沙特阿拉伯网络就绪度报告
2018-03-16
0 引言
信息通信技术(ICT)发展和连通性排名
1993年,互联网作为达兰市法赫德国王石油与矿业大学(KFUPM)的一个学术项目被首度引入沙特王国,在该校计算机科学和工程学院实现了首次连接。[1]通过卫星,该网络连接通至直通美国马里兰州贝塞斯达市。当时沙特有限的互联网基础设施也由华盛顿协调中心(Washington Coordinating Center)管理。该中心同时还主管着沙特在美国的政府官网。由于国际宽带有限以及连接速度慢,当时法赫德国王石油与矿业大学的职工仅能使用电子邮件服务。整个二十世纪九十年代,沙特仅有学术、医疗、研究和政府等机构的少数特定员工能实现有限上网。这些机构基本都位于首都利雅得,使用法赫德国王专科医院和研究中心(KFSHRC)提供的64kbps互联网频道,并受沙特国家科技创新中心——阿卜杜拉国王科技城(KACST)的管理。法赫德国王专科医院和研究中心通过专有的卫星链路实现联网,阿卜杜拉国王科技城则通过微波链路连接到该中心。1994年,阿卜杜拉国王科技城成为沙特国家网络域名.sa的主管部门,并负责全国范围内所有网络服务的协调。沙特网络渗透率见图1。
图1 沙特网络渗透率:69.6%
1999年,沙特国内所有民众均可上网。
经过数年研究和审议,沙特部长理事会(Saudi Council of Ministries)于1997年授权阿卜杜拉国王科技城将互联网接入扩展至全国,同时委任沙特国有企业及唯一的电信服务提供商——沙特电信公司(STC)来建设国内必要信息基础设施,以促进国有互联网主干和其它互联网服务提供者(ISP)之间的相互连接。1998年,互联网管理工作划归KACST下属的互联网服务机构(ISU)负责,可向KACST负责科研支持的副主席直接汇报。1999年,互联网服务机构正式向取得牌照的商业化互联网服务提供者开放其网络,尽管沙特电信公司(直到2005年)是当时唯一的互联网服务提供商。通过互联网服务机构,KACST成为沙特国际和国内之间唯一的互联网交换节点和网关。由此,互联网服务机构负责对国内的互联网服务监管、域名(.sa)运营以及制订互联网管理规章,包括入网控制、对“有害”、“非法”、“反伊斯兰”或“具有攻击性的”网络信息过滤等。作为其职责之一,互联网服务机构实施了一个(可过滤进出信息的)互联网内容控制系统,来使其在推进公众入网率的同时,保证网上的内容符合该国保守的价值观和伊斯兰教义。
2003年,沙特通信委员会(Saudi Communications Commission)更名为通信和信息技术委员会(CTIC),代替KACST接管互联网牌照发放、信息监控和过滤工作。此外,它还向私营部门提供互联网接入服务,以及负责解决私营电信公司之间的争端。互联网服务机构则继续为政府部门以及学术研究机构提供网络接入。如今沙特通过两大国家层面的数据服务提供商——综合电信公司(Integrated Telecom Company)和Bayanat al-Oula 网络服务公司(Bayanat al-Oula for Network Services)实现网络连接。同国有企业一样,这些互联网服务提供商必须遵守相关条款(例如过滤内容等)。
1999年以来,互联网接入在沙特民众中变得普遍,沙特民众对(尤其是商业部门提供的)互联网服务需求不断增长,沙特互联网用户的数量也在迅速增长(从1999年的10万,增长至2001年的100万,再到2016年底的1650万)。2016年,几乎所有的沙特大学院校都为本校职工和学生提供免费互联网接入。沙特的医院、银行和公司也都推出面向民众的网络服务。近年来,沙特政府越来越重视互联网,并将其视作经济增长和政府高效运行的驱动力,同时在教育和公共服务领域不断扩大网络接入。沙特政府同时还将其视作摆脱过度依赖石油、实现经济多元化的重要手段。
如今,沙特已实现2100万(接近其总人口的70%)的网络接入。尽管阿联酋、卡塔尔和科威特等其他海湾国家有着更高的网络渗透率,但在面对互联网带来的新鲜事物上沙特民众接受度却更高,并在此方面为其它阿拉伯国家做出了表率。沙特民众是全球最活跃的社交媒体用户之一——沙特拥有阿拉伯地区最大的推特(Twitter)用户群。此外,其高手机持有率(177%的市场渗透率)也在不断推动互联网在沙特的使用,使得手机宽带服务需求大幅增长。最后,使用翻墙软件(如Hotspot Shield)以转接到某些政府禁掉的内容和服务的沙特民众数量正不断增加。
就资本存量和消费量来看,沙特是中东地区最大的信息通信技术(ICT)市场,正受到本地和国际公司的青睐。事实上,尽管IT产业目前对沙特GPD贡献率仅占0.4%,且其ICT市场长期靠进口拉动——超过80%的ICT消费都流向了外国企业,IT部门仍被视为其增长最快并能带来巨大发展机会的的产业之一。2019年,其网络安全市场将有望超过34亿美元。
高度盈利的沙特电信公司目前已成为一家公开上市公司。由于依然是沙特最大的信息服务提供商和中东最大的网络运营商之一,它提供了沙特绝大部分的手机、固话、互联网和电视服务。然而在二十一世纪头十年的中后期,Mobily和Zain等信息服务提供商纷纷进入市场,该公司在手机和互联网服务领域的垄断地位开始被打破。2008年,沙特电信公司推出数字通信量更大、可靠性更高以及速度更快的3G技术服务。同年,Zain公司也携4G(LTE)通信服务进入沙特手机通信市场。
尽管沙特有着70%的互联网渗透率和快速增长的手机使用率,但其电子商务仍有待发展。至少有三大原因导致其在该领域的发展迟缓。首先,沙特国内创办新企业十分困难。其次,沙特ICT费用高昂(沙特在世界ICT可负担能力上的排名为101),其国内企业通常不愿将昂贵的ICT引入企业运营中。最后,石油经济仍然主导着沙特的经济,贡献了其超过90%的政府税收,导致其企业大部分集中于石油开采、提炼、石油和液化天然气(LNG)分销等行业。
沙特政府认识到,如要进一步推进其经济发展,必须改变过度依赖石油现状,实现经济多样化。因此,沙特王储穆罕默德·本·萨勒曼(Muhammad bin Salman)—当前沙特国王萨勒曼·本·阿卜杜勒-阿齐兹(Salman bin Abdulaziz Al-Saud)的王位继承人,已制订了改变沙特过度依赖石油的经济改革展望,意图打造一个“强大、繁荣的沙特,为所有行业提供发展机会”,从而不再受“大宗商品价格波动或外部市场变化左右”。该展望内容之后被2016年公布的《沙特2030愿景》加以陈述,从而为沙特未来经济结构改进提出了包含具体目标的路线图。
该雄心勃勃的经济发展战略将数字化发展列为其目标之一,但并未列入重点领域。尽管如此,该计划也承认,如要充分从ICT产业中实现经济利益,必须推动云计算等ICT技术的使用以及为民众提供各类面向互联网的服务。该计划提出要打造三大支柱:(1)将沙特定位于阿拉伯和伊斯兰世界的心脏;(2)将沙特的角色定位于全球投资的动力源;(3)将沙特的战略位置打造成连接亚、欧、非三大洲的全球枢纽。[2]如同过去许多其它改变沙特依赖石油经济的措施一样,该计划试图在宗教保守主义和实现现代化两者之间保持平衡。该计划也带来一大矛盾:如何在有限制地使用现代技术和互联网的同时,又能大力推动沙特的经济增长。
《沙特2030愿景》与2020年“国家转型计划(NTP)”中列出的重点发展行业相一致,均强调要通过促进医疗、教育、基础设施、娱乐和旅游业发展使经济多样化,来提升私营部门的地位。该愿景的其它目标还包括:推动外国直接投资;使私营部门成为就业市场的主要雇佣者,减少公共部门和官僚机构的比重;创造更多就业机会,为劳动力市场培养相关技能;提供优良的医疗服务;扩大政府在装备和军火等军队制造业上投入等。
沙特经济与发展事务委员会(Saudi Council of Economic and Development Affairs )已被授权建立必要机制和措施来实施该愿景,协调各利益相关部门共同落实,以及监督其进展情况。该委员会已成立大量机构,如国家绩效评估中心(National Center for Performance Measurement)、执行机构(Delivery Unit)、项目管理办公室(Project Management Office)等,来对当前的各类提案以及未来的各大项目进行启动、管理、监督和评估。
尽管《沙特2030愿景》承诺将对投资者开放更多经济机会和推动国家快速转型,但这一宏大的经济计划依然没有触及政治或社会改革,也未谈及如何解决当前急需的外国技术工人问题。该愿景中也未明确沙特怎样实现可持续的国家收入,来支持新型服务导向型经济所需的基础设施建设。当前油价持续下跌导致沙特国家收入锐减,让愿景中提出的变革实施难以为继。
此外,沙特长期饱受复杂多变的地区安全挑战困扰。该安全问题导致了地区不稳定的增加。[3]这些挑战包括沙特在也门和叙利亚代价不菲的军事行动、伊斯兰国和其它极端组织不断上升的暴力极端活动、与伊朗不断紧张的双边关系以及正在与卡塔尔持续的外交危机。沙特政府试图吸引外国直接投资和推动更多私营部门企业参与经济转型,该计划或将被不断增长的针对关键基础设施和私营企业的网络袭击所破坏。
2012年8月,沙特国有油企沙特阿美石油公司就曾遭受过一场严重的破坏性网络袭击。当时沙蒙(Shamoon)病毒使该公司成千上万的硬盘驱动遭到感染、员工的邮件遭到停用、公司数据遭到破坏、以及四分之三(75%)的IT基础设施资产遭到破坏。[4]沙特阿美公司花费了数周时间才使公司恢复正常运营。由于阿美公司贡献了沙特政府收入80%且是世界最大的石油生产商,供应了全球超过10%的石油和25%以上的液化天然气,该事件因而视为一场针对沙特国家的直接袭击。袭击的恶意软件一度试图从业务系统侵入油气生产和分销网络。即使石油设施局部遭到破坏,也会对石油供应、石油价格甚至相应的全球经济造成直接影响。该事件提升了沙特政府对网络威胁的认识,令其重新关切起应对未来网络袭击的恢复能力。[5]
2012年沙特阿美石油公司遇袭事件后,沙特政府开始投入大量资源提升自身网络安全能力,以及推进国内和国际措施来解决其网络安全问题。在国内,作为着重在民众、过程和技术方面建立国家网络安全、风险消减、恢复能力框架的初步尝试,沙特开始制定“国家信息安全战略(NISS)”。该文件指出了“当今互相连接的计算机网络(以及)经济和金融活动对ICT不断快速增长的依赖带来的复杂性”,试图提出“符合沙特国家信息和ICT目标的整体战略”,同时更好地支持沙特的长期国家经济愿景和战略计划。“国家信息安全战略”和《沙特2030愿景》都强调沙特提升整体国家安全和国家恢复能力的必要性,以“为沙特向知识导向型经济转变提供有效和安全的基础”。
“国家信息安全战略”和《沙特2030愿景》都强调沙特提升整体国家安全和国家恢复能力的必要性,以“为沙特向知识导向型经济转变提供有效和安全的基础”。
然而,“国家信息安全战略”将重点置于通过制订必要的政策、规章和培养技术工人来打造一个受中央政府管控的信息安全环境上,而忽略了其它国家网络安全方面建设和关键基础设施保护(CIP)。该战略称,网络安全和关键基础设施保护建设“不在其范围内”,但由于二者是“该战略的重要补充和沙特核心国家利益和资产全面保护的必要组成部分”,应为其制订发展战略。它同时还警告,如要有效实施该战略,沙特最高领导层需达成共识。同时该战略最大的挑战是,如何让所有政府机构一致同意建立一个集中的国家信息安全环境机构。
除了“国家信息安全战略”,沙特大部分安全机构和部委也制订了自己的相关规章和措施,并建立了自己的基础设施系统,但均不受中央协调管理。而沙特缺乏一个权责清晰且有能力负责整体国家网络安全的主管机构的现实进一步加剧了这些机构各自为营的做法。
然而2017年7月,沙特国王萨勒曼发布了一系列法令,其中最突出的就是成立国家安全部(Presidency of State Security)——一个负责反恐和国内情报工作的全新国家安全机构。该机构将兼并此前内政部(MoI)下属的一些部门,如特殊紧急部队、技术事务、航空安全以及民事和军事人员、以及其它负责反恐和安全问题的处室等。根据这些法令,国家网络安全中心(NCSC)最早将于2018年1月从内政部划归国家安全部下属。届时国家网络安全中心将成为沙特网络安全的权力中心。最后,该法令还下令对内政部和皇家卫队精锐力量的高层作出职位变动,同时将新委任的国家安全部主管Abdulaziz bin Mohammed al-Howairini及其副手提升至部长级别。这些举措旨在将网络安全、反恐和国内情报等安全事务上的权力集中化,将其置于单一机构的主管之下,以能对沙特国王和王储的指示作出直接响应。[6]
如要全力支持这一新成立机构,沙特需在接下来的几个月里组建其领导层和确定初步行动。当前沙特在国家网络安全方面存在权责过于分散的问题,导致长期以来其网络安全战略规划的缺失。沙特必须解决这一问题,确保其将有限的资源投入到即时和长期网络威胁上,以改善其整体国家网络安全现状。[7]要实现《2030愿景》中提出的宏大目标以及加入全球互联网经济并从中获益,沙特需了解ICT创新带来的机会和风险,同时减少其对网上内容的过度筛查。
本报告采用网络就绪度指数2.0(CRI2.0)评估了沙特应对网络安全风险的准备度,并制定了一份行动蓝图,帮助沙特进一步了解其互联网基础设施之间的依赖性及脆弱性。基于对沙特当前网络安全形势的分析,本报告还探讨了沙特需要发展哪些能力,才能确保数字化顺利推进。本报告采用CRI2.0方法论,从七大维度(国家战略、事件响应、电子犯罪与执法、信息共享、研发投资、外交与贸易、防护与危机应对)对沙特的网络安全工作及能力评估,如图2所示。
图2 沙特网络就绪度评估(2017)
1 国家战略
2011年,作为负责网络安全和政府服务数字化的政府机构之一,沙特通信与信息技术部(MCIT)制订了沙特首个“国家信息安全战略”。这一长达90页的文件经国际高级顾问和沙特国内专家的制订和多次完善,目前已是第七版。
沙特正面临不断增长的国家安全、经济福利和文化价值观等方面威胁。这一现实凸显出制订国家网络安全战略的必要性。“国家信息安全战略”指出,“沙特国内外的网络相互连接导致其出现巨大的新型安全漏洞,并导致沙特经济文化活动受到新型威胁。一些情况下,这些新威胁甚至能导致关键ICT系统停止工作、被破坏或摧毁。” 这些威胁还包括,敌对势力可能“操纵和利用ICT系统直接损害沙特国家利益。”
该战略为沙特确立了清晰的发展愿景,并阐明其目标是通过吸收世界最佳实践成果和依靠本国高素质的专家和从业者,来为沙特提供安全坚实的数字化环境,主要包含五方面,即:(1)建设安全可靠且恢复能力佳的信息基础设施;(2)训练一支专业化的网络安全工作队伍;(3)通过增加透明度和合作,来打造可提升相互信任和信心的信息安全环境;(4)通过对电子化政府服务和基础设施提供支持,来实现国家安全目标和ICT计划及战略;以及(5)通过研发及改善商业环境推动经济增长。此外,该战略还制订了10个含有并支持以上5大战略目标的10个一般目标,包括:(1)制订适当稳定的信息安全政策、指导方针和实践方案;(2)提高国家信息系统和ICT基础设施的安全性、可靠性、适用性和恢复能力;(3)改善人力资源条件;(4)建立信息安全威胁分析和缓解能力;(5)减少和预防正在增长的ICT漏洞;(6)实施信息安全合规和跟踪流程;(7)培养研发、创新和创业环境;(8)确保关键ICT基础设施和系统受到充分信息安全保护;(9)推动国内外合作和信息共享;以及(10)提高安全风险和个人责任意识。然而,尽管提出了5大宏观战略目标和10大一般目标,这一雄心勃勃的文件却并未给出清晰的实施方案或具体指南来实现以上目标。
该战略也承认其构想或将难以实现。例如,目前沙特国内还未有统一的网络安全政策和标准,各大政府机构和部委普遍都以自己的方式保障自身网络安全,而其各自建立的网络安全系统并没有多少共同性。同样,网络安全风险和威胁评估标准存在缺失,导致政府机构无法持续针对各类威胁制订有效的战略和政策。同时,沙特也缺乏精密的综合性灾害恢复规划程序来整合网络安全行动。此外,该战略也未明确沙特的国家网络安全架构,未确认负责监管国家整体网络安全状况的主管部门。最后,要跨越沙特网络安全现状和该战略构想的前景之间的鸿沟,最大的挑战在于沙特缺乏数量充足、技术熟练和高素养的网络安全劳动力——根据通信和信息技术部部长Abdullah Al-Swaha的说法,沙特目前缺少超过50000名ICT特殊技术工人。
为解决以上问题,该战略提出了大量建议,包括2020年前成立一个集中管理的组织架构——国家信息安全环境机构(NISE),将沙特所有网络安全利益相关者纳入其中,“负责将国家信息安全战略的目标和倡议进行具体落实”;以及成立国家风险评估框架来支持建立一个高效安全的信息安全环境机构。但是国家信息安全环境机构具体如何构建、其具体权力范围、以及现有的、合并后的或新成立的机构应承担其它哪些网络安全责任仍未明确。该战略指出,“沙特相关主管部门应做出决定,成立哪些机构及其附属机构,(以及)现有主管信息安全政府机构的具体角色”。2017年7月,国王萨勒曼发布了系列皇家法令,决定成立国家安全部——一个负责反恐和国内情报工作和网络安全的全新国家安全机构。该部委将作为承担以上责任的唯一机构,直接向国王和王储报告。 “国家信息安全战略”是否还会修改以及其建议是否还会重新排序,目前还不清楚。尽管如此,沙特目前尚未发布任何网络安全战略或者政策。
2013年,沙特发布了一条皇家法令,决定在内政部下成立国家电子安全中心(NCES)。该中心之后被重命名为国家网络安全中心。由于国家安全部或将负责制订下一版“国家信息安全战略”,2017年皇家法令又将其级别提升并调整为国家安全部下属。此外,该法令同时还决定,国家网络安全中心最早将于2018年成为沙特国内负责网络安全的重心。目前,沙特网络安全事务尚处于通信与信息技术部、内政部以及其它政府部委和机构共同管理之下。届时国家网络安全中心将承担类似计算机应急响应小组(CERT)的功能,负责沙特政府和关键国家基础设施(CNI)运营商的信息及通信系统和网络的保护工作。该中心不仅限于在首都利雅得工作,同时还承担大量任务,包括:制定国家信息基础设施和关键资产的标准、规章;识别风险和采集安全威胁情报;在国家层面协调网络事件响应和恢复工作;促进不同行业部门之间的信息和安全预警流动。例如,国家网络安全中心已建立包含分析和鉴别能力的信息保障和端对端的专业网络防御能力,以及与政府机构和大量关键国家基础设施运营商之间进行网络威胁情报分享。目前这些任务仍处于完善中,各自的运行效果也不一。
战略中提出的各项倡议所需的财政支持也未明确。沙特国家预算由财政部和其它各政府直属机构双方协商制订,并不受立法审查,因此也不向民众公开。各政府部门的支出皆有预算可用,但是均并未包含网络安全支出这一具体细项。
尽管沙特在网络安全意识和能力上正在不断取得进步,但其在国家层面应对网络风险的准备度上与发达国家相比仍存在不小差距。沙特已提出了一些网络安全相关的倡议并计划对网络安全创新科技进行大力投入,但仍缺乏一个整体网络安全战略、一套通用的网络安全政策和标准、以及一个长效的国家网络安全架构。今年接下来的几个月里,沙特国家安全部仍有机会通过制订国家网络安全框架和战略来为沙特网络准备度开辟道路。
2 事件响应
2016年,沙特成立其首个计算机应急响应小组,“作为受国家委托的信息安全权威参照物”。
2016年,沙特经历了新一轮网络袭击,大量政府机构和私营企业受到影响。该事件再次显示沙特建立网络安全能力和恢复能力的紧迫性。这次袭击与2012年沙特阿美公司遭受的攻击事件类似,均利用了一种恶意软件进行入侵,从而导致关键基础设施遭到大范围破坏而无法运行。2017年2月,在利雅得举行的第二届国际互联网安全大会年会上,沙特国家网络安全中心总负责人Saleh Ibrahim Al-Motairi表示,仅在2016年,沙特就遭受到近1000次的持续网络安全袭击,袭击目标包括关键基础设施、窃取数据、干扰网络服务等。[8]
这类危及国家利益的网络事件由沙特计算机应急响应小组(CERT-SA)负责处理。该小组“作为受国家委托的信息安全权威参照物”,于2006年成立。2007年,在网络事件侦查、预防、意识提高、教育和培训等功能基础上,CERT-SA开始提供事件处理咨询服务。总体来说,CERT-SA提供的多种服务包括:(1)帮助各机构遏制和处理网络安全威胁,在必要时,对国家层面的网络事件作出响应;(2)通过在线资源、持续网络安全意识推广活动和研讨会提升民众网络安全意识;(3)提供教育和培训活动,如与各大院校合作,为政府机构和各大企业提供定制培训课程;(4)发布网络威胁预警、网络入侵警报和咨询意见;(5)协助网络安全利益相关者制订和实施自身安全程序和进程;以及(6)为特定网络安全相关问题提供反馈意见和相关信息。此外,CERT-SA还负责对特定事件和响应行动进行信息收集、事后分析和发布报告。必要情况下,CERT-SA还会对网络事件进行分析并制订预防和侦测方案,同时对其造成的破坏程度或损失作出计算。
尽管CERT-SA提供事件响应支持及其它服务,但其并非是为整个政府层面和社会层面负责网络事件响应的中央协调部门,且并未为潜在紧急事件和危机制订任何事件响应方案。CERT-SA仍在很大程度上被视为一个事件反应机构,主要致力于在现有的网络威胁方面提供出版物发布、咨询和信息服务以及提供特殊事件响应支持。目前,它也未建立起能对全面网络袭击进行响应协调行动和发布及时行动信息的能力。2012年沙特阿美公司遭袭事件令沙特重新重视起CERT-SA等国家计算机应急响应机构在降低网络事件对国家利益损害方面上的作用。此次袭击事件后,CERT-SA加大了在发布监测和预防网络袭击相关信息方面的工作力度,但仍无法提供整体协调作用和建立机制,来与政府机构之间高效快速共享网络威胁情报和态势感知情况,以预防和降低网络威胁。
此外,沙特还计划在国家网络安全中心下成立一个正式网络威胁情报共享平台,来支持关键国家基础设施和政府机构的安全保障工作,以及提供其它主动和被动服务,例如:网络事件响应行动规划、监督和顾问服务;恶意软件分析;危害评估;以及网络事件修复等。但该平台仍未落实。
“国家信息安全战略”还要求建立“国家安全运营中心(SOC),负责收集和发布网络威胁和情报信息、分析网络袭击、减轻网络威胁建议行动、协调国家响应(及作为)资源协助政策制定者了解ICT开发和如何最佳解决和减少(网络)风险”。然而,该战略未具体说明国家安全运营中心是代替CERT-SA和国家网络安全中心,还是支持或与其协作来共享即时或者紧急的网络威胁信息。该战略中仅提到,国家安全运营中心将下属于新成立的NISE来支持沙特国家层面的危机管理行动,以及“将利用现有的各个中心和能力来促进国家信息分享和协调网络事件危害减轻和响应行动。” 新成立的国家安全部接下来需明确这些中心的各自角色和责任,以最大程度调用资源并提升其整体效率。
为了启动国家层面的网络风险评估以及建立长久的国家网络风险评估和管理程序,该战略提出,应在NISE之下成立一个专门的国家风险评估功能部门(NRAF),“以助于实施沙特国家风险进程管理系统(RPMS),来为其提供一个共同的风险管控框架。” 目前, 该程序和机构均尚未成立,沙特国内的各大实体均在使用不同标准来评估网络风险及其严重或紧急程度。“国家信息安全战略”指出,这一问题源自两方面。首先,在现有的评估方式下,高级风险管理“须能打破传统国家部委或机构的界限来对网络风险作出评估以及高水平的管控”,然而其“在当前和未来国家重点发展方向已确定、有限的资源和复杂的全球形势背景下,缺乏一个共同的风险评估架构来作出应对网络风险的适当决策。” 其次,沙特各大部委倾向于在各自负责的领域单独行动,尚未认识其数字依赖程度和在网络安全方面需采取共同行动的紧迫性。为了解决该问题,NRAF将组建一个“严格挑选、有过网络风险处理经历且受训已久的高级主管团队”,并且将“有权对沙特国内的各类国家综合信息基础设施的网络安全风险评估效果进行监督。”但到目前为止,该机构仍未成立。“国家信息安全战略”也指出,由于一些关键的网络安全利益相关者担心各自机构的缺陷会因此曝光而对该机构缺乏信任,如何让N3i高级管理系统在风险评估和管理功能上进行与这些机构有效协作将面临巨大挑战。NISS风险评估和管理环形见图3。
图3 NISS风险评估和管理环形
由于缺乏网络威胁监控、分析的正式机制以及对网络安全产品的需求在不断上升,一些外国私营企业已经开始在沙特为政府和商业部门提供网络安全服务,其产品包括网络威胁监控和数据管理服务等。这吸引了大量IT和网络安全跨国公司进驻沙特市场,其中一些甚至还与当地IT 和电信企业合办技术创新公司。例如,IBM与沙特手机运营商Mobily就成立了一家合资公司,该合资公司在利雅得还成立了一个跨国的“国家安全运营中心”。该中心使用IBM的网络安全服务基础设施协助进行网络安全日志和事件的收集、分析、关联和排序。2014年,沙特教育部甚至还将该中心选为供应商,来通过实时分析、建立潜在网络威胁前期预警系统、以及保护教育部数据不受国外第三方获取等方式帮助其增强对自身网络安全态势的掌握。
沙特通信与信息技术部也认识到定期进行国家级网络安全演习的必要性,以测试其网络响应、恢复和重建方案的有效性,但这些演习是否会持续进行下去尚不清楚。目前沙特公开报道的唯一一次网络安全演习是2014年代号为“阿卜杜拉之剑”的军事演习,内容包括电子战争演练等。
尽管作出以上初步部署,沙特目前网络事件响应的方式很大程度上仍为被动反应。近来遭受的大量网络袭击事件已经使沙特再度有意抓紧落实提出的倡议,以对网络事件反应更为主动和更具恢复能力。
3 电子犯罪和执法
沙特是 《阿拉伯公约》18个签约国之一,但目前仍未批准该条约。
沙特是《关于打击信息技术犯罪的阿拉伯公约》(Arab Convention on Combating Information Technology Offenses,通常简称《阿拉伯公约》)的签约国。这一阿盟(League of Arab States)内部的国际法律框架于2010年生效,旨在促进阿拉伯国家之间在“抗击危害其国家安全、利益和联盟安全的信息技术犯罪”方面进行合作,以及使各签约国“在打击信息技术犯罪、保护阿拉伯社会安全上采取共同的刑事政策”。尽管沙特是《阿拉伯公约》18个签约成员国之一,其也是目前唯一未正式批准该公约的成员国。此外,该公约在网络犯罪的定义和相关条款上十分模糊,因而尽管已被广泛接受,却仍未正式生效。事实上,其条款未参照任何阿拉伯国家的网络犯罪法规,18个签约国之间的协调工作也仍毫无效力。
此外,沙特既没有加入任何全球性打击网络犯罪协定,如欧洲委员会的《网络犯罪公约》(Convention on Cybercrime,通常也被称为《布达佩斯公约》)或上海合作组织的《保障国际信息安全领域合作协定》(SCO Agreement on Cooperation in the Field on Ensuring International Information Security)等,也未参与其活动。
沙特参与了一些旨在促进打击网络犯罪方面进行合作的国际对话和战略伙伴关系。它已经建立了一些警方对警方、机构对机构等领域合作的双边关系和非正式渠道,并且正致力于进一步扩大在制订国际标准、全球ICT安全政策、打击网络犯罪倡议和研究等方面的国际合作。
沙里亚法(Shari’a law)是沙特国内刑事审判的官方法律基础。基于此,沙特已颁布两部主要的网络相关法律——《电子交易法》(Electronic Transaction Act)和《打击网络犯罪法》(Anti-Cyber Crime Law)。这两部法律适用于打击网络犯罪和保障网络安全,同时初步对电子商务和其它面向互联网的服务进行支持和管理。
2007颁布的《电子交易法》主要用于管理电子商务,建立起沙特国内电子交易和数字签名的法律体制。[9]这一法令促进了沙特国内外公共和私营部门在商务、医疗、教育、电子政府和支付系统等应用领域的电子交易。该法旨在保护数字记录、限制和预防潜在数字滥用、造假和盗用。它承认网上和线下交易同等有效,以及电子签名和手写签名具备同等法律效力。
根据此法成立的沙特通信和信息技术委员会负责该法的具体落实,包括向认证服务提供商(ASP)颁发证照;核查认证服务提供商的合规性;确保服务的延续性以及暂停或撤销证照等。沙特内政部和通信信息技术部共同负责为其颁布一般性政策和为电子贸易和签名制订发展方案和流程。内政部成立国家信息中心(NIC),通过其在沙特全国用各个相互连接的分支组成的网络,来提供信息交换和储存服务,为各地区提供运营服务和支持各地朝圣(例如麦加朝圣)活动。此外,该法授权成立了沙特国家数字证书中心(NCDC),为公开金钥基础建设(PKI)管理提供综合系统,来确保互联网用户电子贸易安全进行。通过与财政部合作,国家数字证书中心成立了沙特电子数据互换(Saudi EDI)项目来提升电子商务贸易的速度和透明度。尽管该法案最初目的是为电子商务(电子进出口贸易)改善交易环境,但目前其重点仍落在政府贸易层面,且已十多年未更新。沙特目前也正面临不断增长的国内压力,要求其顺应最新经济、技术环境和国际标准作出改变。
2007年,沙特通过了《打击网络犯罪法》(ACCL)。该法主要有四大目标:(1)保障数据安全;(2)增加IT产业就业;(3)保护网络知识产权;以及(4)保护民众利益和社会公德不受侵犯。尽管该法旨在保护用户免遭网络犯罪侵害,但同时也包含有限制言论自由的条款。例如,该法将“制造损害公共秩序、宗教价值观、社会公德和个人尊严的物品,或用信息网络制作、散播或存储该物品”定为犯罪行为。同时该法根据违法和犯罪严重程度对以上行为处以最高达10年的监禁和500万里亚尔(约合130万美元)的刑罚。如该犯罪行为是犯罪团伙有组织的行为、罪犯是公职人员、犯罪行为造成重大公共影响、案情涉及儿童、或重犯行为,还会有相应的附加刑。
尽管《打击网络犯罪法》为处罚窃取敏感数据和网络干扰等犯罪行为提供了法律框架,但由于其未提供沙特国内或与国际伙伴之间怎样进行犯罪预防、侦测或合作措施,沙特起诉跨部门或跨境犯罪时显得尤为困难。2012年沙特遭受的网络袭击案件中,由于袭击者据信是伊朗政府的一个代理服务器,该法对此几乎无能为力。此外,由于沙特尚缺乏一支训练有素的法官、公诉人、律师以及执法队伍,其在应对网络犯罪的各方面新特点以及如何有效调查和起诉犯罪分子方面仍捉襟见肘。
《打击网络犯罪法》已受到广泛批评。许多法律专家和人权活动家认为该法过度使用破坏“社会公德”条款来对社会活动者、博客异见者、以及有着政治或宗教诉求的沙特民众进行罚款、逮捕和提起诉讼,而并未真正用于处罚网络犯罪行为和保护数据资产上。例如,2015年,一名32岁的沙特妇女因使用WhatsApp聊天软件诋毁他人而被处以两个月监禁和5000多美元的罚款。2016年,一名医生因在Twitter上诋毁沙特卫生部,被处以6个月监禁,另一名药剂师则因同样的罪名被判处4个月监禁。2016年,该法甚至修改相关条款,给予执法人员更大权限,使其在涉及宗教价值观和社会公德方面案件最终判决已定的情况下,仍能公开传唤犯罪嫌疑人。这一修改将该法的重点和执法资源从打击网络犯罪方面撤走,或将最终影响到沙特吸引外国直接投资和将石油主导的经济多样化的成效。[10]
沙特的互联网使用受到通信和信息技术委员会的长期监控,且被其严格过滤被视为“有害”“非法”“反伊斯兰”或“有攻击性”的网络内容和社交媒体状态,以及被长期封锁“色情”“赌博”“毒品”“极端思想”以及人权或政治活动机构等相关页面。沙特公开承认其对不符合沙里亚法的违反其道德观和敏感的宗教信息进行了审查。近年来,沙特的执法机构甚至还通过解开或绕过加密屏障,以保护国家安全和维持社会秩序的名义,将其审查范围扩大至网页、博客、聊天室、社交网站、电子邮件和手机信息等平台的政治、社会和宗教内容。
沙特文化信息部还要求该国的博客、论坛、聊天室等热门网站运营前须从该部获得牌照,同时通信和信息技术委员会也要求手机网络运营商登记用户的真实姓名、身份证号码、现在甚至还需指纹,来“限制通信使用带来的负面影响和犯罪行为”。2014年沙特通过《反恐法》,将恐怖主义行为模糊地定义为“诋毁国家名誉”、“损害公共秩序”、“破坏国家安全”等,导致沙特的网络用户在网上发布、分享和点赞时不得不万分谨慎。[11]《反恐法》有效地将所有质疑伊斯兰宗教旨意、支持任何类型“被禁停的组织”或政治改革的网上内容都定为犯罪性质。
除了上述法规和《治国基本法》中规定的一般性隐私权外,沙特鲜有涉及个人隐私和个人数据保护的相关法规。例如,沙特尚无国家数据保护主管部门。此外,政府或企业收集或处理用户数据时,无需正式通知或登记要求。由于缺乏数据管理程序或规章,沙特国内对数据转移和数据常驻要求经常模棱两可。同时,沙特目前尚无对“个人数据”的明确定义,也未规定向个人或集体用户告知哪一数据安全机构对此负责。[12]
最后,上述战略未提及沙特会划拨多少人力或财政资源用以支持保护社会不受网络犯罪破坏、减少国内的网络犯罪行为、或推动建立协调机制来处理国内和国际网络犯罪所需的进一步法律和政策倡议。该战略也并未明确沙特将计划如何提升网络执法能力。由于国内互联网已经越来越普遍以及更为便捷的网络连接不断涌现,同时伴随而来的还有愈加常见的病毒感染和漏洞利用。沙特需提升其执法机构的执法能力、投入更多资源来对不断增长的网络犯罪作出有效回应以及减少网络基础设施的不足之处。
4 信息共享
沙特目前尚未制定国家信息共享政策,但“国家信息安全战略”中强调了国内外信息共享和合作的重要性,并承诺沙特将扩大在新兴网络威胁、漏洞以及相应减轻威胁的技术方面的信息交流。
沙特国家网络安全中心目前与政府机构、关键国家基础设施运营机构以及其它利益相关者共享网络威胁情报,但该信息共享能力仍有待提高。沙特已经计划建立更加强大的信息共享机制,包括在国家网络安全中心之下成立网络威胁情报共享平台,以进一步对保障关键国家基础设施和政府机构的网络安全提供支持。其重要且必要的组成部分之一就是对关键国家基础设施或全球其它地区发现的网络威胁和恶意网络活动提供预警。例如,2017年5月和6月,利用微软系统软件漏洞的网络安全事件爆发,全球信息共享和对抗网络威胁的响应行动由此打响。只要任何一个国家或行业遭到袭击,其它国家或行业就可迅速吸取其教训,切断其网络基础设施中有漏洞的部分,并互相交流该为其软件打哪种补丁,最终使其网络基础设施和企业免遭破坏。“国家信息安全战略”强调,“这其实是很简单的算法。只要(国内和国际)信息合作、协作和共享增加了,信息丢失和ICT系统漏洞被利用的风险就相应减少。”
尽管如此,沙特缺乏国内信息共享的传统,更不用说与国际机构进行合作。沙特政府各部委之间极力维护己方官僚机构和权限,往往互相敌视和喜欢互较高下。这一状况与当前网络技术日新月异一起,使得“国家信息安全战略”在网络安全信息共享方面难以有效推进。沙特在国际层面的信息共享上显得十分不情愿;同时,其在中东地区与其他国家的经济利益、军事紧张状态以及在政治利益上的争夺使得其跨境信息自由流动受阻。沙特、阿联酋、巴林、科威特、卡塔尔和阿曼等国建立的海湾阿拉伯国家合作委员会(GCC)或许能为其探索怎样增进互信和推进信息共享提供平台。
沙特同时还是伊斯兰会议组织计算机应急响应小组(OIC-CERT)的成员。该组织包含埃及、伊朗、土耳其、尼日利亚以及沙特等18个成员国,囊括了各成员国的计算机应急响应小组,旨在促进伊斯兰国家的信息共享。OIC-CERT为成员国组织培训、研讨会和演习等活动,试图为其提供网络威胁和危机处理的即时经验,例如及时且实用的信息共享活动等。
“国家信息安全战略”承认,沙特在信息共享领域确实还需大力改进。当前沙特国家网络安全中心和新成立的国家安全部仍有大好机会促进和扩大政府内部之间以及其与外界之间可执行信息的交流。沙特各大部委、关键国家基础设施运营商、企业和国家合作伙伴目前都急需信息共享来改善自身安全状况。目前,沙特政府和关键行业仅有的信息共享机制仍由CERT-SA和国家网络安全中心提供。接下来的数月,沙特将考虑建立国家安全运营中心以及打造国家网络安全中心的新角色,届时沙特国内进行及时可行的信息共享或将成为现实。
5 研发投资
“国家信息安全战略”中明确提出,沙特将建立“一个长久繁荣、鼓励研发和创业的信息安全经济部门”,同时还承认沙特有必要“通过国际合作扩大研发”,以帮助沙特在ICT和网络安全部门开发更多功能。该战略尤其强调“通过激励和引导沙特国内有着高度商业化和信息安全技术突破潜质的信息安全研发项目,如加密互操作性、供应链整合、计算机安全和快速高效访问控制等,来满足未来沙特信息安全需求”的必要性。
沙特指出,其必须在ICT和网络安全部门开发更多功能,并将其作为国家信息安全战略的“关键支柱”。
该战略指出,沙特政府最初设立了一些项目用于提升现有的网络能力,包括为研究人员和创新人员将成功的想法和研究转化成专利和商业化产品提供支持等,但并未明确政府将如何对这些活动进行支持、推进和维系。相反,该战略提出要通过吸收其他国家网络安全团体、政府机构和行业的成果,来制订“科研技术路线图”指导沙特全国。
此外,该战略要求构建“集中的资助咨询能力”,确保研发工作与沙特的战略目标相符。为此,该战略提出建立“研发功能机构(Research and Innovation Function)”来监督对特定网络安全项目的拨款和资助。该机构将归KACST主管,并与沙特通信与信息技术部进行协调。
该战略将人力资源视为其“关键支柱”,并提出多条计划 “提升沙特信息安全从业者、研究人员、创新人员和企业家的信息安全能力”,同时将推进其网络安全培训和提高其网络安全意识。例如,沙特已设立一些项目用于鉴别哪些妇女能胜任IT和网络安全工作,哪些能在经过进一步培训后迅速满足沙特的即时信息安全需求。该战略还提出,将“雇佣经审查后无正式证书但熟练掌握计算机技能的失业青年”。
作为对这一需求的回应,沙特通信与信息技术部另启动了一些人才培养项目,以及与全球的IT企业建立合作伙伴关系,在2017年至2020年间为超过56000名沙特青年提供关键ICT技能培训。同时其还与沙特阿美公司合作成立国家信息技术学院(National Information Technology Academy),来为沙特培养相关人才。此外,该战略还设立了一个设在小学的项目,鼓励儿童从小接触计算机、培养分析能力、掌握网络安全技能,并为每两名学生配备一名导师来指导他们直至就业。这些青年将有望在维护沙特未来国家安全中发挥重要作用。
尽管沙特政府尚未建立任何正式项目或者激励措施来鼓励高校和学术机构在基础和应用网络安全方面进行研究,但其为却为所有公立大学提供了政策支持和资助。许多大学现已就ICT和信息安全开设了课程和设立了学位项目,例如达兰市法赫德国王石油与矿业大学设立的安全与信息保障理科硕士学位项目。此外,法赫德国王石油与矿业大学在利雅得设立的通信与信息技术研究院(CITRI)参与了一些研发项目,项目范围包括数字模拟集成电路芯片设计、综合电子系统、通信和无线安全、机器人技术与智能系统、雷达防御系统、电子战高级技术、激光和光纤应用科研以及其它遵循了最新国际规格和标准的技术。通信与信息技术研究院在推动法赫德国王石油与矿业大学成为沙特预防网络犯罪和数字犯罪法务研究的国家中心方面发挥了主要作用。该研究院为沙特政府机构、高校和企业提供了专业技能支持、咨询服务和多种主题的研究项目来满足其研究和技术需求,从而实现国家规划中提出的科技创新目标。最后,CERT-SA也提供技术培训、组织网络安全意识提升活动、以及与高校、政府机构和企业合作开发客户培训课程和研讨会,安全质量管理功能机构。
就资本存量和消费而言,沙特是中东地区最大的ICT是场。据估计,仅2016年,沙特就已投入140亿美元到网络安全等ICT部门。沙特高速率的宽带连接和为对抗潜在破坏性网络威胁的网络恢复能力,沙特正在对建立本地和国际物联网(IoT)兴趣渐浓。构建利益相关者之间的互相合作以及提高网络市场参与者在网络安全方面的信心,已成为互联网数据中心首席信息官峰会(IDC CIO Summit)等研讨会和会议的主题。其中近期举行的首席信息官峰会将政府官员、沙特商务官员以及世界各国专家齐聚一堂,来探讨连接和依赖于互联网的基础设施的网络安全威胁解决方案等方面的ICT发展趋势。
沙特2016年140亿美元的ICT投入中,相当大一部分被分配到提升电信基础设施(尤其是高速宽带)方面。目前,沙特国家收入在很大程度由通信行业拉动,据估计其20%来自于新增的网络连接,并且该领域的国家收入还有望在明年稳步上升。这就要求沙特加大基础设施投入,其中就包括安全领域的产品供应,但沙特目前仍未将网络安全或恢复能力视为重点投入领域。沙特最大的互联网服务提供商和中东最大的互联网运营商之一——沙特电信公司及其竞争者Mobily和Zain目前正在互联网连接方面加大投入。然而,它们都将焦点主要放在怎样提供更多访问上,而冷落数据安全步骤和程序。此外,这些公司之间目前几无合作。
私营行业以及私营-公共部门合作成立的公司也开始合作建立创新中心,来研发和展示应对地区或本地经济挑战的技术创新,以及推动各个部门的经济增长。例如,沙特基础行业公司(SABIC)是利雅得技术谷(Riyadh’s Techno Valley)创新中心的主要投资者。这一地区创新中心,或者创新家园(Home of Innovation)致力于石油化工和天然气行业技术创新,旨在落实《沙特2030愿景》中提出推动本地下游产业增长、提高企业效率、以及构建多样可持续经济等经济战略目标。但上述倡议并未将网络安全作为单独的重点领域加以特别关注。[13]
2012年沙特阿美公司遭袭后,沙特政府开始扩大其在网络安全技术解决方案和服务(尤其是监察技术、电子侦测设备、网络攻击侦查系统和预防技术以及生物统计学等方面)上的投入。这些领域将物理空间安全和基础设施和内部网络安全战略相结合。沙特政府近年来也正对来自美国等国际合作伙伴的合作和资助产生浓厚兴趣。目前,沙特国有的国防企业——沙特军事工业公司(Saudi Arabia Military Industries)与美国国防承包商雷神公司(Raytheon)建立伙伴关系,在网络安全等国防相关的项目和技术研发上进行合作。作为其协议的一部分,沙特政府将能从该合作中为其国防系统和平台获得更多网络安全解决方案,同时雷神公司将在利雅得成立一个新公司(Raytheon Arabia)负责项目实施,从而为沙特构建本土国防、航天和安全能力。该伙伴关系因此将有助于帮助沙特实现《沙特2030愿景》中发展沙特本土有着专业能力和能拉动就业的国防生态系统的目标。这将为沙特在此部门的经济发展建立长远基础。[14]
6 外交与贸易
沙特并未将网络安全视为其外交政策的首要议题之一,也并未将其列入外交部工作的重点领域。但沙特尤其在面对与伊朗关系紧张且受到源自伊朗境内的网络攻击后,在海湾国家合作委员会内正扮演着更为自信的角色。特别是,沙特正与海合会举行大量会谈,试图扩大双方在网络安全方面的合作以及就和平时期的网络规范达成一致认可。[15]同时作为2015年海合会《戴维营协议》(Camp David Accords),它还计划与海合会合作成立工作组。根据该协议,海合会成员国一致同意每年开举办两次会议来促进其在反恐上的合作,以及简化关键防御能力、导弹防御能力、军事准备程度和网络安全领域的转移。[16]
此外,沙特还大量参与同美国、印度等国的双边高级对话,试图推进双方在打击资金支持恐怖主义、洗钱、恐怖主义分子和犯罪集团利用网络从事犯罪活动等方面的信息交流。
沙特同时还通过国家网络安全中心推动地区网络安全合作和建立网络安全意识。作为该努力的一部分,沙特定期举办网络安全论坛年度会议等网络安全相关活动,将阿拉伯国家以及其他国家的政府官员和行业专家聚在一起,探讨如何改善网络安全状况、提升网络威胁情报收集能力以及有效落实《沙特2030愿景》中提出的目标。沙特还举办了由政府背书的年度国际网络安全大会,其参会人员不光包括世界各国的网络安全专家,沙特甚至派出了内政部的最高级别官员与会。[17]
《沙特2030愿景》中强调,要将沙特的战略位置打造成连接亚、欧、非三大洲的全球枢纽。沙特国土安全部应利用其最新被赋予的权力和责任,为货物、服务、数据和资金的跨境自由流动制订愿景。该部应利用沙特的G20成员国身份和影响力,推动可信的数字经济交易。网络外交并不仅仅是制订接触和限制行为的规则,还应通过信息自由流动来推动贸易。沙特如要同时实现经济增长和国家安全两个目标,需打造一支经验丰富的外交队伍以保证将带领地区实现其《2030愿景》中的目标。
7 防御与危机应对
由于近年来遭受的破坏性网络袭击不断上升,沙特网络防御能力建设已显得越来越紧迫。
鉴于其经济、政治和文化以及战略位置在本地区的重要地位,沙特在维护地区安全稳定上扮演着关键性角色。中东地区目前正面临着复杂多变的安全挑战,尤其是沙特与伊朗之间的紧张关系在不断加剧。因此新一任沙特王储表示,沙特“将不会坐待战争降临沙特境内,而要将其留在伊朗。” 此外,鉴于近年来沙特频繁遭受来自伊朗境内的网络攻击,沙特网络安全和网络防御能力建设已显得越来越紧迫。
目前沙特政府已授权国防和航空部、内政部等多个部委整合国家网络防御体系。这些部委以及其它政府机构正加大在网络技术上的投入,提升其网络能力。尤其在2017年,沙特通过与美国签订《安全合作协定》(Security Cooperation Agreement)来加大双方合作力度,试图以此来改进其特种作战和反恐部队的训练效果、整合其防空和导弹防御系统、提升网络防御能力以及强化海上安全保障能力。
此外,沙特也在试图用网络能力来武装国民卫队(National Guard)等防御力量。例如,沙特国民卫队正投入近5亿美元资金用于发展电子作战能力。
目前尚不明确沙特是否制订政策或颁布法令来成立军事或情报服务领域的网络安全部队。沙特财政预算并不确定,导致发展以上机构网络能力的财政资助级别难以确定。同时,沙特国防和航空部是否进行政府内或军事特别演习来展示其国家网络防御准备程度,也尚未明确。尽管如此,沙特最起码还算是OIC-CERT内的活跃成员。它曾承诺将组织联合网络作战演习,但其是否真会付诸实践目前尚不得而知。[18]
8 CRI 2.0概要
CRI 2.0评估结果显示,沙特在网络就绪上虽取得巨大进步,但在CRI七大评估要素方面均仍不足。
分析结果反映了沙特当前不断变化的格局。沙特持续制订并刷新其经济(数字)议程、国家网络安全战略、政策及各项举措,寻求国家经济愿景与安全重点工作之间的平衡。国家概况的变化反映出国家在各个方面发生的变化,有利于监测、跟踪并评估沙特社会所取得的显著进步(见图4)。
CRI 2.0利用全面、可比较、基于经验制定的方法论,帮助国家领导人在网络化、竞争激烈、冲突丛生的世界中做出规划,打造安全、有活力的数字世界。如需了解更多CRI 2.0的相关信息,请参阅:http://www.potomacinstitute.org/academic-centers/cyber-readiness-index。
★ 图 4 网络就绪度
[1] Khalid M. Al-Tawil.The Internet in Saudi Arabia[J].Telecommunications Policy, 2001,25(8-9):625-632.
[2] Full Text of Saudi Arabia’s Vision 2030[EB/OL].(2016-04-26).Saudi Gazette. http://saudigazette.com.sa/saudi-arabia/full-text-saudi-arabiasvision-2030/.
[3] U.S. Department of State.Fact Sheet: U.S. Security Cooperation With Saudi Arabia[EB/OL].(2017-01-20). https://www.state.gov/t/pm/rls/fs/2017/266861.htm.
[4] Melissa Hathaway et al..Cyber Readiness Index 2.0 – A Plan for Cyber Readiness: A Baseline and An Index,” Potomac Institute for Policy Studies[EB/OL].(2015-11-30). http://www.potomacinstitute.org/images/CRIndex2.0.pdf.
[5] Leon Panetta, speech given to Business Executives for National Security[EB/OL].(2012-10-12).http://archive.defense.gov/transcripts/transcript.aspx?transcriptid=5136.
[6] Saudi Arabia forms new apparatus of state security[EB/OL]. Arab News. (2017-07-21).http://www.arabnews.com/node/1132466/saudiarabia.
[7]Azhar Unwala.Cyber security in Saudi Arabia Calls for Clear Strategies[EB/OL]. (2016-07-27). http://globalriskinsights.com/2016/07/cyber security-saudi-arabia-calls-clear-strategies/.
[8]Aisha Fareed.Saudi facilities sustained nearly 1,000 cyber attacks in 2016[EB/OL]. Arab News. (2017-03-01). http://www.arabnews.com/node/1061151/saudi-arabia.
[9]Kingdom of Saudi Arabia, “Electronic Transactions Law[EB/OL]. (2017-03-26)http://www.citc.gov.sa/en/RulesandSystems/CITCSystem/Documents/LA_003_%20E_E-Transactions%20Act.pdf.
[10]Dino Wilkinson.Saudi Arabia Updates Cybercrime Law to Include 'Naming and Shaming' Penalty," Data Protection Report[EB/OL]. (2015-06-08) .http://www.dataprotectionreport.com/2015/06/saudiarabia-updates-cybercrime-law-to-includenaming-and-shaming-penalty/.
[11]Human Rights Watch.Saudi Arabia: New Terrorism Regulations Assault Rights[EB/OL]. (2014-03-20). https://www.hrw.org/news/2014/03/20/saudi-arabia-new-terrorismregulations-assault-rights.
[12]Eyad Reda and Turki Alsheikh, “Data protection in Saudi Arabia[EB/OL]. Thomson Reuters. (2012-10-01). https://uk.practicallaw.thomsonreuters.com/4-520-9455?tran sitionType=Default&contextData=(sc.Default)&firstPage=true&bhcp=1.
[13]Mohammed Rasooldeen.SABIC launches innovation hub[EB/OL]. Arab News. (2016-05-28). http://www.arabnews.com/node/930916/saudi-arabia.
[14]Raytheon Company.Raytheon and Saudi Arabia Military Industries announce strategic partnership[EB/OL].PR Newswire(2017-05-20).http://www.prnewswire.com/newsreleases/raytheon-and-saudi-arabiamilitary-industries-announce-strategicpartnership-300461082.html.
[15]White House.United States-Gulf Cooperation C o u n c i l S e c o n d S u m m i t L e a d e r s Communique[EB/OL]. (2016-04-21). https://obamawhitehouse.archives.gov/the-pressoffice/2016/04/21/united-states-gulfcooperation-council-second-summit-leaderscommunique.
[16]U.S. State Department.Fact Sheet: US Security Cooperation with Saudi Arabia[EB/OL].(2017-01-20). https://www.state.gov/t/pm/rls/fs/2017/266861.htm.
[17]Mark Sutton.ICSC to Discuss Saudi Cybersecurity[EB/OL]. (2016-11-06). http://www.itp.net/610073-icsc-to-discuss-saudicyber%20security.
[18]Tan Sri Dato' Seri Panglima Mohd Azumi, "OICCERT: Past, present and future[EB/OL]. OICCERT. (2016-12-14). https://www.oic-cert.org/event2016/files/Attachment%204%20-%20 Keynote%20Address.pdf.