מספר מתקפות סייבר פקדו את איראן בחודשים האחרונים, כאשר במהלך סוף השבוע האחרון הזרקור הופנה אל מערך הרכבות של איראן ומשרד התחבורה. תחילה דווח כי פעילות הרכבות באיראן שובשה ברחבי המדינה, והאחראיים למתקפה פרסמו על לוחות מידע בתחנות הרכבת כי מודבר במתקפת סייבר והציגו את מספר הטלפון של המנהיג העליון עלי חמינאי. יום אחרי, אתרי משרד התחבורה והפיתוח העירוני באיראן קרסו בעקבות מתקפת סייבר נוספת.
בשנים האחרונות אנו עדים להתגברות מתקפות סייבר על תשתיות קריטיות ואין ספק כי מדובר באחד מהיעדים הפופולאריים על האקרים. הקלות היחסית שבפריצה, שכן לרוב מדובר במערכות ישנות וארכאיות, אל מול הנזק הפוטנציאלי שיכול להיות הרסני במיוחד, הופכות את הענף ליעד מפתה.
באירועים האחרונים באיראן לא צוינו נסיבות המתקפה ואף ארגון לא לקח אחריות על המתקפה כמובן, אך המתקפות הללו גרמו לנזק תודעתי, הביאו לכאוס ובלגאן במדינה וככל הנראה התרחשו במטרה להעביר מסר לאיראנים.
שוחחנו עם 3 חוקרים מהמרכז למחקר סייבר באוניברסיטת תל אביב- מני ברזילי, ד"ר ליאור טבנסקי ועמרי וקסלר כדי לדון במצב ולהבין את ההשלכות של מתקפת הסייבר.
"אחת הדרכים לחלק התקפות סייבר לקבוצות היא לפי מטרות התקיפה. יש הבדל עצום בין התקפות שמטרתן איסוף מודיעין, התקפות שמטרתן פגיעה במערכות, התקפות שמטרתן קידום רעיון או אג'נדה (פוליטית/חברתית), והתקפות מסוגים אחרים", אומר מני ברזילי.
"מטרת ההתקפה משפיעה רבות על אופן הביצוע שלה (למשל תקיפה לאיסוף מודיעין היא תקיפה סמויה מאוד, ותקיפה לקידום רעיון או אג'נדה היא לרב תקיפה רועשת מאוד). כמו כן, מטרת ההתקפה יכולה ללמד אותנו הרבה על הגורם שעומד מאחוריה. במקרה הנוכחי, ההתקפה הייתה רועשת, יצרה נזק רב, ואפילו הגחיכה את חמינאי. תקיפה מהסוג הזה לא מתאימה לתקיפה מדינתית".
ברזילי מוסיף כי מעבר לעובדה שהיא לא מייצרת רווח פוליטי-מדיני, תקיפת סייבר גם חושפת יכולות ושיטות עבודה: "רוב תקיפות הסייבר המדינתיות הן סמויות מן העין, והמדינה התוקפת משקיעה מאמצים רבים בשביל לוודא שהקורבן לא ידע על התקיפה. לפיכך, אם הייתי צריך לנחש הייתי אומר שהתקיפה הנוכחית בוצעה על ידי האקרים עצמאיים, אופורטוניסטים שונאי המשטר באיראן".
"הם זיהו הזדמנות לייצר נזק ללא מאמץ רב, ועשו זאת. חלופה נוספת היא שאכן מדובר בהתקפה על ידי מדינה. אבל אם זה המצב, אז כנראה שיש תכלית נוספת להתקפה. במקרה כזה, ההתקפה כנראה מסתירה יעד חשוב יותר (למשל אפשר שהמדינה התוקפת רצתה למנוע את הגעתו של גורם מסוים ליעד מסוים)".
ד"ר ליאור טבנסקי, מציין כי "הנזק הישיר לרוב אינו בר הערכה, גם בשווקים מתקדמים כמו ארה"ב. אפשר לחשב עלויות זמן השבתה במובן של הפסד הכנסה. אפשר להעריך עלויות ישירות של חזרה לפעילות. אבל אפקטים מסדר שני אפשר להעריך במנעד רחב מאוד. אילו זו מתקפה מכוונת של יריבי איראן, ההישג העיקרי הוא המשך הפגיעה בביטחון העצמי של המשטר. עצם קרות הנזק בתוך איראן פוגע בניסיון להציג שהמשטר עובד, ויותר חשוב - מגביר החששות ופחד בקרב האליטות".
"אם לשפוט על פי הדיווחים הראשוניים מצד סוכנויות הידיעות האיראניות, ההאקרים כנראה התמקדו במערכות ה-IT של מערך הרכבות, ולא במערכת הטכנולוגיה התפעולית, המכונה OT", מציין עמרי וקסלר. "האבחנה הזאת חשובה, משום שעל ידי פגיעה במערכות טכנולוגיה תפעולית, ניתן לעיתים לגרום לנזק פיזי. בתקיפה הנוכחית, נראה כי התוקפים התמקדו בלוחות המידע שבתחנות ובמערכות למכירת כרטיסים. זו לא פגיעה שמטרתה לגרום לנזק פיזי אלא ליצור אי סדר, עומסים ובלבול."
חשש מהחמרה בעוצמת הפגיעה
"לישראל נח מאוד לשחק בזירת הסייבר במקום בזירה הפיסית, שם היא יכולה ליהנות מיכולת הכחשה יחסית גבוהה", מסביר ברזילי. "בנוסף בזירה הבינלאומית, התקפות בתחום הסייבר נחשבות פחות חמורות מהתקפות פיסיות ומקבלות פחות תהודה שלילית. לישראל יש עליונות ברורה בתחום הסייבר על פני איראן. עם זאת, צריך להכיר בזה, שהרבה יותר קל לתקוף מאשר להגן".
"גם לאיראנים נח לפעול כנגד ישראל בזירת הסייבר. על אף המוכנות הגבוהה יחסית של גופים שונים בישראל, אם היא תתמיד, מעת לעת איראן תצליח לרשום לעצמה הצלחות (קטנות ובינוניות). כולם צריכים לצאת מנקודת הנחה, שאיראן מפעילה יחידות סייבר שעסוקות באופן עקבי בתקיפה של מטרות בישראל ובאיסוף מודיעין".
"נכון לעכשיו, אף גורם לא לקח אחריות ובהינתן האופי החשאי של תקיפות סייבר, ניתן להעריך שזהות התוקף תישאר בצללים", מוסיף וקסלר. "צריך גם לזכור שהייחוס של תקיפות סייבר לתוקף הוא מלאכה מורכבת, בעיקר אם מדובר בגורם מדינתי שעומד מאחוריהן. לגורמים אלו יש לרוב את היכולת הטכנית הנדרשת כדי להסוות את פעילותם. בהקשר הישראלי, צריך לשאול מה האינטרס".
האם התשתיות הקריטיות בישראל ערוכות להתמודד עם סיטואציה דומה?
"בישראל, רכבת ישראל מוגדרת כתשתית קריטית הנמצאת תחת הנחייתו של מערך הסייבר הלאומי", מסביר וקסלר. "ישראל בהקשר זה הייתה הראשונה שהבינה את מידת איום הסייבר על תשתיות ומערכות מידע חיוניות וכבר ב-2002 הטילה את האחריות להגנת מערכות מחשוב חיוניות על השב"כ, כשב-2011 האחריות לכך הועברה למטה הסייבר הלאומי, כיום מערך הסייבר".
"מאז פורסמו מספר יוזמות שמטרתן להגן על תשתיות קריטיות, ביניהן הרכבת. דוגמה אחת לכך היא מרכז SOC, שהוא מעיין מרכז בקרה לניטור תעבורת רשת ולניהול אירועי סייבר, שהוקם במטה רכבת ישראל בלוד. עם זאת, חשוב לזכור שלא לעולם חוסן, ובעיקר לא בעולם הסייבר".
ד"ר ליאור טבנסקי, מסביר כי "האתגר האסטרטגי העיקרי הוא לתכנן ולעשות שינויים מרחיקי לכת במבנה ארגוני הביטחון כך שיתאימו למציאות החדשה. לצד הצלחות - כמו האסטרטגיה מקיץ 2011 שהובילה להקמת מטה והבשלת יכולות מערך הסייבר הלאומי, נותרו אתגרים עצומים. אני חוקר את הדפוסים של חדשנות צבאית ותהליכי שינוי ארגוניים. ממצאי המחקר לא מעודדים: מגוון מחסומים מהותיים עומדי בפני כל שינוי משמעותי, אבל לצד זאת יש דרכי פעולה שמאפשרים ומעודדים חדשנות לא-טכנולוגית במגזר הביטחוני".
ברזילי, טבנסקי ווקסלר ייקחו חלק בשבוע הסייבר הלאומי השנתי של המרכז למחקר סייבר באוניברסיטת ת"א, מטה הסייבר הלאומי במשרד רה"מ ומשרד החוץ, אשר יתקיים בתאריכים 19-22.07 באוניברסיטת תל אביב.
הכנס, בו ישתתפו רה"מ נפתלי בנט, רה"מ החליפי ושר החוץ יאיר לפיד ושר הביטחון בני גנץ, לצד עשרות בכירים נוספים מהארץ ומהעולם, מהווה נקודת מפגש מרכזית למומחי סייבר וחוקרים בולטים מהארץ ומהעולם, לצד סטארט-אפיסטים, קובעי מדיניות, גורמי ביטחון בינלאומיים, דיפלומטים ואנשי עסקים בכירים ומביא את הסוגיות והמגמות החדשות ביותר בתחום וביחס לתקופה, לצד הפיתוחים והמידע העדכניים ביותר.
בין הנושאים שיידונו השנה בכנס הם בין היתר: היבטים דיפלומטיים ושיתופי פעולה בינלאומיים, ניהול משברים, משפט וסייבר בישראל ובעולם, מגמות חדשות ופתרונות חדשניים להגנת סייבר, בינה מלאכותית, רפואה וסייבר, ענן, לוחמת סייבר, תעופה, כנס סייבר ימי ראשון בישראל שיתקיים בנמל אשדוד בהשתתפות בכירים מהעולם עוד.