חשופים ופגיעים: הסכנה האמיתית בפרשת שבבי הריגול הסיניים

הסערה סביב תחקיר ביזנסוויק שממנו עולה כי סין השתילה שבבי ריגול בלוחות אם לשרתים לא נרגעת • אפל ואמזון מכחישות בתוקף שנפגעו ומקבלות גיבוי מסוכנויות המודיעין, אך הפרשה מציפה בעיה עמוקה יותר, שצריכה להדאיג את כולנו: חוסר השקיפות סביב הרכיבים שמניעים את תעשיית הטכנולוגיה • פרשנות

מה יש בשבבים שנמצאים במחשב שלנו? / צילום: שאטרסטוק
מה יש בשבבים שנמצאים במחשב שלנו? / צילום: שאטרסטוק

ימים ספורים לאחר שהמגזין ביזנסוויק של בלומברג חשף לכאורה תכנית ריגול סינית להחדרת שבבי ריגול במוצרים אמריקאים, התמונה נעשית מבלבלת ולא ברורה אף יותר. בתחקיר, שפורסם בסוף השבוע, נכתב כי גורמים צבאיים סינים הוציאו לפועל מזימת ריגול שהעניקה להם דלת אחורית ארוכת טווח אל שרתי חברות טכנולוגיה וסוכנויות ממשלתיות. התכנית לכאורה הייתה אלגנטית בפשטותה: לנצל את הייצור המאסיבי של רכיבי אלקטרוניקה בסין; להשתיל שבב זעיר תמים למראה בעל פוטנציאל זדוני בלוחות האם של חברת סופר מיקרו; ורק לשבת ולחכות עד שחברות שרואות לנגד עיניהן רק עלויות ייצור. לקוחותיהן העסקיים של אפל, אמזון, לנובו ועוד עשרות חברות אחרות שקיים חשש שנפגעו, נותרים באפלה, מבולבלים ופגיעים. אלא שאפל ואמזון, שלרוב שומרות על שתיקה (בעיקר הראשונה), מכחישות באופן נחרץ ומפורט את הדיווח.

סופר מיקרו (Super Micro Computer Inc), שהוקמה ב-1993, היא אחת מספקיות השרתים הגדולות בעולם. בזמן האירוע היו לחברה 900 לקוחות ב-100 מדינות שונות ברחבי העולם, ואת לוחות האם שלה ניתן למצוא במערכות נשק, MRI, בנקים וספקי מחשוב ענן. אף שהיא הוקמה בקליפורניה ובבעלות אמריקאית, כל מרכיבי המוצרים שלה מיוצרים בסין.

השבבים הזדוניים יכלו לעשות שתי פעולות עיקריות: להעניק גישה למחשבים זרים לשרתים שבהם מותקנים השבבים, ושינויי קוד עדינים כמו עריכה או שינוי סדר ההוראות שהמפעיל קיבל. בבלומברג טוענים כי 17 מקורות איששו את הדבר, ביניהם שישה בכירים בהווה ובעבר מהמחלקה לביטחון לאומי, שלושה בכירים באפל ושני בכירים מאמזון.

לפי הדיווח של בלומברג, הפרשה נחשפה במקרה ב-2015 על ידי אמזון בזמן שביצעה בדיקת נאותות לסטארט-אפ בשם Elemental Technologies שאמזון רצתה לרכוש. בבדיקה, כך נטען, התגלה שבב זעיר שלא היה חלק מהעיצוב המקורי של הלוחות. אמזון דיווחה על הממצא לרשויות ארה"ב, שפתחו בחקירה נרחבת ושהובילה אותם לצבא העממי של סין. בבלומברג מעריכים כי סך הכל כ-30 חברות נפגעו מהשבבים המדוברים, בניהן גם סוכנויות של ממשלת ארה"ב.

באותה העת, כך לדברי בלומברג, גם אפל עצמה מצאה שבבים זדוניים על הלוחות שסיפקה סופר מיקרו, אחרי שטכנאי החברה זיהו חריגים בתפקוד השרתים. ממצא שלכאורה דווח גם הוא ל-FBI. אפל מיהרה להחליף 7,000 לוחות ברחבי העולם שהגיעו מפס הייצור של סופר מיקרו והיו פגיעים למתקפה. שנה מאוחר יותר אפל ניתקה את קשריה העסקיים ארוכי השנים עם החברה מסיבות שאינן קשורות לאירוע.

משאירות את הייצור בסין במודע

ההכחשה הייתה גורפת ומהירה. אפל שחררה הצהרה קשיחה לפיה החברה מעולם לא מצאה שבבים זדוניים על החומרה שלה או חשד לביצוע מניפולציות. "לאפל מעולם לא היה קשר עם ה-FBI או כל סוכנות אחרת בנוגע לאירוע כזה", הם כתבו והוסיפו "אנחנו גם לא מודעים לחקירה כזו כעת. אנחנו מאוכזבים עמוקות שכתבי בלומברג, שנמצאים במגעים איתנו, לא היו פתוחים לאפשרות שהם או המקורות שלהם עלולים לטעות או להטעות. הניחוש הטוב ביותר שלנו הוא שהם מבלבלים את הסיפור עם אירוע שדווח ב-2016". במסגרת ההכחשות ברוס סוול, יועץ כללי לאפל שפרש לאחרונה, אמר לרויטרס כי הוא התקשר למזכיר הכללי של ה-FBI באותה עת, ג'יימס בייקר, ושאל האם ידוע לו דבר מה בנושא. לדבריו, בייקר בדק את העניין ומסר לו כי איש  אינו יודע במה מדובר (בייקר וה-FBI לא הגיבו לדברים).

אמזון הכחישו גם הם. "יש כל כך הרבה אי-דיוקים שקשה לספור", כתבו ואף התעקשו לציין שלא היה ולא נברא וכי הם לא זיהו בעיה בשרשרת הייצור או שינוי חומרה כשבחנו את הסטארט-אפ. הם גם הכחישו באופן גורף שהיה להם כל ידע על שינויים שמתבצעים במרכזי ייצור בסין או כי הם שיתפו פעולה עם ה-FBI בחקירה בנושא. "בדקנו את הרשומות שלנו מ-2015 ולא מצאנו עדויות תומכות בטענות על שבבי ריגול או שינויים בחומרה".

בנקודה זו המחלקה לבטחון פנים בארה"ב (DHS) התערבה ומסרה כי היא מאמינה לאפל ולאמזון כשהן מכחישות את קשירת שמן לפרשה. גם בבריטניה, הסוכנות הלאומית לביטחון סייבר, מסרה כי אין לה סיבות לפקפק בהכחשה זו של שתי החברות הגדולות.

התגובה של סופר מיקרו עצמה, לעומת זאת, בעיקר מביכה, בבחינת "לא ידענו, על מה אתם מדברים?". מהחברה נמסר רק: "איננו מודעים לחקירה בנושא ולא פנו אלינו על ידי רשות ממשלתית כלשהי בנושא". נימוק לא מפתיע בהתחשב בכך שסוכנויות המודיעין בחרו שלא ליידע את החברה או לצאת בהצהרה פומבית, אלא במקום זאת - לכאורה - רק הדליפו בעדינות את החקירה ללקוחותיה, תוך שהם מבהירים להם 'תעיפו לעזאזל את המוצרים שקניתם ממנה'. אי-הידיעה כמובן אינה פוטרת מעונש, ומניית סופר מיקרו צללה ב-57% במהלך סוף השבוע (אך מאז התאוששה מעט לירידה של 42%); אמזון ואפל נפלו רק ב-3%.

זו לא הפעם הראשונה שגורמים בארה"ב מאשימים את השלטון הסיני בריגול באמצעות שוק האלקטרוניקה הפורח. חברות הסלולר וואווי, ZTE, שיאומי ויצרניות קטנות יותר חוו סיפור דומה ב-2015. מאז, מדי שנה, סובלות יצרניות הסלולר האלו מהאשמות דומות, בין היתר כי התגלו בטלפונים שלהם דלתות אחוריות שמאפשרות גישה מרחוק לבעלי עניין ובמטרה מכוונת וזדונית של הממשל הסיני לרגל אחרי אזרחים שאינם תושבי סין. בפברואר השנה הגדילו לעשות בכירים מה-FBI וה-CIA והמליצו באופן חריג וחריף לאזרחי ארה"ב שלא לרכוש מוצרים של חברות אלו.

היכולת להגן על שרשרת הייצור והאספקה של מוצרים אלקטרוניים היא כמעט בלתי אפשרית. אפל, אמזון וחברות אחרות מייצרות את מאות אלפי הרכיבים שלהן באמצעות מקורות שונים ברחבי העולם. מרבית הייצור והמומחיות הם בסין, מה שחושף את מיליארדי המשתמשים לבעיות אבטחה מהותיות. בהתחשב בכך שהחדרת השבבים בוצעה במשך שלוש שנים, ניתן היה לצפות כי היינו שומעים על שינויים מהותיים בשרשרת האספקה, אולי הסטה מאסיבית לטיוואן, תאילנד או אפילו ארה"ב. דבר מזה לא קרה. החברות מודעות לבעייתיות, אבל בסופו של דבר בחרו להשאיר את מרבית הייצור בסין, מדינה שמפרה בשיטתיות קניין רוחני (שלא לדבר על הפרות מתמשכות של זכויות אדם במפעלים הסיניים) ולא בוחלת באמצעים כדי להשיג יתרונות טכנולוגיים, כלכליים וצבאיים במאבק לדומיננטיות עולמית. כמו המעצמות הגדולות האחרות בעולם.

במשוואה עלות-תועלת, הרצון להפחית עלויות למינימום גובר שנה אחר שנה, דיווח אחר דיווח, אזהרה אחר אזהרה. זו נאיביות מתוקה, אך מוטעית, להניח שחברה פרטית תפעל בכל דרך מלבד זו שנועדה להגדיל רווחים או לרצות משקיעים. גם לא בימים אלו - לכאורה שחר חדש מלא התפכחות וגילויים על אירועים ביטחוניים, לא צריך לפתח ציפיות כאילו פתאום נראה בגלל זה שינויים מהותיים בשרשרת האספקה. מזל שיש את ההכחשות הגורפות שמאפשרות לנו להמשיך להתנהל בעיוורון הנעים של ממלכת האי-וודאות.

גם ארה"ב לא בדיוק תמימה

ביטחון לאומי הוא דבר מתעתע: הוא מוגדר על ידי אותם אנשים ששומרים עליו, מעין גבול בלתי נראה שמשתנה לפי רוח מי שבשלטון - של הרשות או הממשל. מבחן הלקמוס הסופי שקובע את האסור והמותר הוא הציבור הרחב, שהיסטורית מחליט מתי זה בסדר ומתי זה יותר מדי, מתי צריך להודות (אדוארד סנודן) ומתי צריך לשנוא (צ'לסי מנינג) את מי שחוצה את הקו.

הרגע הזה בו אנו נמצאים הוא חלק מתהליך ארוך שנים. ב-2010 הדליפה צ'לסי מנינג 250 אלף מסמכים של מודיעין צבא ארה"ב במה שיהיה לימים ידוע כדליפה הגדולה ביותר בהיסטוריה. הצבא האמריקאי טען בדיעבד כי למסמכים לא הייתה כל השפעה אסטרטגית, ובכל זאת החשיפה של מנינג הובילה לעידן חדש של מדליפים, ששירות המודיעין האמריקאי כמו גם חברות וארגונים עסקיים אחרים, מתמודדים אתו היום. עידן שמתעצב כל עת שמשתכללים אמצעים טכנולוגיים לניטור ומעקב, פיתוחים בקצב כה מהיר שהופכים כל אמנה או הסכם בכל הנוגע ללוחמת סייבר או אבטחת מידע לא רלבנטיים שנה מאוחר יותר.

ירידת מניית סופר מיקרו
 ירידת מניית סופר מיקרו

האתגרים שמעמידה לכאורה סין לא פועלים בריק. אם להיות כנים, אין מדינה בעולם שממוקמת בנקודה נוחה או אסטרטגית יותר לבצע פעילויות ריגול - אם באמצעות שבבים, תוכנה או מערכת הפעלה - מאשר ארה"ב. לא רק שסוכנויות שלוש אותיות כמו ה-NSA מתוחכמות ויעילות להחריד, המדינה גם מחזיקה את האמצעים לפתוח את מצבורי הידע עצומים של גוגל, אמזון, פייסבוק ואחרים. כך ארה"ב מצליחה במשך שנים לעקוב במיומנות אחרי אזרחים, פעילים ואויבים, לשבש התקדמויות טכנולוגיות, צבאיות וגרעיניות של מדינות ידידות ויריבות.

מתחת למציאות מדכדכת זו פועלים זרמים של מדליפים שטוענים לסיווג יתר ופגיעה בזכויות אזרחים. כל מה שהם רוצים זה להוציא אותנו המשתמשים מהצללים ומאי הידיעה. לא רק במה שקשור לפעילות הממשלות, אלא גם של החברות. אלו שלא יודעות (או לא אמיצות) להגיד בזמן אמת שמשהו קרה או מישהו נפגע, שמטייחות ומסתירות בשם מחיר המניה.

היום באפל, אמזון, פייסבוק וגוגל נלחמים בהדלפות כאילו היו לא פחות מסודות לאומיים. האחיזה הקפוצה הזו במידע, לעיתים בצורה מופרזת, יצרה לחץ יוצא דופן על פתחי המידע, כל כך שהיום נוזל דרכה חומרים מסווגים אנונימיים מתובלים בפחד. בלעדיהם אנחנו האזרחים לא היינו יודעים דבר.

הדיווח של בלומברג לא חייב להיות נכון או מדויק כדי לפנות את תשומת הלב לנקודה חשובה: אנחנו חיים במציאות מתמשכת של חוסר שקיפות, שקל מאוד לפתור אותה אילו החברות היו מוכנות לספק גילוי נאות ומפורט על מקורות הרכיבים שלהן. כך שאנחנו נישאר עם הכוח להחליט בצורה מושכלת אם מדובר בסיכון שאנחנו מוכנים לקחת.

כמו כל דבר בעולם המערבי, הפתרון יגיע מתוך הכלכלה. בחודשים האחרונים ממשלת ארה"ב תחת הנשיא טראמפ פועל לחייב את הענקיות להעביר את הייצור שלהן ממדינות המזרח חזרה לארה"ב. הכוונה של טראמפ הייתה להחזיר את אמריקה היצרנית וגדושת המפעלים לגדולתה, אבל אולי בדרך, בלי להתכוון ובלי לדעת מכך, הוא יפתור חלק מבעיות האבטחה.