מלחמת הצללים בין ישראל לאיראן יוצאת לאור

גיל ברעם היא מומחית במדיניות ואסטרטגיות סייבר. מנהלת קבוצת המחקר בתחומי הסייבר והחלל בסדנת יובל נאמן למדע, טכנולוגיה וביטחון, אוניברסיטת תל אביב. יעל רם היא חוקרת בסדנת יובל נאמן למדע טכנולוגיה וביטחון באוניברסיטת תל-אביב. פרופ' אלוף (מיל.) איציק בן ישראל הוא יו״ר סוכנות החלל במשרד המדע, ראש המרכז למחקר סייבר אינטרדיסציפלינרי ע״ש בלווטניק, וראש סדנת יובל נאמן למדע, טכנולוגיה וביטחון באוניברסיטת תל-אביב. 

המאמר מפורסם באדיבות רבעון ׳האומה׳. גרסה מלאה התפרסמה לראשונה בגיליון 220, נובמבר 2020, של רבעון ׳האומה׳. את הגיליון ניתן לרכוש בעמותת ׳שלטון בית״ר׳. info1@betar.org.il

בשנת 2010 דיווחה איראן, כי גילתה מתקפת סייבר נגד מתקני הגרעין שלה והצביעה על ארצות-הברית וישראל כעומדות מאחוריה. המתקפה – שבוצעה באמצעות וירוס המכונה Stuxnet – נחשבת לדוגמה הראשונה שאינה מוטלת בספק לגרימת נזק פיזי באמצעות כלי סייבר. למרות שאין שום הוכחה למעורבות ישראל בתקיפה, ההשקפה הרווחת, מאז, היא כי ישראל תפעל בזירת הסייבר, לצד זירות אחרות, כדי למנוע מאיראן לממש את תוכנית הגרעין שלה. במקביל, איראן נתפסת כמי שפועלת בנחישות לחזק את יכולות הסייבר ההתקפיות שלה ולהפוך לשחקן משמעותי בתחום.

בחודשים האחרונים נראה כי תקיפות הסייבר בין שתי המדינות הפכו פומביות ואינטנסיביות יותר. לפי הפרסומים בתקשורת הבינלאומית, מאפריל 2020 החלה סדרה של החלפת מהלומות סייבר בין ישראל ואיראן. כך למשל פורסם שאיראן תקפה את תשתיות המים והביוב של ישראל. בתגובה, ישראל תקפה נמל ימי מרכזי באיראן וגרמה לנזק כבד. בנוסף, מאז חודש מאי דווח באיראן על שרשרת תקריות הכוללות פיצוצים, הפסקות חשמל ודליקות באתרים ביטחוניים, מפעלים ואזורי תעשייה.

על אף שלא כל המתקפות מיוחסות בוודאות לישראל ואיראן, שתי המדינות כבר ציירו דפוס פעולה המזוהה עימן, לצד הצהרות שונות המבהירות את כוונותיהן. בעוד שישראל הדגישה, בהצהרה פומבית של ראש מערך הסייבר הלאומי, כי תפעל לסכל את תכנית הגרעין האיראנית גם באמצעות זירת הסייבר, איראן הצהירה שלא תאפשר לישראל לאתגר אותה בזירה זו.

אמנם תקיפות סייבר מתנהלות לרוב בעולם ה"צללים" ותחת מעטה חשאיות, אך סבב התקיפות האחרון בין המדינות היה אינטנסיבי, פומבי וגלוי יותר לציבור, מאשר תקיפות העבר. אפשר ועובדה זו היא שעודדה את ההסלמה האחרונה מתוך ניסיון של כל צד שלא להצטייר כמי שספג פגיעה מבלי להגיב עליה וכדרך לאותת על כוונותיו. התקיפות ההדדיות מבטאות דינמיקה חדשה בין המדינות, שמרחיבה את המתח הקיים ביניהן גם למרחב הסייבר, תוך ניסיון של כל אחת מהן להגדיר את הקווים האדומים שלה, כלפי יריבתה ומול הקהילה הבין-לאומית.

אפשר היה להניח שמדינות שביצעו תקיפות סייבר או חוו תקיפות שכאלו יעדיפו לנצל את יתרונות החשאיות והעמימות לצרכיהן ויבחרו שלא להתייחס בפומבי לתקיפה שאירעה. אולם, מחקר חדש מראה כי במציאות עומדות בפני הצדדים מספר אסטרטגיות שונות, כשהשמירה על חשאיות היא רק אחת מהן. בפועל מדינות בוחרות להתייחס בפומבי לתקיפה במספר לא מבוטל של מקרים.

לרשות התוקף עומדות האסטרטגיות הבאות: הראשונה – שמירה על עמימות; השנייה – הכחשה פומבית; השלישית – לקיחת אחריות על התקיפה. לרשות הנתקף עומדות האסטרטגיות הבאות: הראשונה – שמירה על עמימות; השנייה – טענה כי מקור הנזק שנגרם הוא בתקלה ׳טכנית׳ ולא בתקיפת סייבר; השלישית – חשיפת התקיפה ללא האשמת תוקף מסוים; הרביעית – חשיפת התקיפה והצבעה על התוקף.

השאלה מהם השיקולים המשפיעים על התוקף או הנתקף בסייבר לבחור דווקא אסטרטגיה מסוימת מתוך הרשימה לעיל, תלויה במגוון משתנים. חלקם הוא תלוי אינטרסים וחלקם הוא תלוי כלכלה, צורת משטר וכיוצא בזה. מלחמת הסייבר המתפתחת בין ישראל לאיראן מהווה במסגרת זו מקרה בוחן יוצא מן הכלל הראוי להיבחן לעומקו.

המטרה – שיתוק מערכת המים בישראל

ב-24 באפריל הוציאה איראן לפועל תקיפת סייבר, שנועדה לפגוע בתשתיות הביוב והמים בישראל. זאת במטרה לשתק את מערכת המים ואולי אף להביא לפגיעה באזרחים באמצעות שינוי מאזן הכימיקלים במים, כדוגמת ערבוב יתר של כלור.

זו הייתה התקיפה הפומבית הראשונה מצד איראן שבה הפעילה יכולות סייבר התקפיות על מנת לפגוע בתשתיות פיזיות בישראל, ולכן היא נתפסה כנקודת מפנה במלחמת הסייבר בין שתי המדינות. התקיפות הקודמות המיוחסות לאיראן, או לשליחיה כמו ׳חיזבאללה׳, התרכזו יותר במידע האגור במחשבים ולא בגרימת נזק פיזי.

על אף שהתקיפה לא הסבה נזק משמעותי לישראל, מבחינת ישראל מדובר היה בחציית קו אדום. תקיפת תשתיות המים העידה, כי איראן תופסת את השימוש בנשק הסייבר כנגד אוכלוסייה אזרחית כפרקטיקה לגיטימית ולכן עלולה להיחשב כאקט מלחמתי.

התקיפה כאמור לא גרמה לנזק משמעותי. כתוצאה מהתקיפה נרשמה באחת מתחנות המים חריגה בנתונים ואי-סדירות. בתחנה אחרת משאבה נותקה ממצבה האוטומטי ועברה למצב פעולה ללא-הפסקה. בתאגיד מים אחר במדינה בוצעה השתלטות על מערכת התפעול. אם התקיפה הייתה מצליחה, היה חשש בקרב מערך הסייבר הלאומי, כי מדינת ישראל תצטרך להתמודד עם מחסור זמני במים בכלל ובמי השתייה בפרט.

חודש לאחר מכן דווח ב׳ניו-יורק טיימס׳ כי להערכת גורמים המקורבים לחקירת האירוע, מקור תוכנת התקיפה הינו ביחידת הסייבר ההתקפית של משמרות המהפכה. בהמשך, ראש מערך הסייבר הישראלי חשף את התקיפה וטען כי על אף שלא נגרם נזק בעקבות האירוע, מדובר בכל זאת בנקודת שינוי בהיסטוריה של מלחמות הסייבר של ישראל.

תגובתה של ישראל לתקיפה נועדה לאותת עד כמה היא רואה את התקיפה בחומרה. ב-9 במאי הושבתה מערכת המחשבים המווסתת את תנועת הספינות והסחורות בנמל המרכזי ׳שהיד רג'אעי׳ בעיר בנדר-עבאס באיראן. ההשבתה הובילה לשיתוק הנמל למספר ימים והביאה לפגיעה כלכלית ותדמיתית באיראן. ה"וושינגטון פוסט" ייחס את הפגיעה לישראל וטען כי היא נעשתה בתגובה לתקיפה האירנית שבוצעה באפריל. סביר להניח כי התגובה הלא-מידתית של ישראל, שהסבה נזק חמור בהרבה מהמתקפה של איראן, נועדה לשקף עליונות ביטחונית וטכנולוגית על פני האחרונה ולהרתיע אותה מלבצע תקיפות נוספות בסגנון זה.

בהמשך לאותה תגובה, החלה שרשרת של תקלות ופיצוצים חריגים במוקדים שונים באיראן וביניהם מפעלים, מתקני אמל"ח ובסיסים צבאיים. ב-26 ביוני ארע פיצוץ עז במה שנטען כאזור שבו נערכו ניסויים במערכות נשק הקשורות לפרויקט הגרעין האיראני, ושבו פועל אתר לייצור טילים. הפיצוץ הוביל גם להפסקת חשמל בעיר שיראז הסמוכה.

דובר משרד ההגנה האיראני, דאוד אבדי, טען כי מקור הפיצוץ היה דליפת גז שלא זוהתה. הוא הוסיף כי אין הרוגים בתקרית וכי כוחות הכיבוי השתלטו על האש. בנוסף, אבדי טען כי האתר הינו שטח ציבורי. אולם, קביעה זו אינה עולה בקנה אחד עם העובדה כי אנשי צבא, ולא כבאים אזרחיים, טיפלו באירוע. כתבת ה-BBC בפרסית דיווחה כי על פי מקור המכיר את האזור, הפיצוץ אירע בבסיס משמרות המהפכה או בבסיס צבאי. יודגש כי ישראל הכחישה שמדובר במתקפת סייבר מצידה.

ארבעה ימים לאחר מכן אירע פיצוץ במתקן לייצור טילים באזור בסיס שככל הנראה משמש אתר תחמושת, ובו מיוצרים דלקים למערך הטילים של משמרות המהפכה. גם במקרה זה ישראל הכחישה כל קשר לאירוע. ב-2 ביולי אירע פיצוץ במתקן העשרת אורניום שהכיל צנטריפוגות מתקדמות. גורמים במערב העריכו, כי הפיצוץ נגרם בעקבות תקיפת סייבר ישראלית וכי הוא עשוי להביא לעיכוב של חודשים ואף שנים בתוכנית הגרעין האיראנית.

"לא כל אירוע קשור אלינו"

על אף ניסיונות מערביים לייחס את התקיפה לישראל, ישראל בחרה לשמור על עמימות ולא איששה או הכחישה את המיוחס לה. בכירים ישראלים שנשאלו על אודות הפיצוץ ענו תשובות עמומות למדי שלא כללו לקיחת אחריות או אפילו הכחשה ברורה, והתרכזו בהדגשת הסכנה בגרעין האיראני.

כאשר נשאל שר הביטחון בני גנץ על אודות התקיפה, אמר כי: "לא כל אירוע שקורה באיראן הוא בהכרח קשור אלינו… כל המערכות הללו מורכבות ואני לא בטוח שהם תמיד יודעים לתחזק אותן. אנו פועלים בכל החזיתות כדי לצמצם את האפשרות כי איראן תהפוך גרעינית ואנו נמשיך לעשות זאת כדי להגן על ביטחוננו". גם דברים אלו אינם כוללים הכחשה מפורשת של מעורבות ישראלית באירוע.

מנגד, בכירים איראנים טענו בריש גלי כי הם יודעים מי גרם לפיצוץ, אולם אין בכוונתם לפרסם את זהותו. עם זאת, דובר משרד החוץ בטהראן עבאס מוסוואי שיגר איום לפיו "אם נסיק שמשטר, או ממשלה כלשהי הייתה מעורבת באופן ישיר או עקיף בפיצוץ – תגיע תגובה רצינית מאוד מצידנו".

לצד הפיצוצים המסתוריים באזורים הקשורים במתקני ביטחון איראניים, איראן חוותה תקריות שונות של פיצוצים והפסקות חשמל באזורים שונים במדינה כמו פיצוץ בתחנת כוח בעיר אהוואז, במקביל לדליפת כלור במפעל פטרו-כימי שהובילה לפינוי 70 בני אדם לבית החולים. מספר ימים לאחר מכן נהרגו שני בני אדם מפיצוץ במפעל סמוך למה שנטען כמחסן בו נשמר מידע על תכנית הגרעין האירנית ושנפרץ על-ידי ישראל ב-2018. באותו שבוע נשמעו פיצוצים סמוך לטהרן, ייתכן באזור בו יש מחסני טילים, ודווח על תקלות באספקת החשמל. בנוסף, ב-15 ביולי ספינות איראניות עלו באש בנמל בושהאר. לא היו נפגעים באירוע, אך ידוע כי נזק כבד נגרם לספינות.

מתגובתה של ישראל לאירועים האחרונים באיראן ניתן להסיק, כי היא נוטה שלא להגיב על כל ניסיון לייחס לה מתקפת סייבר נגד תשתיות או אתרים ביטחוניים באיראן, וכי לרוב היא שומרת על עמימות בנושא. לצד זאת, דרך דפוס פעולה חוזר והצהרות שונות של בכירים במערכת הביטחון הישראלית ניתן ללמוד מה הם הקווים האדומים שישראל מנסה לקבוע מול איראן. בכל הקשור לתוכנית הגרעין האיראנית, ישראל מנסה לייצר משוואה א-סימטרית שבה יש לה עליונות ביטחונית וטכנולוגית על פני איראן. מנגד, בכל הנוגע לפגיעה בתשתיות אזרחיות, ישראל פועלת ככל הנראה לפי עיקרון "עין תחת עין". היא מבהירה כי אם איראן תפגע קודם בתשתיות אזרחיות שלה, היא תגיב באותו מטבע.

התגובה האיראנית מעורפלת וסותרת

תקיפתה של איראן את תשתית המים והביוב הישראלית ב-24 לאפריל הובילה לעליית מדרגה במלחמת הסייבר שבינה לבין ישראל. על אף שאיראן לא לקחה על עצמה אחריות פומבית למתקפה, דיווחים בעיתונות האמריקנית ייחסו אותה לה, וישראל אימתה כי אכן היו ניסיונות לתקוף את תשתית המים שלה באמצעות לוחמת סייבר.

כאמור, מתקפה זו נתפסה כחציית קו אדום מצד ישראל. לפי אותם מקורות זרים, ישראל בחרה להגיב באופן הרתעתי ונרחב, שכלל פגיעה בתשתיות האזרחיות ואולי גם הצבאיות של איראן, ברצף של פיצוצים, דליקות והפסקות חשמל באזורים שונים ברחבי איראן.

בדרך כלל, התגובה האיראנית כללה הכחשה של האירועים, מקורם והיקפם, וכן מסירת מידע מצומצם וחלקי בלבד על אודותם. בהתאם, את מרבית התקריות האחרונות נימק הממשל האיראני כטעות אנוש או כתקלה טכנית, והמעיט במתן פרטים על המקרה והאזור בו התרחש. את הפיצוצים בבסיסים הצבאיים, למשל, נימק הממשל כדליפת גז באזור אזרחי. בנוגע לפגיעה במיתקן העשרת האורניום בנאנתז, תגובתה של איראן הייתה מעורפלת ואף סותרת. תחילה הודיעה כי מדובר בתאונה וכי הניסיון של ישראל לייחס לעצמה את התקיפה מסייע לה לתעמולה, אך אינו נכון בהכרח. מאוחר יותר פרסמה איראן אזהרה, לפיה אם המשטר יגלה כי מדינות עויינות מנסות לחצות את הקווים האדומים של איראן, ובמיוחד המשטר הציוני וארצות-הברית, היא תשקול מחדש את האסטרטגיה שלה להתמודד עם סיטואציה זו.

תגובות חלקיות ומעורפלות אלו מצד המשטר מסייעות לשמור על עמימות בכל הנוגע לתקיפות הסייבר שהוא מנהל מול ישראל, מצד אחד, אך מנגד הן עשויות לצייר את איראן כמי שאינה שולטת בשטחה ואינה מציגה תגובה חד-משמעית לאיומים עימם היא מתמודדת. לצד זאת אפשר להעריך, כי איראן תמשיך לחזק ולפתח את יכולות הסייבר המרשימות שלה ולאתגר את ישראל בזירה זו, וכי אנו נהיה עדים לניסיונות תקיפה נוספים של תשתיות פיזיות בישראל.