פרסומים
מבט על, גיליון 375, 15 באוקטובר 2012.
הדברים שאמר שר ההגנה ליאון פאנטה בימים האחרונים בקשר לצורך להתמודד עם מהלומת סייבר איראנית כנגד יעדים אמריקניים, הציפו את מה שמתרחש באיראן מזה שנתיים – פעילות ענפה לבניין יכולת הגנתית והתקפית בתחום הסייבר. דומה שאנו נמצאים בעיצומה של מערכת סייבר רחבת היקף שבה איראן מנסה לפגוע ביעדים שונים כגמול לעיצומים המוטלים עליה ולמתקפות הסייבר, שעימן היא נדרשת להתמודד. איראן פועלת לפתח ולממש אסטרטגיה לפעולה במרחב הסייבר. התייחסותו של המנהיג העליון חאמנאי להזדמנויות ולסכנות הטמונות במרחב הקיברנטי בעת הכרזתו על הקמת "מועצת סייבר עליונה" במרס 2012, מראה עד כמה הנושא מרכזי באיראן.
הדברים שאמר שר ההגנה ליאון פאנטה בימים האחרונים בקשר לצורך להתמודד עם מהלומת סייבר איראנית כנגד יעדים אמריקניים, הציפו את מה שמתרחש באיראן מזה שנתיים – פעילות ענפה לבניין יכולת הגנתית והתקפית בתחום הסייבר. דומה שאנו נמצאים בעיצומה של מערכת סייבר רחבת היקף שבה איראן מנסה לפגוע ביעדים שונים כגמול לעיצומים המוטלים עליה ולמתקפות הסייבר, שעימן היא נדרשת להתמודד.
איראן פועלת לפתח ולממש אסטרטגיה לפעולה במרחב הסייבר. התייחסותו של המנהיג העליון חאמנאי להזדמנויות ולסכנות הטמונות במרחב הקיברנטי בעת הכרזתו על הקמת "מועצת סייבר עליונה" במרס 2012, מראה עד כמה הנושא מרכזי באיראן. בהיבט ההגנתי, פועלת איראן להגשמת שתי מטרות מרכזיות: ראשית, ליצור מעטפת טכנולוגית, שתגן על תשתיות חיוניות ומידע רגיש מפני מתקפות סייבר כדוגמת מתקפת סטקסנט, שפגעה בתוכנית העשרת האורניום האיראנית. שנית, לבלום ולסכל פעילות סייבר של גורמי אופוזיציה ומתנגדי משטר, עבורם מרחב הסייבר מהווה פלטפורמה מרכזית לתקשורת, הפצת מידע וארגון פעולות כנגד המשטר. בהקשר זה יש גם להתייחס, לתכנית האיראנית לייצר רשת תקשורת עצמאית ומבודלת.
בהקשר למרכיב ההתקפי, אסטרטגיית הסייבר משתלבת עם דוקטרינת הלוחמה הא-סימטרית, המהווה עיקרון מרכזי בתפיסת הפעלת הכוח האיראנית. לוחמת סייבר, בדומה לטקטיקות א-סימטריות קלאסיות אחרות כגון טרור ולוחמת הגרילה, נתפסת בעיני איראן ככלי יעיל ואפקטיבי המאפשר לפגוע באופן משמעותי באויב בעל עליונות צבאית וטכנולוגית. ניתן להעריך שבמקרה של הסלמה בין איראן לבין המערב, תחתור הראשונה להוציא לפועל מתקפת סייבר כנגד תשתיות חיוניות בארצות הברית ובנות בריתה כגון: תשתיות אנרגיה, מוסדות כלכליים, מערכות תחבורה ועוד.
כדי לממש את המטרות האסטרטגיות הקציבה איראן כמיליארד דולר לפיתוח ורכש טכנולוגי ולגיוס והכשרת מומחים. במדינה, רשת ענפה של מוסדות חינוך ומחקר אקדמי, העוסקים בתחומי טכנולוגיות מידע, הנדסת מחשבים, הנדסת אלקטרוניקה ומתמטיקה. לצד אלה פועל המכון הממשלתי לטכנולוגיות מידע –Iran Telecommunications Research Center , שהינו הזרוע המחקרית והמקצועית של משרד המידע והתקשורת. המכון מפעיל ומכשיר צוותי מחקר מתקדמים בתחומים שונים ובכללם אבטחת מידע. גוף ממשלתי נוסף הוא ה - Technology Cooperation Office, המשתייך למשרד הנשיא, שבמסגרת תפקידו הוא מנחה ויוזם פרויקטים מחקריים בתחומי טכנולוגיות מידע. גוף זה סומן על ידי האיחוד האירופאי וגופים אחרים במערב כמעורב בתוכנית הגרעין.
מערך הסייבר האיראני מורכב ממספר רב של ארגוני סייבר, המשתייכים באופן פורמאלי לגופי ממסד שונים שפועלים בתחומי פעילות שונים. ארגון מרכזי אחד, בעל אוריינטציה הגנתית בעיקרה, הוא "מפקדת הגנת סייבר", הפועל תחת "ארגון ההגנה הפאסיבית של איראן", המשויך למטה הכללי של הכוחות המזוינים. לצד אנשי צבא, בארגון סייבר זה חברים גם נציגים ממשרדים ממשלתיים, כגון משרדי התקשורת, ההגנה, המודיעין והתעשייה. מטרתו המרכזית היא לפתח דוקטרינת הגנה כנגד איומי סייבר. גוף סייבר נוסף בעל אופי הגנתי הוא מרכז אבטחת המידע Maher , הפועל תחת המשרד לתקשורת וטכנולוגיות מידע. המרכז אחראי בראש ובראשונה על הפעלה של צוותי תגובה מהירה במקרה של אירועי חירום ומתקפות סייבר. לצד אלה פועלת באיראן ה"וועדה לזיהוי אתרים בלתי מאושרים" ויחידת סייבר משטרתית – FETA, שבנוסף להתמודדות בפשיעת אינטרנט עוסקת גם בניטור, מעקב ושליטה במשתמשי האינטרנט באיראן, וזאת תוך דגש על משתמשי ה"אינטרנט קפה" הפרוסים ברחבי המדינה ומאפשרים גלישה אנונימית במידה מסוימת.
בכל הקשור ליכולות ההתקפיות של מערך הסייבר האיראני התמונה פחות ברורה. ניתן לקבוע כי יכולות הסייבר של משמרות המהפכה מציבות את איראן כמדינה מתקדמת בתחום ללוחמת הסייבר. בין יכולות אלה ניתן למצוא: פיתוח תוכנות מחשב נגועות על ידי השתלה של קוד זדוני בתוכנות מחשב מזויפות. פיתוח יכולות חסימה לרשתות תקשורת מחשבים ורשתות, פיתוח וירוסים, כלים לחדירה למחשבים, כדי לאסוף מודיעין, ולבסוף, פיתוח של כלים המוטמנים ומופעלים בצורה מושהית או לפי פקודה משרתי שליטה. ישנן עדויות גם לקשרים בין משמרות המהפכה לבין קבוצות האקרים באיראן ומחוצה לה, הפועלות כנגד אויבי המשטר בתוך איראן ובעולם. השימוש ב"מיקור חוץ" מאפשר למשמרות המהפכה ולאיראן לשמור על ריחוק ולהתכחש להאשמות בדבר מעורבותה של איראן בלוחמת סייבר ופשיעת סייבר. קבוצת האקרים בולטת, הקשורה למשמרות המהפכה, היאAshiyane Digital .Security Team. חברי קבוצה זו מונעים על ידי תפיסות אידיאולוגיות התומכות במשטר האיראני ובמהפכה ומכוונים את התקפותיהם כנגד אויבי המשטר. גם ארגון הבאסיג', הכפוף למשרות המהפכה, הפך לפעיל בזירת הסייבר עם הקמתה ב-2010 של "מועצת הסייבר של הבאסיג'". פעילות הבאסיג' מתמקדת בראש ובראשונה ביצירת תעמולה פרו-איראנית במרחב הסייבר ובפיתוח יכולות סייבר מתקדמות יותר. הבאסיג' משתמש במדריכים מתוך יחידות הסייבר של משמרות המהפכה על מנת להכשיר האקרים בעלי יכולות תקיפה גבוהות.
איראן כבר פועלת התקפית. יעידו על כך כמה אירועים שנחשפו בשנים האחרונות. במהלך שנת 2011 בוצעו שתי מתקפות על חברות המספקות הרשאות אבטחה. הבולטת בהן הייתה על חברת DigiNotar מהולנד. מאגרי החברה שהייתה הרשות המרכזית בהולנד להרשאות SSL, הותקפו במהלך החודשים יוני עד אוגוסט 2011. במהלך התקיפה, נגנבו תעודות המשמשות לאימות אתרים כולל תעודה המשמשת לאימות שם התחום google.com, המאפשרת לתוקף התחזות וניתוב מחדש של שרתי Gmail. התקיפה אפשרה חדירה ליותר מ-300,000 מחשבים, רובם המכריע באיראן, והיא נועדה ככל הנראה לצרכי מעקב ובטחון פנים במדינה.
בחודש ספטמבר 2012, הותקפו כמה מוסדות פיננסיים בארצות הברית ובהם אתרים השייכים לבנק של אמריקה (Bank of America), לבנק מורגן צ'ייס ולבנק סיטיגרופ. להערכת גורמים בארצות הברית התקפות הסייבר האלה בוצעו ככל הנראה על ידי איראן והיו בתגובה לסנקציות שהוטלו על המדינה על ידי ארצות הברית. המתקפה ההרסנית ביותר הונחתה בחודש אוגוסט 2012 על מחשבי חברת הנפט Aramco הסעודית ועל חברת הגז הקטארית RasGas. ההתקפה בוצעה באמצעות וירוס מחשב הידוע בשם Shamoo. וירוס המחשב התפשט דרך שרתי מחשבי החברה ופגע במידע שנשמר בהם. קבוצה בשם The Cutting Sword of Justice, לקחה אחריות על התקיפה וטענה שהתקיפה באה כנגד מקור ההכנסה העיקרי של ערב הסעודית שהואשמה בביצוע פשעים במדינות כגון סוריה ובחריין.
פיתוח יכולות הסייבר של איראן והמתקפות האחרונות צריכים להטריד את ארצות הברית וכמובן גם את ישראל. ההצלחה של תקיפת מחשבי Aramco צריכה להטריד מאחר ומערכות ההגנה הסטנדרטיות אינן מספקות הגנה מפני איומים ממוקדים ולא מוכרים. לכן יש לפתח כלים שיוכלו לספק הגנות בפני איומים שכאלה. אחד הכיוונים המתפתח הינו התבססות זיהוי, חסימה ונטרול של התנהגות לא שגרתית במחשבים מותקפים. כלים שכאלה יוכלו לנטרל איומים גם אחרי שהקוד הזדוני הצליח לחדור למחשב היעד. התקיפה נועדה בעיקר להשמיד מידע באופן גורף וללא אבחנה בעשרות אלפי המחשבים של חברת הנפט הסעודית ופחות (אם בכלל) כדי לאסוף מידע. אם פעילות מודיעין במרחב הסייבר יכולה להיחשב, בחלק מהמקרים, כלגיטימית, הרי שתקיפה רחבת היקף שכזו על ידי איראן על מטרה אזרחית מסמנת מעבר של איראן לפעולות גמול. דבריו של שר ההגנה ליאון פאנטה לאחרונה על הצורך לבוא חשבון עם הגורמים העומדים מאחורי התקיפה הזו ממחישים זאת, אולם, מה שיקבע יהיה מבחן המעשה ולא מבחן המילים.
מיקוד פעילות הסייבר של איראן בישראל ובמדינות מערביות אחרות, מחייב התארגנות הגנתית מתאימה. נדרשת תפיסה עדכנית בכל הקשור להגנות במרחב הסייבר. התחכום של התוקפים מחייב לצד הגנות גנריות גם פעילות הגנה המבוססת מודיעין. כך גם – לאור תהליכי ההתפתחות של תחום הסייבר באיראן – חייבת מדינת ישראל להציב את תחום הסייבר האיראני במקום גבוה בצי"ח המודיעיני והפעילות המסכלת. זאת כדי לאתר מבעוד מועד התארגנויות לפעולות התקפיות ולסכלן טרם הוצאו לפועל. בדומה לתכנית הגרעין האיראנית, האתגר אינו רק של מדינת ישראל אלא של מדינות רבות נוספות במערב כמו גם מדינות המפרץ. לכן יש ליזום שיתוף פעולה בין מדינתי רחב ככל האפשר בתחום המודיעין והסיכול לפעולות סייבר איראניות.
_____________________________
מאמר זה הינו תקציר של מאמר מקיף בנושא יכולות הסייבר של איראן, שעתיד להתפרסם בגיליון דצמבר של כתב העת צבא ואסטרטגיה, המכון למחקרי בטחון לאומי.
ד"ר גבי סיבוני הינו ראש תכנית הסייבר במכון למחקרי בטחון לאומי. סמי קרוננפלד הינו מתמחה בתכנית זו.
הדעות המובעות בפרסומי המכון למחקרי ביטחון לאומי הן של המחברים בלבד.
סוג הפרסום מבט על