по материалам Института оборонных исследований и анализа имени Манохара Паррикара (MP-IDSA), Индия

Субъекты, связанные с ХАМАСом и его союзниками, постоянно совершают атаки в киберпространстве против Израиля с начала конфликта в секторе Газа в октябре 2023 года. По данным Израильского национального кибернетического управления (INCD), которое отвечает за обеспечение безопасности национального киберпространства Израиля, интенсивность кибератак увеличилась втрое с начала конфликта. Глава агентства также разделил обеспокоенность по поводу скоординированных атак Ирана и «Хизбаллы» в различных секторах Израиля. В ответ на растущие атаки на его инфраструктуру со стороны таких грозных противников, как Иран и его доверенные лица, Израиль недавно объявил, что они строят «кибердупло» или цифровую систему «Железный купол» для защиты киберпространства Израиля от онлайн-атак.

Хотя нет определенных деталей относительно механизма и инструментов, составляющих инициативу «кибердупло», можно проанализировать официальные заявления и конкретные инициативы, чтобы получить общее представление о причинах создания такой системы. Концепция восходит к первому публичному выступлению Габи Портного в 2022 году после назначения его генеральным директором INCD. Он представил «кибердупло» как новый подход, основанный на больших данных и искусственном интеллекте, к активной защите внутреннего киберпространства, а также выделил Иран как доминирующего соперника Израиля в киберпространстве. Инициатива направлена на предоставление инструментов и услуг для повышения уровня защиты национальных активов путем синхронизации обнаружения угроз в режиме реального времени на национальном уровне для смягчения возникающих угроз. Кроме того, Портной также подчеркнул необходимость тиражирования протоколов кибербезопасности, используемых для критически важной инфраструктуры в других секторах. «Кибердупло» также использует платформы искусственного интеллекта для фильтрации реальных угроз из множества доступных разведданных об угрозах. Консолидация сильных сторон и опыта различных агентств повышает эффективность этой инициативы. Вовлеченные в нее должностные лица представляют широкий спектр агентств и департаментов в системе безопасности Израиля, в том числе из разведывательного подразделения 8200 Министерства обороны, Управления киберзащиты J6 и других киберподразделений разведывательных служб.

Предполагается, что этот проект будет использовать совместные скоординированные усилия в сочетании с искусственным интеллектом и секретно созданными платформами Армии обороны Израиля (ЦАХАЛ)  для обнаружения угроз с последующим обменом разведданными с заинтересованными сторонами. Как только информация об угрозах будет передана, Израильская группа реагирования на компьютерные чрезвычайные ситуации (CERT-IL), которая является оперативным подразделением INCD, должна будет предпринимать соответствующие действия. Системы на базе искусственного интеллекта будут собирать, анализировать и интерпретировать данные для обнаружения аномалий и оповещения национальных систем. Несмотря на то, что проект находится на начальной стадии, синергия между различными ведомствами и интеграция усилий по противодействию возникающим угрозам в киберпространстве предлагает интересный тестовый пример для других стран. Инициатива «кибердупло» также включает многонациональный компонент, отражающий глобальный характер кибератак. Учитывая характер конфликта в киберпространстве, эскалация часто выходит за рамки основных вовлеченных сторон, охватывая также их союзников. Например, страны, которые предположительно считаются поддерживающими Израиль, столкнулись с ростом киберинцидентов с начала вооруженного конфликта.

Другие инициативы под руководством INCD потенциально могут дополнить инициативу «кибердупло» с особым упором на международное сотрудничество. Одним из таких проектов является Global Cybernet, целью которого является обмен информацией о киберзащите между странами. Рекламируемая как первая сеть такого рода в мире, она была создана для обмена информацией о киберинцидентах или любых аномалиях с целью эффективного реагирования. Более того, Израиль также пытается собрать региональных партнеров для изучения конкретных оборонительных решений по противодействию киберугрозам. На одном из таких саммитов обсуждались преимущества быстрого обмена информацией и проведения совместных киберрасследований для повышения эффективности реагирования на киберугрозы. Кроме того, участники также рассмотрели возможность создания совместного регионального «кибердупла».

Согласно оценке INCD, в Израиле наблюдается всплеск киберинцидентов против его инфраструктуры, особенно с начала операции ЦАХАЛа в секторе Газа. Проводя параллели между методами, тактиками и процедурами (TTP), применяемыми в украинско–российском конфликте, оценка выявила использование операций влияния против Израиля с использованием социальных сетей. Израильские сети также сталкиваются с угрозами программ-вымогателей и все более широким использованием wipers — класса вредоносных программ, предназначенных для того, чтобы сделать данные недоступными и непригодными для использования. В отчете также раскрыта схема, по которой субъекты угроз получали несанкционированный доступ к израильским сетям и системам. Субъекты угроз все чаще используют распыленные атаки и распределенные атаки типа «отказ в обслуживании» (DDoS), а также предпринимают попытки взлома поставщиков управляемых услуг (MSP), которые составляют важнейшую часть цепочки поставок. Эти атаки охватывают почти все важнейшие секторы, включая здравоохранение, академическую сферу, энергетику и транспорт, включая морское судоходство.

Портной также утверждает, что связанные с Ираном группировки активно атакуют израильскую инфраструктуру, а также руководят операциями против ключевых союзников Израиля. Крупным киберинцидентом, приписываемым Ирану и «Хизбалле», была попытка взлома больницы «Зив» в ноябре 2023 г.  Совместное расследование INCD, IDF и Агентства безопасности Израиля показало, что атака была организована группой, связанной с Министерством разведки Ирана и киберподразделением «Хизбаллы». Согласно оценке, операции по оказанию влияния Ирана прошли различные этапы с начала вооруженного конфликта между Израилем и ХАМАСом. На первом этапе кибероперации, связанные с Ираном, казались реакцией после террористической атаки ХАМАСа 7 октября 2023 г.  В течение этого времени субъекты угрозы использовали ранее существующий доступ и повторно использовали старые данные для утечек. На втором этапе связанная с Ираном группировка предприняла согласованные усилия по разрушению израильской инфраструктуры, в которых были задействованы десятки групп. На третьем этапе эти субъекты угрозы расширили свои операции, нацелившись на такие страны, как Албания и Бахрейн, которые воспринимались как сторонники Израиля.

В 2017 году INCD выпустила национальную стратегию кибербезопасности с целью оптимизации национальных усилий по обеспечению стабильного и безопасного киберпространства. В документе изложена стратегия, включающая три различных операционных уровня — совокупную киберустойчивость, системную киберустойчивость и национальную киберзащиту. В документе также предусмотрена особая роль частных организаций. Учитывая природу киберпространства, эти слои концептуализируются как взаимозависимые и дополняющие друг друга. Первый уровень предназначен для укрепления общей способности государственного и частного секторов предотвращать кибератаки и смягчать их последствия для обеспечения надежности во всех отраслях. Второй уровень имеет решающее значение, поскольку он намечает план по созданию систематической способности противостоять кибератакам. Этот уровень управляется событиями. Во время несанкционированного взлома системная киберустойчивость гарантирует, что пострадавшая организация продолжит свою деятельность, одновременно снижая угрозу. Для обеспечения бесперебойной работы во время кризиса документ поощряет обмен информацией и оказание помощи организациям во время киберинцидентов. Уровень национальной киберзащиты необходим против «серьезных угроз со стороны решительных, богатых ресурсами злоумышленников», предполагающих государственных субъектов или тех, кого поддерживают государства. Трехуровневый подход учитывает уровень риска, характер угрозы и соответствующие ответные меры.

В дополнение к национальной стратегии кибербезопасности и для решения глобального аспекта киберугроз INCD выпустила Международную киберстратегию Израиля в 2021 году. В международной стратегии подчеркивается необходимость коллективных усилий по обеспечению устойчивости посредством обмена информацией, обеспечения безопасности глобальной цепочки поставок и финансового стимулирования безопасности в организациях. В документе также кратко изложена позиция Израиля в глобальном дискурсе кибербезопасности.

Инициатива «кибердупло» по сути представляет собой активную оборону, охватывающую улучшенное обнаружение, расследование и смягчение угроз наряду с расширением существующих механизмов обмена информацией. Скоординированные усилия по обнаружению и реагированию с участием всех ведомств, включая ЦАХАЛ, подчеркивают важность совместных действий во взаимосвязанной сфере. Централизованная система упреждающей защиты киберпространства Израиля в режиме реального времени с поддержкой искусственного интеллекта является продолжением его национальной и международной стратегии кибербезопасности.

При этом в рамках реализации этого и подобных проектов израильская кибериндустрия, часто политически придерживающаяся левых взглядов и не согласная с Биньямином Нетаньяху, сталкивается с проблемами, балансируя между сдержанным противодействием войне и международной изоляцией еврейского государства. По оценкам внутренних источников, киберсектор Израиля переживает трудные времена. В то время как деловой туризм резко сократился, до такой степени, что очереди для владельцев неизраильских паспортов на иммиграционном контроле в аэропорту Тель-Авива практически не существует, технологическая индустрия страны также пострадала, хотя бы с точки зрения отвлечения человеческих ресурсов. После девяти месяцев войны в Газе некоторые руководители и технические менеджеры компаний сектора, таких как Toka, Patternz и NSO Group, проводят более половины недели в активном резерве израильской армии. И, по мнению специалистов сектора, новая волна мобилизации резервистов не за горами. Как опытные руководители израильского киберсектора, так и молодые эксперты задаются вопросом о продолжающемся конфликте, в ходе которого заявленная правительством цель — ликвидация ХАМАСа в секторе Газа — с каждым днем кажется все более отдаленной. Сотрудники некоторых из самых передовых компаний присоединились к крупным антиправительственным демонстрациям, которые проходили в Тель-Авиве в последние недели. В то же время война усложнила поиск контрактов за границей. Специалисты, особенно из Латинской Америки, Африки и Ближнего Востока, жалуются, что из-за войны они потеряли ключевых государственных заказчиков. В то же время конфликт позволил продемонстрировать эффективность израильских разведывательных технологий, которые в конечном итоге должны заинтересовать новых государственных заказчиков. Одним из немногих удачных примеров в этой связи можно выделить  украинскую компанию Piranha-Tech, поставщик израильского оборудования для перехвата и постановки помех в Киеве. За этой украинской компанией, поставляющей оборудование для борьбы с беспилотниками Вооруженным силам Украины и, кстати,  правительству Мьянмы, стоит сеть израильских компаний радиоэлектронной борьбы Ицхака Флакса, Kavit Electronics и LCSC Electronics.