Вибухівка, яку Моссад заклав у тисячі батарейок для пейджерів «Хезболли» і яка здетонувала минулого місяця в Лівані, повинна викликати страх у світі глобального управління ланцюгами поставок, який в іншому випадку залишається стабільним. Безумовно, противники Заходу матимуть свою власну тактику, щоб скомпрометувати електронне обладнання. Більшість компаній думають лише про кібер- та програмні вразливості. Настав час серйозніше ставитися до апаратної безпеки. Про це пише Financial Times.
Росіяни вже настільки переживають, що складною електронікою можуть маніпулювати опоненти, що створили спеціальний інститут, який перевіряє справжність західних чипів, що ввозяться контрабандою для використання у виробництві ракет і безпілотників. Історія показує, що вони, ймовірно, мають підстави для занепокоєння. Хоча багато шпигунських ігор часів холодної війни все ще приховуються під грифом секретності.
Однак західні спецслужби, можливо, більше не матимуть можливості повторити таку практику — навіть якщо вони сьогодні настільки ж кваліфіковані, як і за часів холодної війни. Епіцентр виробництва електроніки перемістився зі США до Азії — зокрема до Китаю, а у випадку з виробництвом мікросхем — до Тайваню. Чим більше продукції збирає країна, тим більше можливостей для зловживань.
Більшості з нас не варто турбуватися про вибухи електроніки. Але як щодо пристроїв, модифікованих для шпигунства? У 2018 році агентство Bloomberg повідомило, що китайські шпигуни додали чип розміром з рис до серверних плат, які використовують Amazon, Apple і Пентагон. Як повідомлялося, додатковий чип дозволяв зовнішньому суб'єкту змінювати роботу сервера і викрадати дані.
Усі причетні компанії спростували цю історію і категорично відкинули звинувачення в тому, що їхня безпека даних була скомпрометована, а керівники американської розвідки заперечили наявність будь-яких доказів маніпуляцій з продукцією. Але не завжди розумно сприймати публічні заяви шпигунів за чисту монету.
У порівнянні з імплантацією і подальшою детонацією вибухівки в батареї пейджерів вмонтувати чип для підслуховування в друковану плату набагато простіше.
Шпигунство — не єдина форма, якої може набути апаратна атака. Підроблені мікросхеми — особливо прості, дешеві, серійно вироблені напівпровідники, такі як ті, що модулюють електрику на друкованій платі, — вже є проблемою. Компаніям-виробникам мікросхем не подобається, коли їхню продукцію копіюють і втрачають продажі, але існують і ширші проблеми безпеки, які варто враховувати.
Припустімо, що підроблений чип виготовлено за свідомо низькими стандартами якості, щоб скоротити термін його служби. Наслідки можуть варіюватися від дратівливих до виснажливих. Якби у світі почали ламатися електричні зубні щітки, ми все одно могли б чистити зуби вручну. Але якщо американські підводні човни почнуть проводити більше часу в порту, щоб полагодити несправну електроніку, американські військові можуть виявитися розпорошеними в Індо-Тихоокеанському регіоні.
Саме через такі сценарії американські оборонні компанії не повинні купувати компоненти у супротивників. Однак у Вашингтоні не приховують, що деякі великі оборонні підрядники не дотримуються цього правила, стверджуючи, що його неможливо виконати. Певні типи компонентів сьогодні виробляються лише в Азії. Одне з нещодавніх досліджень показало, що нові американські авіаносці мають всередині 6500 напівпровідників китайського виробництва.
Якщо військові використовують ненадійних постачальників, то так само можуть вчинити телекомунікаційні компанії та інші постачальники важливої інфраструктури.
Західні компанії витратили останні два десятиліття на розбудову захисту від кібератак, витративши на це мільярди. Проте навіть найсучасніші з них виділяють мало ресурсів на перевірку чипів або інспекцію друкованих плат всередині своїх систем. Деякі виробники досі не можуть відстежувати походження компонентів у глибині своїх ланцюгів постачання, незважаючи на створення потужного програмного забезпечення, що полегшує це завдання.
Ретельна перевірка обладнання є дорогою і часто технічно складною. Американські військові створюють «безпечний анклав» для засекреченого виробництва мікросхем, але навіть найбільші електронні компанії не можуть дозволити собі перенести все своє виробництво всередину країни.
Однак вони можуть використовувати дедалі потужніші програмні інструменти для кращого розуміння ризиків у своїх ланцюгах постачання.
Це саме та робота, яку не зробила «Хезболла», хоча після вибухів пейджерів журналісти змогли швидко встановити, що угорська компанія, яка продавала ці пристрої, була ізраїльським прикриттям.
»Хезболла» не унікальна в тому, що покладається на складні мережі виробництва електроніки з обмеженою видимістю. Без сумніву, вона хотіла б виділити більше ресурсів на безпеку ланцюга постачання і перевірку обладнання. Західні компанії і уряди повинні зробити те ж саме.
