תוכן עניינים
ספטמבר 2025 סימן נקודת מפנה עבור כל ארגון בישראל שמחזיק מידע על לקוחות, עובדים או ספקים. עם כניסתו לתוקף של תיקון 13 לחוק הגנת הפרטיות ב‑14 באוגוסט 2025.
העדכון המשמעותי ביותר לחוק מאז חקיקתו ב‑1981. אבטחת המידע בארגון חדלה להיות עניין טכנולוגי שמורידים אותו “לאנשי המחשבים” והפכה לחובה ניהולית, משפטית וכלכלית מהמעלה הראשונה.
הרשות להגנת הפרטיות קיבלה לראשונה סמכויות אכיפה מנהליות של ממש, לרבות עיצומים כספיים שיכולים להגיע למאות אלפי ואף מיליוני שקלים, וזה כבר לא תרחיש תיאורטי.
ובכל זאת, דווקא החוליה שהכי חשופה לתקיפה היא לרוב גם זו שהכי פחות ערוכה: הארגון הבינוני.
מי באמת חייב אבטחת מידע, ובאיזו רמה
תיקון 13 והתקנות הנלוות אינם מטילים על כולם את אותן דרישות. החוק מדרג את רמת ההגנה הנדרשת בהתאם לרגישות המידע ולהיקף המאגר:
| רמת אבטחה | מי חייב בה | דרישות עיקריות |
|---|---|---|
| בסיסית | רוב העסקים הקטנים והבינוניים | מיפוי מערכות, סקר סיכונים, נוהל אבטחה כתוב, ניהול הרשאות |
| בינונית | ארגונים המחזיקים מידע רגיש כגון: רפואי, פיננסי, דעות פוליטיות, או מאגרים גדולים | אימות רב‑שלבי, תיעוד אוטומטי (לוגים), דיון תקופתי באירועי אבטחה |
| גבוהה | גופים ציבוריים גדולים ומאגרים עם מעל 100,000 אנשים | הרמה המחמירה ביותר, דרישות מקיפות בכל תחומי האבטחה |
הפרדוקס של הארגון הבינוני נעוץ בדיוק כאן. המשאבים שלו מוגבלים, אך הדרישות הרגולטוריות שמופנות אליו דומות מאוד לאלו של התאגיד הגדול.
הוא מחזיק מידע רגיש מספיק כדי להוות יעד אטרקטיבי, אך ממוגן פחות מהגדולים ולרוב אין לו אסטרטגיית סייבר פנים‑ארגונית מגובשת, ובוודאי לא צוות אבטחה ייעודי.
עבור התוקפים, זהו השילוב המושלם.
שבע עד אחת‑עשרה שכבות הגנה, ומה כל אחת מגינה עליה
אבטחת מידע בארגון אינה מוצר אחד שקונים פעם אחת, אלא מערך שכבות שמכסות זוויות שונות של אותו האיום:
| שכבת אבטחה | על מה היא מגינה |
|---|---|
| אבטחת רשתות (Network Security) | תשתיות התקשורת, חסימת גישה בלתי מורשית לרשת והגנה על המידע בזמן העברתו |
| אבטחת יישומים (Application Security) | הקוד והתוכנות עצמם, וסגירת פרצות בתוך היישומים |
| אבטחת ענן (Cloud Security) | נתונים ויישומים בסביבות ענן ציבוריות, פרטיות או היברידיות |
| אבטחת נתונים (Data Security) | המידע עצמו — שמירה על סודיות, שלמות וזמינות |
| ניהול זהויות וגישה (IAM / 2FA / MFA) | אימות זהות המשתמשים, ניהול הרשאות ואימות רב‑שלבי |
| אבטחת מובייל (Mobile Security) | סמארטפונים וטאבלטים ארגוניים |
| הצפנה וחתימה דיגיטלית | הצפנת מידע, חתימה על מסמכים ושמירה על שלמות הנתונים |
| EDR / XDR | ניטור נקודות קצה, מניעת חדירות ובידוד מחשבים נגועים |
| DLP (מניעת דליפת מידע) | חסימת זליגת מידע רגיש אל מחוץ לארגון |
| SIEM / IDS / IPS | ניהול אירועי אבטחה, ניטור ובקרה על ניסיונות חדירה |
| מודעות עובדים | הדרכה והתמודדות מול פישינג וטעויות אנוש |
לרשימה זו ראוי להוסיף שתי שכבות שתופסות תאוצה בשנה האחרונה: אבטחת שרשרת האספקה, שכן רבות מהתקיפות החמורות מגיעות דרך ספק או קבלן משנה ולא דרך הארגון עצמו ושימוש
בכלי בינה מלאכותית, נוכח התופעה הגוברת של עובדים שמזינים מידע ארגוני רגיש לכלי AI חיצוניים בלי שאיש בארגון מודע לכך.
הפתרון לארגון בלי תשתית פנימית: לקנות את היכולת כשירות
הבשורה הטובה היא שארגון בינוני אינו חייב לבנות מערך אבטחה פנימי מאפס כדי לעמוד בדרישות. מודל ה“אבטחה כשירות” מאפשר לצרוך יכולות ברמה ארגונית בעלות חודשית סבירה,
בלי להעסיק מומחים במשרה מלאה. הכלים המרכזיים כוללים:
- מרכז ניטור ותגובה הפועל מסביב לשעון (SOC 24/7)
- שירות מנהל אבטחת מידע במיקור חוץ (vCISO) — שמספק את שכבת הניהול והאסטרטגיה
- שירותי ייעוץ וניהול סיכונים (GRC)
- בדיקות חדירה תקופתיות
- הדרכות מודעות לעובדים
- פתרונות EDR/XDR המותקנים ומנוהלים כשירות
עבור מרבית הארגונים הבינוניים בישראל, שילוב של SOC ו‑vCISO הוא לרוב נקודת האיזון הטובה ביותר בין עלות לתועלת.
הוא מספק כיסוי רחב מבלי לדרוש השקעה הונית כבדה או גיוס כוח אדם נדיר ויקר.
מינוי ממונה הגנת פרטיות (DPO): חידוש מרכזי של תיקון 13
אחד החידושים שמשנים את חוקי המשחק הוא החובה החדשה למנות ממונה על הגנת הפרטיות (DPO). החובה חלה על:
- גופים ציבוריים
- ארגונים שעיקר עיסוקם בעיבוד מידע אישי רגיש בהיקף ניכר
- ארגונים שפעילותם כרוכה במעקב שיטתי אחר אנשים בהיקף ניכר
תפקידו של הממונה הוא להבטיח שהארגון מקיים את הוראות החוק והתקנות, ולקדם את ההגנה על הפרטיות גם מעבר לרף המינימלי שהחוק דורש.
ארגון שנדרש למנות ממונה ולא עשה זאת חשוף לעיצום כספי בפני עצמו.
הצעד הראשון וההכרחי: מיפוי מאגרי המידע
כל מומחה אבטחה יאמר את אותו הדבר: אי אפשר להגן על מה שלא יודעים שקיים. מיפוי מאגרי המידע הוא לכן הצעד הראשון, וכל פעולת הגנה שתבוא לפניו דומה לירייה בעיניים עצומות.
זיהוי המאגרים הברורים
ברוב הארגונים אלו יהיו:
- מאגר הלקוחות במערכת ה‑CRM
- מאגר העובדים (תיקים אישיים וקובצי שכר)
- מאגר השיווק והלידים (רשימות תפוצה ודיוור)
- מאגר הספקים במערכת הנהלת החשבונות
- מאגר הקלטות מצלמות האבטחה במשרד
איתור “מאגרי הצללים”
אלה הם המאגרים הלא‑רשמיים שאף אחד לא חושב עליהם, אך הם החלק הפגיע ביותר. הדרך לאתר אותם היא פגישות קצרות עם אנשי מפתח:
- לשאול את מנהל השיווק : היכן שומרים לידים מעבר למערכת הדיוור? האם מורידים דוחות מהרשתות החברתיות לאקסל?
- לשאול את מנהל המכירות : האם אנשי המכירות מחזיקים רשימות לקוחות בקבצים אישיים?
- לשאול את מנהל הגיוס : היכן נשמרים קורות חיים של מועמדים שלא התקבלו?
בניית “תעודת זהות” לכל מאגר
זוהי חובה מפורשת בתקנות. לכל מאגר יש להכין מסמך הגדרות שעונה על ארבע שאלות:
| השאלה | דוגמה לתשובה |
|---|---|
| מהי מטרת המאגר? | “ניהול לקוחות קיימים” |
| אילו סוגי מידע הוא מכיל? | “שם, טלפון, היסטוריית רכישות” |
| היכן הוא שמור פיזית? | “שרתי ענן ציבורי באירלנד; מערכת CRM ענן” |
| עם מי חולקים את המידע? | “חברת השיווק ורואה החשבון החיצוני” |
חשוב: היעדר מסמך הגדרות מאגר אינו ליקוי טכני שולי אלא הפרה ישירה של התקנות. תחת מודל העיצומים של תיקון 13, סכומי הקנס יכולים להצטבר ממאות אלפי שקלים ועד למיליונים בהפרות נרחבות.
משם לסקר הסיכונים: שישה שלבים
ברגע שיש מפה מלאה של המידע, אפשר להתחיל בסקר סיכונים מסודר. התהליך נשען על שישה שלבים:
- הגדרת נכסי הארגון
- זיהוי וניתוח האיומים על הנכסים
- איתור חולשות ופגיעות אפשריות
- הערכת מידת ההשפעה אם הסיכון יתממש
- מיפוי הבקרות הקיימות אל מול הבקרות הרצויות
- הערכת הסיכון השיורי, הסיכון שנותר בהנחה שהבקרות פועלות כראוי
תדירות וחובות הזמן – מה אומרות התקנות
התקנות קובעות לוחות זמנים מחייבים, בעיקר למאגרים ברמת אבטחה גבוהה, חובה לבצע סקר סיכונים ומבדק חדירות אחת ל‑18 חודשים לפחות.
בארגונים ברמה בינונית או בסיסית הדבר אינו חובה פורמלית באותה תדירות, אך מומלץ בחום.
מעבר ללוח הזמנים הקבוע, הבדיקה הכרחית גם: מיד עם הפעלת המאגר; בעת תחילת עיבוד המידע; ובכל פעם שמתגלים סיכונים חדשים,
אז יש לפעול מיד על מנת למזער ולא להמתין למחזור ה‑18 חודשים הבא.
לא רק מניעה אלא גם התאוששות
התקנות מחייבות מאגרים ברמה בינונית וגבוהה לגבות את נתוני הניטור באופן שמאפשר שחזור מלא בכל עת. בעידן של מתקפות כופרה (Ransomware),
יכולת ההתאוששות אינה פחות חשובה מההגנה עצמה. ארגון שגיבה כראוי ויכול לחזור לפעילות בתוך שעות, להבדיל מימים או שבועות חוסך לעצמו לא רק נזק תדמיתי וכספי,
אלא לעיתים את עצם המשך קיומו.
לצד הגיבוי, תיקון 13 מחזק גם את חובות הדיווח על אירועי אבטחה, כך שתגובה מהירה ומתועדת לאירוע הפכה לחלק בלתי נפרד מהציות.
Experda Master: ניהול ואבטחת מסדי נתונים ממקום אחד
אחת הנקודות העיוורות שארגונים נוטים להתעלם ממנה היא מסד הנתונים עצמו. תשתיות SQL Server ו‑MySQL מחזיקות בדרך כלל את הנתונים הרגישים ביותר בארגון,
פרטי לקוחות, נתוני עסקאות, מידע עובדים. בכל זאת הן לרוב המקום הפחות מנוטר.
הפלטפורמה Experda Master מציעה מענה ייעודי לפער הזה: ממשק ניהול מרכזי אחד שמחבר בין ביצועים, אבטחה ורציפות עסקית. חמישה מודולים פרקטיים מכסים ביחד את הרוחב המלא:
| מודול | מה הוא עושה |
|---|---|
| Performance | מעקב שוטף אחר ביצועי השרת בזמן אמת, זיהוי צווארי בקבוק ואופטימיזציה של שאילתות לפני שהן הופכות לבעיה |
| Security Score | ציון אבטחה מצרפי שמשקף את מצב ההגנה של סביבת ה‑SQL בכל רגע נתון — מספק תמונת מצב מיידית של הפערים |
| Health Check | בדיקת בריאות כוללת: תצורות שגויות, אינדקסים לא מאורגנים, עדכוני גרסה חסרים ועוד |
| Suspicious Activity | ניטור פעיל של פעולות חריגות: גישה לא מורשית, שאילתות חשודות, ייצוא נתונים מחוץ לנורמה |
| Maintenance & Backup | גיבוי חכם עם דחיסה של עד 90%, שחזור לנקודת זמן ספציפית ותוכניות disaster recovery מוגדרות מראש |
| AI Insights | סוכן בינה מלאכותית המנתח דפוסי שימוש, מזהה מגמות חריגות ומסמן סיכונים — עם ארכיטקטורת RAG ומודלים On-Premise לאבטחה ולעלות |
עבור הארגון הבינוני שרוצה להתחיל להגן על בסיסי הנתונים שלו בלי לגייס צוות DBA ייעודי, שילוב כלי כזה עם שירות vCISO חיצוני הוא לרוב שילוב אפקטיבי ועסקי.
שורה תחתונה אבטחת מידע בארגון
עבור הארגון הבינוני בישראל, אבטחת מידע כבר אינה שאלה של “אם” אלא של “איך” ו“מתי”. הרגולציה החדשה הפכה את ההזנחה ליקרה, והאיום הסייברי הפך אותה למסוכנת.
הצעד הראשון אינו דורש תקציב גדול או טכנולוגיה מתקדמת, אלא החלטה ניהולית פשוטה: למפות את המידע, להבין היכן הוא נמצא ומי נוגע בו, ולבנות משם שלב אחר שלב את שכבות ההגנה.
השאר – SOC, vCISO, EDR – אפשר לקנות כשירות. את ההחלטה להתחיל אי אפשר.
שאלות נפוצות
למה אני צריך כלים לניהול בסיסי נתונים אם יש לי כבר אנטי-וירוס וחומת אש?
אבטחת רשת היא לא אבטחת מידע. האנטי-וירוס מגן על המעטפת, אבל הוא לא יודע אם מישהו מבצע שאילתה זדונית בתוך בסיס הנתונים שלך כדי לגנוב את כל מאגר הלקוחות. כלי ניהול ייעודיים כמו Experda Master מספקים שכבת הגנה “פנימית” שמנטרת גישה למידע עצמו, מונעת זליגה ומבטיחה שחזור מהיר במקרה של מתקפת כופרה.
איך אני מאתר "מאגרי צללים" בארגון שלי?
מאגרי צללים הם לרוב קבצי אקסל או מסמכי ענן שמנהלים עובדים לצרכים אישיים. הדרך לאתר אותם היא דרך תשאול ישיר של ראשי צוותים במכירות, שיווק וגיוס: “איפה אתם שומרים את הלידים?”, “האם אתם מורידים דוחות למחשב האישי?”. כלי אוטומציה של ניהול נתונים (כמו Experda Master) יכולים לעזור לזהות פעילות חשודה בתוך בסיסי הנתונים שמעידה על מאגרים שאינם מנוהלים כראוי.
האם העסק הקטן/בינוני שלי באמת מעניין האקרים, או שהם מחפשים רק תאגידי ענק?
זו טעות נפוצה. האקרים מחפשים את “הפרי האסור והנמוך” (Low-hanging fruit). ארגון בינוני מחזיק מידע רגיש (נתוני אשראי, רשימות לקוחות, קבצי שכר) אך ממוגן פחות מתאגיד ענק. עבור תוקפים, פריצה לארגון בינוני היא פעולה קלה יותר עם רווח כספי מהיר (כופרה), ולכן הם נמצאים בקו האש המרכזי.