אמון בחומרה - איך לדעת שהרכיב שקניתם הוא מה שהוא טוען שהוא

כשארגון ביטחוני רוכש רכיב אלקטרוני - שבב, מודול תקשורת, יחידת בקרה, ספק כוח - הוא מניח שהרכיב הוא בדיוק מה שמוצהר עליו. שהיצרן הוא מי שהוא טוען שהוא. שהקושחה שרצה בפנים עושה רק מה שהיא אמורה לעשות. ושהמסלול מהמפעל ועד המחסן לא כלל עצירה לא מתוכננת.

ההנחות האלה שגויות יותר ממה שנוח לחשוב. רכיבים מזויפים, קושחה שעברה שינוי, מקור ייצור שונה מהמוצהר, ובעלות נסתרת על ספקים - אלה לא תרחישים תיאורטיים. אלה סיכונים מתועדים שפוגעים במערכות ביטחוניות ברחבי העולם, כולל בישראל.

1,800+

מקרי רכיבים מזויפים שזוהו ב-DoD (2011-2012)

+25%

עלייה בדיווחי זיוף ב-2024

~15%

מחלקי חילוף צבאיים - חשודים כמזויפים

מה הבעיה בדיוק?

איום החומרה בשרשרת האספקה הוא רב-שכבתי. הוא לא מתמצה ב"רכיב מזויף" במובן הפשוט - שבב שלא עובד. הבעיה האמיתית מורכבת מכמה וקטורי סיכון שיכולים להתקיים בו-זמנית:

רכיבים מזויפים (Counterfeit Components)

רכיבים ממוחזרים, משופשפים ומתויגים מחדש כחדשים. לעיתים מגיעים מפסולת אלקטרונית שעוברת ליטוש לייזר, תיוג מחדש ואריזה מקורית - ונמכרים דרך חברות קש כרכיבים חדשים מהיצרן המקורי. ההערכה: כ-15% מחלקי החילוף במערכות צבאיות חשודים כמזויפים.

קושחה שעברה שינוי (Firmware Tampering)

רכיב שנראה תקין מבחוץ, אבל הקושחה שמותקנת בו שונתה - כדי ליצור דלת אחורית, לאסוף מידע, או לאפשר שליטה מרחוק. התקפות firmware שורדות התקנה מחדש של מערכת ההפעלה, החלפת דיסקים, ולעיתים גם עדכוני תוכנה - מה שהופך אותן לקשות מאוד לגילוי ולנטרול.

מקור ייצור לא ידוע (Unknown Manufacturing Origin)

הספק מצהיר שהמוצר יוצר ביפן, אבל בפועל הייצור מבוצע במפעל בסין או בדרום-מזרח אסיה. הפער בין המוצהר לבין המציאות כמעט שאינו נבדק - והוא קריטי, כי מדינת הייצור מגדירה את רמת הסיכון לשיבוש, ריגול או הכנסת רכיבים פגומים בכוונה.

בעלות נסתרת על ספקים (Hidden Ownership)

חברת הפצה שנראית אירופית או ישראלית, אבל הבעלות האמיתית - דרך שרשרת חברות בנות - שייכת לגורם זר, לעיתים עוין. בעלות נסתרת מאפשרת השפעה על מה שנכנס לשרשרת האספקה, מי שולט בתיעוד, ומה בדיוק מגיע למערכת הביטחונית.

מקרים שקרו בפועל

ספק בודד, 84,000 רכיבים חשודים - ארה"ב

ועדת הכוחות המזוינים של הסנאט האמריקאי תיעדה כ-1,800 מקרים של רכיבים חשודים כמזויפים בשרשרת האספקה הביטחונית. ספק בודד משנג'ן, סין - Hong Dark Electronic Trade - הזרים כ-84,000 רכיבים חשודים שהגיעו למערכות TCAS (מערכות למניעת התנגשויות מטוסים), לפגז מונחה Excalibur ולרכבי Stryker של הצבא האמריקאי.

פירוק טבעת זיוף שבבים - שנג'ן, 2024

משטרת סין פירקה רשת שזייפה שבבים של Infineon ו-TI. התהליך: איסוף שבבים משומשים, ליטוש לייזר, תיוג מחדש עם מספרי חלק של דגמים יקרים יותר, ומכירה דרך חברות קש. חלק מהשבבים הגיעו ללוחות אם, כרטיסי מסך וספקי כוח שנמכרו בשווקים גלובליים.

אירוע הפייג'רים - לבנון, ספטמבר 2024

בספטמבר 2024 התפוצצו אלפי פייג'רים ומכשירי קשר שנועדו לשימוש חיזבאללה בלבנון ובסוריה. המכשירים נרכשו דרך חברת קש בהונגריה שקיבלה רישיון ייצור מחברה טייוואנית. חומר נפץ הוטמן בתוך הסוללות - ברמה שהייתה כמעט בלתי ניתנת לגילוי. מקרה זה הפך לדוגמה הדרמטית ביותר בהיסטוריה לסיכון של שרשרת אספקה שנפרצה ברמת החומרה.

נתוני סנאט ארה״ב - היקף הבעיה

חקירת ועדת הכוחות המזוינים של הסנאט האמריקאי (2011-2012) חשפה את ההיקף האמיתי של בעיית הרכיבים המזויפים בשרשרת האספקה של משרד ההגנה. אנו מדברים לא על מקרים ספורים, אלא על מערכת של רכיבים מזויפים, קונים לא מאובחנים, וזרם מתמשך של חומרה בעלות נסתרת הנכנסת לתוך מערכות ביטחוניות קריטיות.

גזר דין - חלקי מסוקים

רכיבי Black Hawk מזויפים - קליפורניה

קונה רכש טבעות גומי מטייוואן בעלות של כ-1 דולר ליחידה, תיוג אותן כרכיבים מאושרים על ידי משרד ההגנה, ומכר אותן כרכיבים קריטיים לטיסה בכלי טייסה H-60A Black Hawk ו-H-60 Sea Hawk. גזר דין: 2.5 שנות מאסר וגם 55,000 דולר פיצויים.

גזר דין - צוללות גרעיניות

מעגלים משולבים מזויפים לצוללות גרעיניות - מסצ'וסטס

בשנים 2007-2012, קונה ייבא אלפי מעגלים משולבים (IC) מזויפים מסין והונג קונג, עם תיוגים שקריים של Motorola, Xilinx ו-National Semiconductor. הרכיבים נמכרו לצי ארה"ב לשימוש בצוללות גרעיניות בבסיס גרוטון, קונטיקט. גזר דין: 37 חודשי מאסר, 352,076 דולר פיצויים ו-70,050 דולר החרמה.

מבצע - Network Raider

רכיבי Cisco מזויפים - טקסס

קונה ייבא רכיבי תקשורת Cisco מזויפים מסין, הדביק לוגואים מזויפים, ומכר לחיל הים, חיל האוויר, FAA, משרד האנרגיה, ה-FBI ו-Lockheed Martin. החלקים נועדו למערכות ביודיעציה קריטיות בבסיסים צבאיים בעיראק.

שש שכבות של סיכון - מהמפעל ועד המערכת

כדי להבין את עומק הבעיה, צריך למפות את שרשרת האספקה של רכיב חומרה לפי שכבות הסיכון:

תכנון ו-IP (Design)

מי תכנן את השבב? האם ה-IP מקורי או מורשה? האם יש גישה ל-RTL code?

ייצור (Fabrication)

באיזה מפעל יוצר? האם המפעל בבעלות היצרן או קבלן משנה? באיזו מדינה?

קושחה ותוכנה (Firmware)

מי כתב את הקושחה? האם יש חתימה דיגיטלית? האם יש יכולת עדכון מרחוק?

אריזה ותיוג (Packaging)

האם התיוג תואם למפרט? האם יש סימני ליטוש, הדפסה מחדש או חוסר עקביות?

הפצה ולוגיסטיקה (Distribution)

דרך כמה ידיים עבר הרכיב? האם המפיץ מורשה? מה שרשרת הבעלות?

שילוב במערכת (Integration)

האם בוצעה בדיקת קבלה? האם הרכיב נבדק מול מפרט מקורי של היצרן?

ברוב הארגונים, הבדיקה מתבצעת רק בשכבה 6 - אם בכלל. שכבות 1–5 נלקחות כ"given". וזו בדיוק הבעיה.

הקשר הישראלי - למה זה רלוונטי כאן במיוחד

ישראל נמצאת במצב ייחודי שמגביר את הסיכון:

שוק קטן, תלות ביבוא: רוב הרכיבים האלקטרוניים מיובאים. לישראל אין תעשיית מוליכים למחצה מקומית ברמה שמאפשרת עצמאות מלאה, מה שמגדיל את התלות בשרשרת אספקה בינלאומית.
מטרה לריגול ולשיבוש: כמדינה עם תעשייה ביטחונית מפותחת ויריבים אזוריים ובינלאומיים, ישראל היא מטרה מועדפת להכנסת רכיבים מפולשים לשרשרת הביטחונית.
ספקי משנה מפוזרים: תעשיות ביטחוניות ישראליות עובדות עם מאות ספקי משנה, חלקם קטנים מאוד, שלעיתים רוכשים רכיבים ממפיצים שאינם מורשים - בגלל לחצי מחיר או זמני אספקה.
Flowdown חלש: בעוד התעשיות הגדולות מקפידות על תהליכי QA, הדרישות לא תמיד זורמות כלפי מטה לספקי הקצה שמספקים רכיבים בודדים.

מה לבדוק - רשימת בדיקה מעשית

הנה הבדיקות שארגון ביטחוני - או כל ארגון שמשלב רכיבים קריטיים - צריך לבצע:

ברמת הספק

מיהו הבעלים האמיתי של הספק? האם בוצעה בדיקת בעלות (UBO - Ultimate Beneficial Owner) דרך שרשרת החברות?
האם הספק מפיץ מורשה של היצרן (Authorized Distributor), או מפיץ עצמאי (Independent Distributor)?
באיזו מדינה רשום הספק? האם יש חברות בנות או חברות אם במדינות בסיכון?
האם הספק מחזיק בהסמכות רלוונטיות: AS6081 (רכיבים מזויפים), AS6171 (בדיקות), ISO 9001?
האם יש לספק מדיניות מתועדת למניעת כניסת רכיבים מזויפים (Counterfeit Avoidance Plan)?

ברמת הרכיב

האם יש תיעוד מלא של שרשרת המשמורת (Chain of Custody) - מהיצרן ועד הספק?
האם בוצעה בדיקת חזותית ומיקרוסקופית: סימני ליטוש, הדפסה מחדש, חוסר עקביות בתיוג?
האם מספרי ה-Lot/Date Code תואמים את מסד הנתונים של היצרן?
האם הקושחה נבדקה: חתימה דיגיטלית, hashim, יכולות תקשורת לא מתועדות?
האם בוצעה בדיקה חשמלית (Electrical Testing) מול מפרט היצרן המקורי?

ברמת הארגון

האם קיים נוהל כתוב לבדיקת רכיבים נכנסים (Incoming Inspection)?
האם יש רשימת ספקים מאושרים (AVL - Approved Vendor List) ונוהל לעדכונה?
האם יש מנגנון דיווח פנימי על רכיבים חשודים?
האם הארגון מנוי על מאגרי מודיעין רכיבים כמו ERAI או GIDEP?

המסגרת הרגולטורית - NIST 800-161

בעוד רב מגן ו-CMMC מתמקדים באבטחת מידע וסייבר, יש תקן ייעודי שמטפל בדיוק בסיכוני שרשרת אספקה ברמת החומרה: NIST SP 800-161 - Cybersecurity Supply Chain Risk Management. התקן, שעודכן לגרסה Rev. 1 Update 1 בנובמבר 2024, מספק מסגרת מפורטת לזיהוי, הערכה והפחתת סיכוני סייבר לאורך כל שרשרת האספקה.

NIST 800-161 מתייחס במפורש לסיכונים של רכיבים מזויפים, קושחה זדונית, ייצור לא מפוקח, גניבה, ושינויים בלתי מורשים - והוא משלים את ה-CMMC ואת רב מגן בכך שהוא מספק את השכבה שחסרה: ביטחון פיזי של מה שנכנס למערכת, לא רק ביטחון דיגיטלי של מה שרץ עליה.

נקודת מפתח: ארגון שעומד ברב מגן וגם מיישם את עקרונות NIST 800-161 מכסה את שני הצדדים של המשוואה - הגנה דיגיטלית (סייבר) והגנה פיזית (שרשרת אספקה). זהו השילוב שמפריד בין ספק שמסמן V בטופס, לבין ספק שבאמת מוגן.

סיכום - אמון הוא לא ברירת מחדל, אמון נבנה

בעולם שבו שבב ממוחזר בשנג'ן יכול להגיע למערכת ביטחונית בישראל תוך שלושה שבועות, ובו חברת קש בבודפשט יכולה להזרים חומרה שמכילה נפץ או קושחה זדונית - אמון בחומרה הוא לא משהו שמניחים. זה משהו שבודקים.

ספקים ותעשיות ביטחוניות שמבינים את זה - ושמטמיעים תהליכי בדיקה לא רק ברמת התוכנה אלא גם ברמת החומרה, מקור הייצור, שרשרת ההפצה ומבנה הבעלות - הם אלה שיכולים באמת לומר שהם מגנים על שרשרת האספקה שלהם.