضمن سلامتها من التلاعب وتوفر نسخاً احتياطية قابلة للاسترجاع.
وشددت الهيئة على ضرورة التحقق الصارم من هوية مالكي الشهادات، سواء كانوا أفراداً أو كيانات، واشترطت التأكد التقني من امتلاكهم للمفتاح الخاص المتطابق مع المفتاح العام للشهادة قبل أي إجراء.
وفي خطوة لتعزيز الموثوقية، فرضت الوثيقة تحديث قوائم إلغاء الشهادات ”CRL“ خلال مدة زمنية لا تتجاوز 12 ساعة، لقطع الطريق أمام أي استخدام غير مشروع لشهادات تم اختراقها أو فقدانها.
وتطرقت اللائحة إلى تنظيم التواقيع الإلكترونية، مشترطة أن تكون فريدة لمالكها ومرتبطة بطوابع زمنية دقيقة تعتمد على مصادر عالمية مثل ”GPS“ لمنع التلاعب بتوقيت العمليات الرقمية.
ولضمان أعلى درجات الأمان، نص المعيار على قاعدة ”الشخصين“ التي تمنع انفراد شخص واحد بعمليات توليد المفاتيح أو توقيع الشهادات، مستوجبة حضور مخوَّلين اثنين على الأقل لإتمام هذه العمليات الحساسة.
وفرضت الهيئة سياجاً أمنياً مادياً حول الأصول التقنية، يلزم الجهات بتطبيق رقابة بصرية مستمرة عبر الكاميرات على مدار 24 ساعة طوال أيام الأسبوع، مع حفظ سجلات الدخول للمواقع الحساسة لمدة 18 شهراً.
وأكدت الوثيقة على مبدأ السيادة الرقمية، باشتراطها استضافة جميع المواقع الرئيسية والاحتياطية للبنية التحتية للمفاتيح العامة داخل حدود المملكة العربية السعودية حصراً.
وفيما يخص استمرارية الأعمال، ألزمت الهيئة الجهات بإجراء نسخ احتياطي أسبوعي للبيانات، مع تأمين نسخة كاملة خارج الموقع شهرياً، وحفظ مفاتيح التوقيع داخل وحدات تشفير معزولة.
واختتمت الهيئة متطلباتها بضرورة وجود خطط فعالة لاستعادة الخدمات الحساسة، مثل التحقق من حالة الشهادة، لضمان عدم تأثر المستفيدين في حال وقوع أي عطل طارئ في الأنظمة الرئيسية.
