מחיקה מאובטחת בתעשייה הביטחונית - למה התקנים לא מספיקים

מערכת הביטחון מסתמכת על תקנים כמו NIST SP 800-88 ו-DoD 5220.22-M כדי להבטיח שמידע מסווג נמחק באופן בלתי-הפיך מאמצעי אחסון. ההנחה הבסיסית: אם ביצעת את הנוהל, המידע נעלם. אבל הנחה זו שגויה ברמה הפיזיקלית כשמדובר בזיכרונות NAND Flash - הטכנולוגיה שנמצאת כיום כמעט בכל רכיב אחסון: כונני SSD, כונני NVMe, כרטיסי SD, התקני USB, זיכרון eMMC במערכות משובצות, ומודולי אחסון בציוד תקשורת וחימוש.

המאמר הזה מציג את הפער שבין מה שהתקנים מבטיחים לבין מה שהפיזיקה של NAND Flash מאפשרת - ומדוע לרגולטור הביטחוני, במקרים רבים, אין סיבה טובה לסמוך על שיטות מחיקה תוכנתיות בלבד.

75%

מנתוני קבצים נותרים על SSD גם לאחר מחיקה רגילה

נתונים שרדו גם אחרי 20 מעברי overwrite על SSD

100+

מחזורי מחיקה - ועדיין ניתן להבחין בין מצבי תאים

הבעיה הפיזיקלית: מטען שיורי ב-Floating Gate

כל תא זיכרון NAND Flash מבוסס על טרנזיסטור מסוג Floating-Gate MOSFET. מידע נכתב באמצעות הזרקת מטען חשמלי ל-floating gate - אזור מבודד חשמלית בתוך הטרנזיסטור. כאשר מתבצעת פקודת מחיקה (erase), מופעל מתח גבוה (Fowler-Nordheim tunneling) שאמור לנקז את המטען החוצה.

אבל הניקוז אינו מלא לעולם. כמות קטנה אך מדידה של מטען שיורי (residual charge) נותרת ב-floating gate גם לאחר פעולת מחיקה תקינה. תופעה זו ידועה כ-Data Remanence - שארית מידע פיזית שנותרת גם לאחר שהמידע הלוגי נמחק.

הממצא הקריטי

מחקרים באמצעות מיקרוסקופ אלקטרוני סורק (SEM) ומיקרוסקופ בודק (SPM) הראו כי ניתן להבחין בין תאים שאוחסן בהם מידע לבין תאים שלא - גם לאחר מעל 100 מחזורי מחיקה. המודלים שפותחו על סמך המטענים השיוריים מאפשרים לשחזר את מצב התא טרם המחיקה. במילים אחרות: יריב בעל יכולת מעבדתית יכול לקרוא מידע מכונן שעבר תהליך מחיקה מלא.

NAND Flash: למה זו הבעיה של התעשייה הביטחונית

כמעט כל רכיב אחסון מודרני בשימוש צבאי וביטחוני מבוסס על NAND Flash. טכנולוגיית NOR Flash, שבעבר שימשה לאחסון קושחה ולהרצת קוד in-place, הודחקה לנישה צרה של boot ROM ורכיבי firmware. הווליום המוחלט של הנתונים בתעשייה נמצא ב-NAND:

כונני SSD/NVMe - בשרתים, תחנות עבודה, מחשבים ניידים מאובטחים
eMMC ו-UFS - במערכות משובצות (embedded), מחשבי תעופה, מערכות שליטה ובקרה
כרטיסי SD ומודולי Flash - במצלמות תרמיות, רחפנים, ציוד SIGINT
USB Flash Drives - להעברת מידע בין רשתות מסווגות
מודולי אחסון בציוד תקשורת - נתבים צבאיים, רדיואים מוגדרי-תוכנה (SDR)

בכל המקרים האלה, הפיזיקה של NAND Flash יוצרת שלוש בעיות מבניות שהתקנים הקיימים לא פותרים באופן מספק:

מטען שיורי ב-Floating Gate

כאמור - גם אחרי מחיקה מלאה, מטענים שיוריים בתאי NAND מאפשרים שחזור ברמת מעבדה. זה לא כשל ביישום - זו תכונה פיזיקלית של הטכנולוגיה. אין פקודת תוכנה שמסוגלת לנקז את המטען ב-100%.

אזורי Over-Provisioning ו-Wear Leveling

כל כונן SSD שומר 7%-28% מנפח הבלוקים כ-over-provisioning - אזור שאינו נגיש למערכת ההפעלה ולא מושפע מפקודות overwrite רגילות. אלגוריתם ה-wear leveling מפזר כתיבות בין בלוקים, כך שנתונים ישנים עלולים להישמר בבלוקים שלא נכתבו מחדש. המחקר של Wei et al. (USENIX FAST 2011) הדגים שניתן לשחזר עד 16 עותקים של אותו קובץ דרך גישה ישירה לשבבי ה-NAND.

יישום לא אחיד של ATA Secure Erase

פקודת ATA Secure Erase אמורה להפעיל מחיקה ברמת הקושחה של כל תאי הכונן. בפועל, יצרנים מיישמים אותה בצורה שונה - ולעיתים שגויה. חלק מהיישומים פשוט מאפסים את ה-FTL (טבלת המיפוי) בלי למחוק בפועל את תאי ה-NAND. אין מנגנון סטנדרטי לאימות שהפקודה באמת מחקה את הנתונים ברמה הפיזית.

מה אומרים המחקרים: הנתונים שמערכת הביטחון צריכה להכיר

Wei et al. - USENIX FAST 2011

המחקר המכונן בתחום: בדק 12 כונני SSD ממספר יצרנים. הממצאים: עד 75% מנתוני הקבצים נותרו על הכונן לאחר מחיקה רגילה. במקרה קיצוני, כונן SSD אחד שמר 1% מהנתונים גם אחרי 20 מעברי overwrite מלאים. בגישה ישירה לחומרה (חיבור פיזי לשבבי NAND) שוחזרו עד 16 עותקים של הקובץ המקורי בשל מנגנון wear leveling.

Skorobogatov - CHES 2005

הראה כי בזיכרונות Flash (NAND ו-NOR כאחד), מטענים שיוריים בטרנזיסטורי floating-gate ניתנים למדידה באמצעות SEM ו-SPM. ניתן היה להבדיל בין תאים שתוכנתו לתאים שלא - גם אחרי מעל 100 מחזורי מחיקה. הפער במטען, אומנם קטן, מספיק ליריב ברמת מדינה (nation-state adversary) בעל ציוד מעבדתי מתאים.

Investigation of Data Deletion Vulnerabilities - 2020

מחקר שבחן את הפגיעויות של מחיקת נתונים בהתקני NAND Flash. הממצאים מחזקים את הטענה שפקודות מחיקה ברמת התוכנה (כולל ATA Secure Erase) אינן מבטיחות הסרת נתונים מלאה בשל המבנה הפיזי של תאי NAND, אלגוריתם ה-FTL, ומנגנוני garbage collection שפועלים באופן לא צפוי.

למה NIST SP 800-88 לא מספיק לתעשייה הביטחונית

NIST SP 800-88 Rev. 1 מגדיר שלוש רמות מחיקה: Clear, Purge, ו-Destroy. מסמך חשוב ומבורך - אבל נכתב בעיקר עבור סביבות IT מסחריות ומידע לא-מסווג. כשמנתחים אותו דרך עדשת הדרישות הביטחוניות, מתגלים פערים משמעותיים:

רמת NIST	מה מבטיחה	מה לא מכסה בסביבה ביטחונית
Clear	Overwrite של אזורים נגישים למשתמש	לא מטפל ב-over-provisioning, bad blocks, HPA/DCO. ב-SSD - לא אמין כלל
Purge	ATA SE, Cryptographic Erase, Block Erase	תלוי ביישום היצרן (לא אחיד). לא מטפל במטען שיורי ב-floating gate. אין אימות פיזי
Destroy	השמדה פיזית	אפקטיבי - אם מבוצע כראוי (גריסה של שבבי NAND עצמם, לא רק המארז)

השורה התחתונה

ברוב רכיבי הזיכרון בתעשייה הביטחונית - שהינם רכיבי NAND Flash - נותר זיכרון שיורי גם לאחר ביצוע מלא של נהלי NIST SP 800-88 ברמות Clear ו-Purge. המטען השיורי ב-floating gate הוא תכונה פיזיקלית של הטכנולוגיה שאינה ניתנת לתיקון בתוכנה.

משמעות מעשית: עבור מידע מסווג ובטחוני, רמות Clear ו-Purge של NIST אינן מספקות את הרגולטור. יריב ברמת מדינה, בעל גישה לציוד SEM/SPM ויכולת chip-off forensics, עשוי לשחזר מידע מכונן שעבר תהליך Purge מלא. הדרך היחידה להבטיח מחיקה בלתי-הפיכה של מידע מסווג מרכיבי NAND היא השמדה פיזית (Destroy) של שבבי ה-NAND עצמם.

מה הפתרון: מודל שלוש השכבות לתעשייה הביטחונית

על בסיס מגבלות הטכנולוגיה, אנו ממליצים על מודל מדורג שמתבסס על רמת הסיווג וסוג המדיה:

מידע לא-מסווג (Unclassified) - Purge + אימות

ATA SE / Cryptographic Erase + אימות עם כלי forensics. מותנה בכונן מיצרן מאומת עם יישום SE תקין

מידע מסווג (Confidential / Secret) - Destroy בלבד

גריסה פיזית של שבבי ה-NAND. לא מספיק לגרוס את המארז - יש להגיע לרכיבי הזיכרון עצמם

מידע רגיש ביותר (Top Secret / SCI) - Destroy + תיעוד + אימות

גריסה ברמת 2mm, שריפה, או התכה. תיעוד מספר סריאלי, צילום תהליך, עד נוכח, תעודת השמדה חתומה

הצפנה מראש - שכבת הגנה הכרחית

הגישה האפקטיבית ביותר להפחתת סיכון היא הצפנת כל מדיה מרגע הפריסה - Full Disk Encryption (FDE) עם מפתח ייחודי לכל כונן, רצוי על בסיס מודול הצפנה חומרתי (TPM / HSM). כך, גם אם נותר מטען שיורי בתאים, המידע מוצפן ולא קריא ללא המפתח. מחיקת המפתח (Cryptographic Erase) הופכת את הנתונים ללא-שמישים - אך גם זה אינו מספיק כתחליף ל-Destroy עבור מידע מסווג, כיוון שיריב עם יכולת מתקדמת עשוי לנסות לפרוץ את ההצפנה בעתיד.

אין מפרט ממשלתי אחיד

נכון ל-2026, אין מפרט ממשלתי אחד שמגדיר באופן ברור את נהלי ה-sanitization לזיכרונות Flash במערכות ביטחוניות. DoD 5220.22-M פותח עבור כוננים מגנטיים והוא כבר לא תקן כרונולוגי (הוסר מ-NISPOM סביב שנות 2000). NIST SP 800-88 Revision 1 (2014) הוא התקן הנוכחי, אך אינו מחייב Destroy עבור NAND מסווג. הפער הזה מחייב כל ארגון ביטחוני לפתח מדיניות פנימית שמתבססת על הסיכון הפיזיקלי האמיתי - לא רק על ציות לתקן.

המלצות מעשיות לקצין אבטחת מידע

קבעו כברירת מחדל: כל מדיית NAND שנשאה מידע מסווג - Destroy בלבד. אל תסתמכו על Purge
הצפינו כל כונן מרגע הפריסה באמצעות FDE עם מפתח ייחודי. אחסנו מפתחות ב-HSM/TPM נפרד
תעדו כל רכיב אחסון: מספר סריאלי, סוג, יצרן, רמת סיווג מקסימלית שאוחסנה, ותאריך הפריסה
וודאו שתהליך הגריסה הפיזית מגיע לשבבי ה-NAND עצמם - לא רק למארז ה-SSD או לפלטת ה-PCB
בבדיקת ספקי השמדה חיצוניים, דרשו ציוד גריסה ברמת 2mm (NSA/CSS EPL Listed), ביקורות שנתיות, והסכמי NDA
עבור כוננים שלא ניתן להשמיד מיידית (למשל במערכות פעילות), הפעילו Cryptographic Erase + סמנו לגריסה בסוף מחזור החיים
הכשירו את הצוותים הטכניים: overwrite על SSD אינו שקול ל-overwrite על HDD - הפיזיקה שונה
עקבו אחרי התפתחויות: טכנולוגיות כמו Type III Secure Erase (שריפת טרנזיסטורים במתח גבוה) מתפתחות כפתרון ביניים בין Purge ל-Destroy

דרישות רגולטוריות - מפת ההתאמה

רגולציה / תקן	דרישה	מספיק ל-NAND מסווג?
NIST SP 800-88	Clear / Purge / Destroy לפי סיווג	Purge לא מספיק - Destroy בלבד
DoD 5220.22-M	3-pass overwrite	פותח עבור HDD - לא רלוונטי ל-NAND
NSA/CSS EPL	רשימת ציוד מאושר להשמדה	גורסים מאושרים מבטיחים הרס פיזי של שבבים
GDPR	זכות המחיקה - סעיף 17	Purge מספיק למידע אזרחי, לא למסווג
חוק הגנת הפרטיות (ישראל)	מחיקת מידע אישי	אין התייחסות ספציפית לסוג המדיה
ISO 27001:2022	בקרה A.8.10 - Media Sanitization	מסגרת כללית - לא מתייחסת לפיזיקה של NAND

מקורות

Wei, M., Grupp, L.M., Spada, F.E., Swanson, S. - "Reliably Erasing Data From Flash-Based Solid State Drives", USENIX FAST 2011
Skorobogatov, S. - "Data Remanence in Flash Memory Devices", CHES 2005 (Cryptographic Hardware and Embedded Systems)
Garg, A. et al. - arXiv:2001.07424 (2020)
NIST Special Publication 800-88 Revision 1 - "Guidelines for Media Sanitization" (2014)
DoD 5220.22-M - "National Industrial Security Program Operating Manual", Chapter 8 (2006)
Military Aerospace Electronics - "Does Secure-Erase Work to Protect Sensitive Military Data?" (2023)
ATP Electronics - "Erasing Data on a Flash Storage Device is Not as Easy as It Seems" (2024)
Forte, D. et al. - "Amnesiac Memory: A Self-Destructive Polymorphic Mechanism", GLSVLSI (2024)

מחיקה מאובטחת בתעשייה הביטחונית - למה התקנים לא באמת מספיקים