في الأيام الأولى من الصراع المستمر في الشرق الأوسط، اكتشفت فرق الأمن تحقيقًا جارياً على المحيط الرقمي لأحد أكثر المؤسسات العلمية حساسية في أوروبا. كان الهدف هو المركز الوطني للبحوث النووية في بولندا (NCBJ)، المعهد الحكومي النووي الأساسي والرائد في البلاد، ويقع في  Świerk على بعد حوالي 30 كيلومتراً جنوب شرق وارسو. لم يتمكن المهاجمون من الدخول. لكن المحاولة نفسها تمثل إشارة صارخة في عاصفة جيوسياسية تصم الآذان بالفعل.

ما حدث بالفعل

أكد المركز الوطني للبحوث النووية في بولندا أن المتسللين استهدفوا بنيته التحتية لتكنولوجيا المعلومات. ومع ذلك، أوضح أن الهجوم تم كشفه ووقفه قبل أن يسبب أي تأثير. وفي بيان، قال المنظمة إن أنظمة الأمن وإجراءاتها الداخلية التي صممت لكشف التهديدات مبكراً منعت الاختراق وسمحت لفريق تكنولوجيا المعلومات بسرعة تأمين الأنظمة المستهدفة.

قال وزير الشؤون الرقمية في بولندا، كريستوف جاوكوفسكي، لمحطة التلفاز الخاصة TVN24+ أن الهجوم وقع "خلال الأيام القليلة الماضية". وأضاف أن "التحديدات الأولى لمتجهات الدخول (تلك الأماكن التي تم الهجوم منها على المركز) مرتبطة بإيران."

وأصدر الوزير في نفس السياق تحذيراً فوريًا مفاده أن المؤشرات قد تكون إنحرافًا متعمدًا لإخفاء الموقع الحقيقي للمهاجمين. كما نعلم جميعاً، هناك فيل في الغرفة في هذا الهجوم وهو روسيا.

المركز الوطني للبحوث النووية: لماذا يعتبر هدفًا مهمًا

استهدفت الهجوم السيبراني المركز الوطني للبحوث النووية بشكل غير ناجح، والذي يضم المفاعل النووي الوحيد العامل في البلاد. لا يعتبر المركز الوطني للبحوث النووية مرفق أسلحة؛ حيث إن بولندا لا تملك أسلحة نووية وتبني أول محطة للطاقة النووية لها. لكن الأهمية الاستراتيجية للمعهد ليست في الأسلحة النووية.

المركز الوطني للبحوث النووية هو المعهد الرئيسي للحكومة البولندية في مجال البحوث النووية، متخصص في الفيزياء النووية وتقنية المفاعلات وفيزياء الجسيمات وتطبيقات الإشعاع. يوفر الدعم الفني والعلمي الذي يقوم عليه برنامج الطاقة النووية في البلاد. حالياً، تقوم بولندا ببناء أول محطة نووية مدنية لها بالتعاون مع الشركات الأمريكية ويستنغهاوس وبيكتل. أي معلومات تم جمعها حول أنظمة السلامة في المفاعلات وعلاقات الموردين أو المواصفات الهندسية ستكون ذات قيمة تشغيلية لمنافس متطور. هذا ينطبق خصوصًا على الجهات الفاعلة التي تعتبر التدخلات الاقتصادية والعسكرية للولايات المتحدة أهدافاً ناعمة مشروعة.

هذا هو بوضوح محاولة للتأكد من استمرار وجودهم وتأمين المواقع الاستراتيجية مقدماً. استهدف المهاجمون الدخول المبكر لتأسيس التمركز، وضمان أنهم يظلون متداخلين بينما تصبح البيانات أكثر قيمة.

السياق الجيوسياسي الذي لا يمكنك فصله عن هذا

الهجوم على المركز الوطني للبحوث النووية في 12 مارس لم يحدث في فراغ. حدث بعد 12 يوماً من بداية حرب ساخنة. هذا السياق مهم للغاية لنموذج التهديد والنتائج التي تلي ذلك.

قبل يوم من ذلك، في 11 مارس، حدثت عملية إلكترونية إيرانية بعيدة الأثر أكثر. حيث كانت عملاق التكنولوجيا الطبية سترايكر، وهي شركة فورتشن 500 مقرها الرئيسي في ميشيغان ومتخصصة في المعدات الجراحية وزرعات العظام والتكنولوجيا العصبية، مستهدفة بهجوم سيبراني معطل بشكل كبير. مجموعة هاندالا المرتبطة بإيران ادعت أنها قامت بمحو أكثر من 200,000 خادم، جهاز محمول، وأنظمة أخرى، مما أجبر سترايكر على إغلاق مكاتبها في 79 دولة. لقد قمنا بتغطية الجوانب الفريدة لهذا الحادث في منشور سابق، هنا.

هاندالا هي واحدة من العديد من الجهات الفاعلة المرتبطة بوزارة الاستخبارات والأمن الإيرانية (MOIS). قد تعمل جنباً إلى جنب مع APT 35 لاختراق الشركات حول العالم. تُعرف هاندالا باستهداف الأهداف الاستراتيجية ولا تُظهر اهتماماً بالفدية أو تسريب البيانات.

كان هجوم سترايكر وحشيًا وعلى نطاق واسع ومرتبطًا بصراحة بالسياسة. قالت هاندالا إنها نفذت الهجوم انتقامًا لمقتل أكثر من 170 شخصًا في هجوم على مدرسة في مدينة ميناب الجنوبية الإيرانية في اليوم الأول من الحرب العسكرية الأمريكية-الإسرائيلية ضد إيران.

في المقابل، كانت محاولة بولوكية أكثر هدوءًا. كانت أشبه بمحاولة استقصاء جراحية على منشأة نووية، وقد خلقت توقيعات عمليات مختلفة بشكل كبير في نافذة زمنية مدتها 24 ساعة لنفس المجموعة.

مشكلة العلم الزائف: تحديد المصدر أصعب مما يبدو

يمثل التحذير ذاته للحكومة البولندية حول الانحراف المحتمل لب المشكلة التحليلية هنا. في عمليات السيبرانية الهجومية، الهجمات العلم الزائف حيث يقلد المهاجم تكتيكات وتقنيات وإجراءات دولة أخرى ليست نظرية. إنها ممارسة قياسية وقد تكون هناك أسباب للاعتقاد بأن هذه كانت حالة كذلك.

المتجهات التي تشير إلى إيران قد تعني عدة أشياء:

السيناريو أ: عملية إيرانية مباشرة. منطق الانتقام متناسق. بولندا عضو في الناتو. صرح وزير الدفاع البولندي أن بولندا لا تشارك في الصراع في الشرق الأوسط. ولكن في حسابات التهديد الإيرانية، أي عضو في الناتو يستضيف بنية عسكرية أمريكية أو يزود أوكرانيا (والذي تقوم به بولندا بشكل كبير) يمثل نقطة ضغط مشروعة.

السيناريو ب: علم زائف روسي. كانت بولندا في قائمة أهداف عالية للجهات الفاعلة الروسية الإلكترونية، مع 31 حادثة مؤكدة نُسبت إليهم بين منتصف 2025 وأوائل 2026. في وقت سابق من عام 2026، هاجمت مجموعة APT44 الروسية ("عاصفة الرمال") شبكة الطاقة في بولندا، مستهدفة مواقع الموارد الطاقة المتجددة، ومرافق الحرارة والطاقة، وأنظمة توزيع الطاقة المتجددة. لدى موسكو كل الحافز لضرب البنية التحتية البولندية وترك إيران تتحمل اللوم. قد يكون هذا الهجوم جزءًا من سلسلة هجمات على بولندا، لكن هذه المرة قررت روسيا تمرير اللوم إلى إيران. للحقيقة، يحتوي هذا الهجوم على جميع العلامات المميزة لعملية روسية قياسية، من حيث الهدف، والتوقيت، وحتى التكتيكات والتقنيات والإجراءات.

السيناريو ج: اغتنام فرصة من جهة ثالثة. النزاع النشط يوفر ستارا. يمكن لمجموعة إجرامية أو تجسس دون انتماء دولة استغلال الضجيج الجيواسياسي لتنفيذ عمليات تتلاشى في الخلفية. يبدو ذلك غير مرجح بعض الشيء لأن منشآت البحث النووي خارج نطاق مثل هؤلاء الفاعلين. لكن من الممكن أن يكون الفاعل التهديدي قد حاول الدخول إلى الشبكة لبيع الوصول لمزيد من الجهات الفاعلة التهديدية في المستقبل.

المتجهات النهج — عناوين IP والبنية التحتية ومسارات التوجيه التي يصل بها الهجوم — يمكن تزويرها أو غسلها بشكل تافه عبر بنية تحتية من دول ثالثة ومزارع بوت. أي محلل يقول لك إن الجغرافيا السلبية لعناوين الـIP تحسم تحديد المصدر ربما يبيعك شيئاً أو ربما أفقه أقل من الاجتماع العادي.

ما حققه المدافعون بشكل صحيح

هذه الحادثة تستحق الفحص أيضًا لما لم يحدث. لم يتم اختراق المركز الوطني للبحوث النووية. بفضل الإجراءات السريعة والفعالة لأنظمة الأمان والإجراءات الداخلية، وكذلك الاستجابة السريعة للفرق، تم إحباط الهجوم ولم تتعرض سلامة الأنظمة للخطر.

تلك ليست نتيجة تافهة. كانت البنية التحتية الحيوية، خاصة المرافق النووية، تاريخيًا هدفًا ذا قيمة عالية وغير محصن داخل الحدود الحمراء المحفورة جيدًا من حيث ما تهتم به الحكومة. يشير الدفاع الناجح هنا إلى عدة أشياء: كان هناك كشف طبقي، وكان مركز العمليات الأمنية (SOC) قد أعد واختبر إجراءات الاستجابة للحوادث، وكان تبادل المعلومات الاستخبارية حول التهديدات وظيفيًا بما فيه الكفاية لتمكين ردود الفعل السريعة.

قارن هذا مع فشل سترايكر، حيث اقترح الباحثون في الأمن أن الجهات الفاعلة في هاندالا حصلت بالفعل على الوصول إلى خدمات دليل & اختبار الهوية في Stryker واستخدمت أداة إدارة نقطة النهاية من مايكروسوفت لإعادة ضبط الأجهزة مايكروسوفت عن بعد، بما في ذلك الأجهزة التي تدار بموجب سياسة إحضار جهازك الشخصي. هذا هو فشل في سلسلة التوريد وإدارة الهوية على نطاق واسع، والوصول الذي يجب أن لا يكون قابلاً للتحقيق من الخارج.

ما سيحدث بعد ذلك

تشير الصورة الإستراتيجية أن هذه هي الأيام الأولى، وليس حالة واحدة. ردت إيران تاريخيًا على الضغط الحركي بحملات سيبرانية مستدامة ومتعددة المضلعات — وليس بالضرورة دفعة وحيدة. تاريخيًا، نفذت إيران بعض من أكثر هجومات السيبرانية السيئة السمعة التي تمحو الشبكات المستهدفة على أعدائها الوطنيين، وتهدف ببساطة إلى محو كافة البيانات. في عام 2012، فقدت شركة أرامكو السعودية عشرات الآلاف من الأجهزة الحاسوبية الشخصية. النمط هو تصاعد صابور وليس مشهد.

بالنسبة لمشغلي البنية التحتية الحيوية الأوروبية، خاصة في قطاع الطاقة، النووية، والدفاع المحيط، توسعت الآن على نطاق واسع نماذج التهديدات. كانت قرب بولندا من النزاع الأوكراني قد جعلها بالفعل هدفًا روسيًا من الدرجة الأولى. إضافة إمكانات العمليات الانتقامية الإيرانية تخلق ضغطًا سيبرانيا متعدد الجبهات من شأنه أن يرهق عرض نطاق مركز عمليات الأمن ونطاقات اعتبار التقييمات الوطنية للاستجابة السيبرانية في آن واحد.

الهجوم على المركز الوطني للبحوث النووية فشل. الهجوم التالي قد لا يكون. وفي بيئة حيث تكون الأعلام الزائفة ممارسة قياسية واثنين من النزاعات الموازية القريبة من الطاقة النووية تتكشف في وقت واحد، لم يكن الهامش للخطأ في التحديد والعواقب المترتبة على ذلك الخطأ أكثر ارتفاعًا من أي وقت مضى.

أسئلة؟ لا تنسى أن تسقط لنا سطرًا هنا.

إضافات وقوائم فحص ذات صلة

ضوابط الأمن التشغيلي المتوافقة مع NIST SP 800-171
النمذجة التهديدية المعتمدة على STRIDE وتقييم DREAD لأنظمة التحكم الموزعة في مصافي النفط