В апреле Израиль предотвратил крупную кибератаку на системы водоснабжения страны, подтвердил генеральный директор Управления по обеспечению национальной кибербезопасности Игаль Унна. «Если бы злоумышленникам удалось осуществить задуманное, мы бы сейчас, во время кризиса с коронавирусом, столкнулись с большим ущербом для мирного населения и нехваткой воды», — приводит агентство Ассошиэйтед Пресс (АП) слова Унны, выступавшего на тематической конференции. Он утверждал, что это первая кибератака, целью которой было нанесение урона реальному объекту, а не кража технологий и данных. При этом Унна не прокомментировал возможную причастность к нападению Ирана, а также сообщения об ответной атаке на иранский порт, которую приписывают израильской стороне.  18 мая газета «Вашингтон пост» со ссылкой на свои источники проинформировала о причастности еврейского государства к кибератаке на расположенный в иранском городе Бендер-Аббас (провинция Хормозган) порт Шахид-Раджаи. По информации издания, атака стала ответом на предпринятую 24 апреля неудачную попытку взломать компьютеры, отвечающие за водораспределительные системы в сельской местности в Израиле.
Как указывает Ассошиэйтед Пресс, Израиль и Иран на протяжении нескольких лет подвергались кибератакам со стороны друг друга. Самым известным таким случаем стал вирус Stuxnet («Стакснет»), при помощи которого в 2010 году была осуществлена атака на иранский ядерный объект в Натанзе. Тегеран и ряд западных изданий утверждали, что за разработкой вируса стоят американские и израильские спецслужбы. В январе Министерство внутренней безопасности (МВБ) США в связи с проведенной операцией американских ВС по ликвидации иранского генерала Касема Сулеймани сделало вывод о том, что власти Ирана могут совершить теракт или провести кибератаку против критически важной инфраструктуры США.   В документе сообщается, что Иран поддерживает высокий уровень своего потенциала в киберпространстве и «может совершать кибератаки против США2. «Иран способен, как минимум, осуществить нападения с временными разрушительными последствиями против критически важной инфраструктуры в Соединенных Штатах», — считают в МВБ.    Как говорится в заявлении, Тегеран «скорее всего, рассматривает террористическую деятельность, как вариант сдерживания или ответных мер против своих предполагаемых противников». «Во многих случаях Иран делал своей мишенью интересы Соединенных Штатов с помощью таких партнеров, как [ливанская шиитская партия] «Хизбалла», — утверждается в документе.  При этом МВБ в очередной раз заявило об «отсутствии на данный момент информации, указывающей на конкретную, заслуживающую доверия угрозу» США. «Иран и такие его партнеры, как «Хизбалла» продемонстрировали намерение и способности проводить операции в Соединенных Штатах», — поясняется в заявлении.
В этой связи американские аналитики отмечают, что продолжающиеся санкции США и агрессивная стратегия Израиля против Ирана в Сирии и Ираке фактически загнали Иран в угол, заставив его стать более агрессивным в своей контрстратегии. В 2019 году Иран совершил значительный сдвиг в своей асимметричной стратегии в Персидском заливе и на Аравийском полуострове, когда он начал ракетные и беспилотные атаки, которые нанесли значительный ущерб региональному экспорту нефти и нефтяной промышленности Саудовской Аравии. Теперь Иран, возможно, делает такой же сдвиг в сторону нанесения физического ущерба экономикам враждебных себе стран с помощью кибератак. Такой сдвиг повлечет за собой значительно более высокий риск дальнейших кибератак на арабские, американские, израильские и другие западные компании, работающие в регионе, а также на критическую инфраструктуру по всему миру. В апреле связанные с Ираном киберпреступники атаковали израильскую водную инфраструктуру, целью которой должно было стать резкое и неконтролируемое увеличение количества хлора в воде до опасного уровня. Управления по обеспечению национальной кибербезопасности Израиля остановило эту атаку, когда операторы заметили, что водяные насосы неисправны. Справедливости ради надело сказать, что хлор испаряется из воды естественным путем в очень быстрый период времени, так что угроза полного обезвоживания Израилю не грозила. Но этот инцидент был использован израильтянами как повод — для чего, скажем ниже. После проведенного расследования в Израиле пришли к выводу о том, что хакеры, по-видимому, развернули вредоносное ПО, нацеленное на программируемые логические контроллеры промышленных систем управления завода, как только они получили доступ в сеть. До апрельской атаки наступательные кибератаки Ирана не наносили ущерба критически важной гражданской инфраструктуре, а были сосредоточены на удалении данных и записей и доступе к информации, но апрельская кибератака была направлена на то, чтобы физически повредить и нарушить водоснабжение Израиля. Иран потратил годы, пытаясь получить доступ к критической инфраструктуре и разрабатывая необходимые киберинструменты для нацеливания на промышленные системы управления с целью нанесения ущерба инфраструктуре и экономическим целям. И это иранским хакерам в принципе уже удалось сделать. В обвинительном заключении США за 2016 год подчеркивалась попытка Ирана проникнуть в американскую плотину, и поддерживаемые Ираном хакеры все чаще проверяли уязвимости в критической инфраструктуре Бахрейна, Израиля и других стран и пытались проникнуть в нее. Как полагают американские эксперты, если попытки Ирана разрушить критически важную инфраструктуру продолжатся, это вынудит другие страны ответить тем же, чтобы сохранить некоторый уровень сдерживания, а это в свою очередь чревато нарастанием дальнейшей эскалации.
Как полагают специалисты Пентагона, в настоящее время Тегеран, по-видимому, обладает как готовностью, так и способностью проводить массированные атаки на промышленные системы управления в ответ на значительный экономический ущерб, нанесенный ему американскими санкциями, и принимать связанный с этим риск использования разрушительных наступательных кибератак. В ноябре прошлого года исследователи кибербезопасности отметили, что поддерживаемая Ираном хакерская группа APT33 (она же Elfin, она же Refined Kitten) все больше сосредотачивала свои усилия на проникновении в сети критической инфраструктуры, что привело к предположениям о том, что Иран попытается развернуть Shamoon или другие вредоносные программы или вирусы для поражения целей в промышленных системах управления. Это следует за сдвигом в военной активности Ирана в прошлом году, когда он перешел от простой угрозы перекрыть Ормузский пролив к преследованию кораблей ВМФ США в Персидском заливе, установке магнитных мин на коммерческие танкеры и нанесения беспилотных и ракетных ударов по нефтяной промышленности Саудовской Аравии. Иран не проводил подобных ракетных и беспилотных атак с сентября прошлого года, вероятно, из-за опасений эскалации военного конфликта, но, возможно, оценивает, что его растущая киберактивность сможет снизить риск быстрой военной эскалации и несет в себе меньший риск прямого военного конфликта, даже несмотря на ответные кибератаки. Иран будет продолжать расширять свои кибернетические возможности, но приобретение таких навыков будет оставаться относительно медленным по сравнению с более высококвалифицированными соперниками, такими как Израиль, Россия, Китай и Соединенные Штаты. Тем не менее, американцы призывают учитывать тот факт, что даже кибердержавы второго уровня могут нанести значительный ущерб из-за проблемы укрепления систем от кибератак. Если попытки Ирана разрушить критически важную инфраструктуру продолжатся, это вынудит другие страны ответить тем же, чтобы сохранить некоторый уровень сдерживания, рискуя дальнейшим наращиванием эскалации на этом направлении. Как это произошло, например, в мае, когда Израиль, провел кибератаку на иранский порт, нарушив там деятельность. При этом Израиль, вероятно, останется главным координационным центром для проведения кибератак против иранских гражданских и правительственных целей. Израиль был очень агрессивен против иранской деятельности не только через постоянную киберактивность, пытаясь получить доступ к критической инфраструктуре в Иране, но и нанося удары по целям КСИР в Сирии и Ираке. Иран же в свою очередь будет продолжать искать как можно больше уязвимостей в израильской критической инфраструктуре, включая водную и энергетическую сферу, а также в коммерческих структурах, где операции по уничтожению данных, наблюдению и сбору разведданных остаются приоритетными для иранских хакерских групп. Из этого можно сделать однозначный вывод о том, что киберпространство становится одним из главных направлений израильско-иранского противостояния. Этот тезис доказывает и недавняя реформа органов Израиля, которые отвечают за защиту и атаки в этой сфере. Новое министерство по кибер- и национальным цифровым вопросам, которое было создано в период формирования коалиционного правительства 17 мая, призвано курировать и координировать все цифровые услуги Израиля. Согласно ряду источников, новое министерство будет координировать деятельность израильского Национального Кибердиректората ((INCD), Национального израильского цифрового проекта, Правительственного Управления телекоммуникаций, Комиссии по гражданской службе и Управления израильских корпораций. Руководство новым министерством было поручено Давиду (Дуди) Амсалему, близкому политическому союзнику нынешнего премьер-министра Биньямина Нетаньяху. Как полагают некоторые эксперты, в то время как реорганизация, как ожидается, не нарушит принципиально деятельность INCD, она фактически поставит «крест» на ранее существовавшей практике прямой линии связи и отчетности между руководством этого агентства и канцелярией премьер-министра. Создание министерства, полностью посвященного киберпространству, является весьма необычным событием. Агентства по кибербезопасности чаще всего прикрепляются к более крупным министерствам, как во Франции, где Национальное агентство по безопасности информационных систем (ANSSI) прикреплено к канцелярии премьер-министра, или в Соединенных Штатах, где Агентство по кибербезопасности и инфраструктурной безопасности (CISA) находится под надзором Министерства внутренней безопасности (DHS). Эксперты отмечают, что эта реорганизация активов израильской киберзащиты происходит на фоне обмена кибератаками между Израилем и Ираном после нападения на израильскую водную инфраструктуру и массовых кампаний по порче веб-сайтов, осуществленной группой, называющей себя «хакерами Спасителя», что стало дополнительным доводом для реорганизации.
На фоне активизации израильско-иранского противостояния в киберпростанстве не только американские компании, работающие в регионе, также, вероятно, столкнутся с повышенным риском кибер-так, но и операторы критической инфраструктуры в самих Соединенных Штатах. Одна из ключевых причин, по которой Иран развил асимметричный потенциал, заключается в необходимости создать возможность для нанесения стратегического ответного удара по Соединенным Штатам и их союзникам. При этом в Тегеране отдают себе отчет, что ни одна из асимметричных возможностей Ирана, кроме кибератак, не может непосредственно нанести ущерб Соединенным Штатам. За исключением коммерчески ориентированных хакеров, осуществляющих атаки с использованием программ-вымогателей, Иран представляет на сегодня наиболее значительную угрозу для критической инфраструктуры и стратегических отраслей промышленности. Россия и Китай обладают гораздо более совершенными киберинструментами, но они не имеют намерения разрушать и наносить такой значительный ущерб, как Иран. Саудовская Аравия и другие страны Совета сотрудничества арабских государств Персидского залива (ССАПГЗ) также являются логичными целями для продолжающихся кибернападений, в том числе на нефтяные и газовые компании, водные компании и других операторов критической инфраструктуры. В отличие от Израиля и США, Саудовская Аравия и другие страны ССАГПЗ не хотят рисковать и наращивать свою конфронтацию с Ираном, в связи с чем они не проводят наступательных кибератак на Иран напрямую, но их союзнические связи с Соединенными Штатами будут продолжать делать их приоритетными мишенями для иранцев. Гражданская инфраструктура, включая опреснительные установки, нефтеперерабатывающие заводы и объекты по переработке нефти и газа, скорее всего, будет по-прежнему главным объектом для хакерских атак. При этом кибернетические возможности стран-членов ССАГПЗ не идут ни в какое сравнение с аналогичным потенциалом США и Израиля, что увеличивает их уязвимость для иранских хакеров.