يُحوّل القراصنة المدعومون من دول شبكة الكهرباء إلى جبهة معركة جديدة في الصراع الجيوسياسي، ولماذا لا تنتهي الحرب أبداً حين يتوقف إطلاق النار

في صباح الثامن من مايو 2025، وبينما كانت القوات المسلحة الهندية تنفذ عملية "سيندور" في عمق الأراضي الباكستانية، كان هناك هجوم موازٍ قد بدأ بالفعل من الجانب الآخر. ولكن هذه المعركة لم تُخض بالصواريخ، بل عبر الاختراق السيبراني.

وخلال ساعات من تصاعد الأعمال العدائية عبر الحدود، ارتفعت محاولات الاستطلاع ضد البنية التحتية للطاقة في الهند من حوالي 2000 محاولة يومياً إلى أكثر من 45,000 محاولة. لم يكن هذا الارتفاع المفاجئ مجرد ضجيج عشوائي أو نشاط اعتيادي في الخلفية، بل كان هجوماً يحمل نية واضحة ومخططاً ومستهدفاً. ولم تكن أهدافه مرافق التوزيع؛ بل كان المهاجمون يضعون نصب أعينهم هدفاً أكثر أهمية وتأثيراً: شبكة الكهرباء. كانوا يسعون إلى إحداث اضطراب شديد في العمود الفقري لنقل الطاقة في الهند، والمراكز الإقليمية للتحكم في الأحمال (RLDCs) التي تدير موازنة تدفق الكهرباء في الوقت الفعلي عبر دلهي وماهاراشترا وأوديشا وتيلانغانا.

كانت النية لا لبس فيها؛ إسقاط الشبكة على نطاق واسع وتحويل هذا الاضطراب إلى رواية يمكن بثها عبر الويب ومنصات التواصل الاجتماعي، لإحداث ضربة مرئية لا يمكن إنكارها ولا يمكن لأي هجوم صاروخي أن يضاهيها في تأثيرها النفسي. وفي هذه الحادثة، نجحت الهند في الصمود والدفاع. لكن التجربة كشفت عن الهيكل الكامل لتهديد لم يعد بإمكان المجتمع الاستراتيجي في الهند تحمل اعتباره مصدر قلق ثانوياً.

هيكل الثغرات الأمنية

لفهم سبب الأهمية البالغة التي يحظى بها قطاع الطاقة في الهند لدى الجهات المعادية، يتعين علينا أولاً أن نفهم ما تمثله شبكة الكهرباء بالفعل.

تُعتبر المراكز الإقليمية للتحكم في الأحمال (RLDCs) والمركز الوطني للتحكم في الأحمال (NLDC) بمثابة الجهاز العصبي المركزي لشبكة الكهرباء في الهند. وهي لا تقتصر على نقل الطاقة فحسب، بل تتخذ قرارات مستمرة ومؤتمتة بشأن موازنة الأحمال وتنظيم الترددات والاستجابة للطوارئ عبر شبكة تخدم أكثر من مليار شخص. وتعتمد هذه المراكز في تشغيلها على مزيج من أنظمة سكادا (التحكم الإشرافي وتحصيل البيانات) وأنظمة إدارة الطاقة، والتي يحتوي الكثير منها على مكونات تقليدية قديمة تسبق بنية الأمن السيبراني الحديثة. وبالتالي، فإن الهجوم على مركز إقليمي للتحكم في الأحمال لا يشبه خرق البيانات العادي، بل هو أقرب إلى رصاصة قناص تستهدف برج مراقبة الحركة الجوية.

لم يتم تصميم شبكة الكهرباء الهندية مع مراعاة الحروب السيبرانية. فبيئة التكنولوجيا التشغيلية (OT) التي تدير البنية التحتية المادية والمرحلات، وقواطع الدائرة، والمحولات تم بناؤها جميعاً من أجل الموثوقية والكفاءة. ورغم أن التقارب بين تكنولوجيا المعلومات والتكنولوجيا التشغيلية (IT-OT) الذي تسارع وثيرته على مدى العقد الماضي قد أسهم في تحسين الكفاءة التشغيلية، إلا أنه قد وسع بشكل كبير من مساحة الهجوم. فأصبح كل مستشعر متصل بالإنترنت، وكل وحدة طرفية عن بعد تسمح للمهندس بمراقبة محطة فرعية من كمبيوتر محمول، نقطة دخول محتملة للهجوم.

اللعبة الصينية

بينما كان الاندفاع الباكستاني في الثامن من مايو انتهازياً، فإن النهج الصيني يتسم بالتروي والتحضير المسبق، وهو أكثر ثباتاً واستمراراً.

تستهدف مجموعات التهديد المتقدم المستمر الصينية (APT) البنية التحتية للطاقة في الهند بشكل منهجي منذ عدة سنوات. ويتوافق هذا النمط مع مفهوم "التموضع المسبق"، وهو مصطلح يشير إلى تأسيس وصول دائم وخامل داخل الشبكات الحيوية بفترة طويلة قبل أي استخدام مستهدف (للتعطيل). 

وتُعرف هذه العقيدة في الأوساط الاستراتيجية الصينية باسم "التحضير في وقت السلم للاستخدام في وقت الحرب". وتتجلى فلسفتها بوضوح في الصبر والتروي؛ التسلل إلى الشبكة المستهدفة عندما تكون التوترات الجيوسياسية منخفضة، ورسم مخطط هيكلها، وتحديد نقاط الضغط والضعف، ثم البقاء في حالة خمول إلى أن تتطلب الحسابات الجيوسياسية تفعيل الهجوم.

ولا يقل بعد الرسائل الجيوسياسية لهذه الاستراتيجية أهمية؛ فبكين لا تحتاج فعلياً إلى قطع الكهرباء عن الهند لتحقيق تأثير استراتيجي. بل إن مجرد إظهار القدرة أمام الجمهور المستهدف، مدعوماً بإشارات غامضة عبر القنوات الخلفية تفيد بقدرتها على القيام بذلك، يعمل كشكل من أشكال الضغط القسري خلال المفاوضات بشأن خط السيطرة الفعلية، أو النزاعات التجارية، أو منافسات النفوذ الإقليمي. 

ولهذا السبب فإن التكليف الصيني للجهات الفاعلة في مجال التهديد التابعة لها مصمم صراحة لإحداث "شعور واضح بالذعر وإظهار القدرة على اختراق البنية التحتية الحيوية عند الرغبة". الرسالة ليست تكتيكية، بل هي استراتيجية مفادها: نحن بالداخل بالفعل، ويمكننا تحديد متى ستكتشفون ذلك.

دروس حرب إيران: وقف إطلاق النار لا يعني شيئاً

إن دراسة الحالة الأخيرة الأكثر فائدة للمخططين الاستراتيجيين في الهند لا تأتي من باكستان أو الصين؛ فقد أضافت إيران فصلاً جديداً إلى قواعد اللعبة، ومن الضروري للهند قراءة هذا الفصل واستيعاب دروسه جيداً. 

لقد قدمت مجموعة التهديد "حندلة" (Handala) المرتبطة بإيران، والتي تعمل تحت توجيه وزارة الأمن الداخلي الإيرانية، نموذجاً شبه مثالي لكيفية عمل الحرب السيبرانية في بيئة صراع هجين. وخلال الجولة الأخيرة من الأعمال العدائية في الشرق الأوسط، أظهرت "حندلة" قدرتين من شأنهما إثارة قلق كل مشغل للبنية التحتية الحيوية في منطقة المحيطين الهندي والهادئ.

أولاً، اخترقت المجموعة شركة لتكنولوجيا الطب في الولايات المتحدة واستخرجت الاتصالات الشخصية لمسؤول حكومي أمريكي رفيع المستوى، مما أظهر بوضوح مدى وصول العمليات السيبرانية المدعومة من الدول إلى ما هو أبعد من أي مسرح جغرافي للصراع التقليدي. ثانياً، شنت حملة ضد مشغلي البنية التحتية الحيوية في جميع أنحاء الشرق الأوسط ونجحت في اختراق شبكات ثلاث جهات حكومية إقليمية على الأقل في غضون أسابيع قليلة.

ولكن وتيرة العمليات التي نفذتها "حندلة" بعد وقف إطلاق النار هي التي تحمل الدرس الأكثر أهمية للهند. فعندما صمتت المدافع، لم تتراجع "حندلة"، بل كثفت عملياتها؛ حيث سرّعت المجموعة هجماتها، وبدأت في بناء شبكة شركاء أوسع، وأطلقت اتصالات مع جهات تهديد مدعومة من الدولتين الروسية والصينية لترتيب عمليات مشتركة.

إن النتيجة الاستراتيجية المترتبة على ذلك بالغة الخطورة؛ فوقف إطلاق النار في الصراع الحركي العسكري لا يعني وقف إطلاق النار في الفضاء السيبراني. وقد يمثل انتهاء الأعمال العدائية التقليدية بداية لتكثيف العمليات السيبرانية، حيث تنفذ جهات التهديد التي كانت تتموضع مسبقاً (أثناء الصراع) حملاتها الآن بصلاحيات وموارد ونفوذ سياسي أكبر.

وبالنسبة للهند، فإن الدرس مباشر؛ فربما تكون عملية "سيندور" قد انتهت، لكن الحملة السيبرانية التي صاحبتها لم تنتهِ بعد.

مشكلة الاستمرارية

لا تخضع الهجمات السيبرانية لمنطق المعاهدات أو اتفاقيات وقف إطلاق النار أو المبادرات الدبلوماسية. فالجهات الفاعلة في مجال التهديد التي تُطلق عنانها أثناء الصراعات لا يمكن كبح جماحها بسهولة، وهي تعمل بزخم خاص بها، تعززه ديناميكيات هيكلية متعددة تجعل من الصعب للغاية إيقافها.

ولننظر هنا إلى تتابع المعلومات وتراكمها: فالحصيلة البيانية المستخرجة من اختراق ناجح واحد تُعاد صياغتها لاستخدامها في هجمات مستقبلية. إذ يمكن استخدام بيانات الاعتماد المستخرجة من جهاز مهندس مخترق في شركة Powergrid بعد أشهر في حملة حشو بيانات الاعتماد ضد مرفق آخر. كما أن أنماط كلمات المرور المرصودة من اختراق واحد تُثري نماذج التعلم الآلي التي تسرّع من عملية اختراق أنظمة أخرى. وهكذا تصبح بيانات هجوم الأمس هي ذخيرة الغد.

ويُعد الجدول التشغيلي لمجموعة "حندلة" نموذجاً معبراً عن هذا النمط الأوسع؛ حيث تصف مصادر الاستخبارات وتيرة عمل ثابتة ومتكررة: هجمات التموضع المسبق، المصممة للوصول دون إطلاق إنذارات، تتركز في النصف الثاني من كل شهر. يتبع ذلك إعلانات عن اختراقات ناجحة في النصف الأول من الشهر التالي. وتعمل هذه الدورة بشكل مستقل عن أي جدول أعمال سياسي خارجي، وستستمر بغض النظر عما إذا كانت الهند وباكستان في حالة عداء مفتوح أو تقارب دبلوماسي.

وتعمل جهات التهديد الروسية والكورية الشمالية والصينية وفق دورات مماثلة على مدار العام، غير مكترثة بالحالة الرسمية للعلاقات الثنائية. والأهم من ذلك أن هذه الجهات تتعاون فيما بينها؛ فالعمليات السيبرانية التي تبدأها مجموعة ما، يتم التوسع فيها وتطويرها روتينياً بواسطة مجموعة أخرى. وقد نفذت جهات تهديد إيرانية وروسية وصينية حملات مشتركة، تشاركت فيها مجموعات الأدوات واستخبارات الأهداف والبنية التحتية. وما يبدأ كعملية استطلاع باكستانية لشبكة الكهرباء الهندية يمكن أن يكتسب سريعاً التعقيد الفني لعملية تهديد مستمر متقدم (APT) صينية تُبنى فوقه.

ولعل هذا التلاقح والتبادل المشترك للقدرات هو البعد الأقل تقديراً للتهديد الذي تواجهه الهند.

الحسابات الاستراتيجية للهند

لا يعود ضعف موقف الهند بأي حال من الأحوال إلى نقص الطموح أو الوعي. فقد حقق فريق الاستجابة لطوارئ الحاسب الآلي الهندي (CERT-In)، والمركز الوطني لحماية البنية التحتية للمعلومات الحيوية (NCIIPC)، وفرق الاستجابة للحوادث الأمنية في قطاع الكمبيوتر تقدماً ملموساً. كما أن نجاح الشبكة الهندية في الصمود خلال الارتفاع المفاجئ للهجمات في مايو 2025 كان إنجازاً تشغيلياً كبيراً.

ومع ذلك، فإن الصمود والدفاع في جولة واحدة لا يشكل استراتيجية دفاعية مستدامة. وتستدعي ثلاث ثغرات هيكلية اهتماماً عاجلاً على أعلى مستويات الحكومة والصناعة.

عجز أمن التكنولوجيا التشغيلية (OT). استثمر قطاع الطاقة في الهند بشكل كبير في تحديث بنية تكنولوجيا المعلومات التحتية لديه، ولكن التكنولوجيا التشغيلية، وهي مجموعة الأنظمة الفعلية التي تتحكم في مكونات الشبكة المادية، لا تزال تفتقر إلى الحماية الكافية بشكل ملحوظ. ولا تزال أنظمة سكادا في العديد من المرافق الحكومية تعمل بأنظمة تشغيل قديمة. كما أن قدرات الوصول عن بعد التي تم إدخالها لتسهيل العمليات قد تجاوزت بروتوكولات الأمان التي تحكمها. لذا يجب التعامل مع إصلاح أمن تكنولوجيا التشغيل الشامل، مع إعطاء الأولوية لـ NLDC و RLDCs وممرات النقل ذات الجهد العالي، باعتباره استثماراً أساسياً في البنية التحتية للأمن القومي.

إن تنفيذ لوائح هيئة الكهرباء المركزية (CEA) (الأمن السيبراني في قطاع الطاقة) لعام 2025 سيقطع شوطاً طويلاً في تأمين الشبكة عبر التكنولوجيا التشغيلية وتكنولوجيا المعلومات. 

الفجوة بين الاستخبارات والعمليات. تم اكتشاف موجة الهجمات في الثامن من مايو واحتواؤها. ولكن الاكتشاف لا يعني تحديد الهوية والجهة المسؤولة، وتحديد الجهة المسؤولة لا يعني الإحباط المسبق للهجوم. ويتعين على الهند تطوير موقف أكثر حزماً في تبادل معلومات التهديدات السيبرانية بين NCIIPC، ومشغلي القطاعات، ومزودي معلومات التهديدات السيبرانية (CTI)، والدول الديمقراطية الحليفة. فالخصوم الذين تواجههم الهند قد بنوا بالفعل شبكات استخباراتية تعاونية، ويجب على المدافعين في الهند مضاهاة تلك البنية الهيكلية وتجاوزها.

الفجوة العقائدية. لا تملك الهند حتى الآن عقيدة ردع سيبراني معلنة رسمياً تعادل عقيدتها النووية أو عقيدتها العسكرية التقليدية. ويخلق غياب مثل هذا الإطار حالة من الغموض للخصوم الذين يقدرون ما يمكنهم فعله دون عواقب، ولمشغلي الهند أنفسهم الذين يتخذون قرارات في الوقت الفعلي بشأن الاستجابة المتناسبة. إن وجود عقيدة واضحة ومحددة ترسم الخطوط الحمراء حول الهجمات التي تستهدف البنية التحتية الحيوية، وتحدد نطاق الاستجابات التي تحتفظ الهند بالحق في اتخاذها، من شأنه أن يرفع بشكل كبير من كلفة حسابات الخصوم.

تحديات حماية النمو والمناخ

تقوم الهند حالياً ببناء واحد من أكثر برامج الطاقة النظيفة وتحديث الشبكات طموحاً في العالم. ويتطلب الانتقال إلى مصادر الطاقة المتجددة، وتوسيع الشبكات الذكية، وتكامل التوليد الموزع للكهرباء زيادة معقدة في البنية التحتية التي يجب الدفاع عنها وحمايتها. 

ويفهم الخصوم الذين يستهدفون سيادة الطاقة في الهند هذا الأمر تماماً؛ فهم لا يحاولون مجرد تعطيل شبكة اليوم، بل يحاولون ترسيخ وجود دائم وخفي في شبكة الغد.

ويكمن التحدي الذي يواجه القيادة الاستراتيجية للهند في التعامل مع كلا الواقعين في وقت واحد: بناء البنية التحتية للطاقة التي تحتاجها دولة طموحة ومتنامية، وفي الوقت ذاته تعزيز وتحصين هذه البنية التحتية أمنياً.

وكان الارتفاع المفاجئ للهجمات في 8 مايو بمثابة جرس إنذار. والسؤال المطروح الآن ليس ما إذا كانت المحاولة القادمة ستأتي، بل هو ما إذا كانت الهند ستنجح في إبقاء الأنوار مضاءة خلال هجوم سيبراني معادٍ مستقبلاً.

هل ترغب في معرفة المزيد عما حدث في الفضاء السيبراني أثناء عملية سيندور؟ قم بتنزيل تقرير مشهد تهديدات أمن التكنولوجيا التشغيلية (OT) لعام 2026.