מאת: עופר פרפרי | ראש חטיבת הסייבר Techunity

15.06.2026

האיום שכולם מכירים ואף אחד לא מדבר עליו

באופן כללי, שיח אבטחת הסייבר בישראל מתמקד בעיקר בתוקפים חיצוניים - קבוצות כופרה, שחקני מדינה, מתקפות על תשתיות קריטיות. זה מובן. הכותרות דרמטיות, האיומים אמיתיים, והתקציבים זורמים לכיוון הזה.

ובעיקר, אנחנו כישראלים סומכים על העובדים בחדר לידינו אחרי היכרות של שבועיים לכל היותר. גם אם זה לא קשור בכלל לתחום העיסוק שלהם וההבנה שלהם מול האיומים אנחנו פשוט סומכים אחד על השניה ופחות רוצים לדבר במונחים של ״איום״ כשמדובר על חברים לעבודה.

אבל יש קטגוריה שלמה של אירועים שמקבלת הרבה פחות תשומת לב.. ב-Techunity  אנחנו רואים אותה שוב ושוב אצל לקוחות מכל הגדלים, מEnterprise דרך חברות הייטק ועד עמותות קטנות. ואני מדבר עלInsider Threat האיום שמגיע מבפנים.

הנתונים משתנים בין מקור למקור אבל בכולם המספרים ברורים - איפשהו בין 70-90% מאירועי אבטחת מידע מתחילים מהגורם האנושי - בין אם זדוני, רשלני, או כזה שנוצל על ידי גורם חיצוני. בישראל, שבה הסביבה הארגונית אינטימית, התרבות החברים בארגון, והגישה למערכות ולמידע בענן רחבה מאוד.. האירוע הבא מעבר לפינה.

שני פנים של אותו מטבע

1.      הפן הראשון: דליפת מידע, לא תמיד מתוך כוונה רעה

בתחילת השנה פנה אלינו לקוח מתחום הפיננסים, חברה בינונית, אחרי שגילה כי מסד נתונים של לקוחות פעיל הגיע לידי מתחרה. לא הייתה פריצה. לא היה נוזקה. מה שקרה: היה מנהל מכירות שעזב את החברה, ולפני שעזב, גיבה לעצמו בGoogle Drive  אישי את כל אנשי הקשר שצבר. הוא לא חשב שהוא גונב. הוא חשב שהוא "לוקח את הקשרים שלו."

מקרה קלאסי, וזה יכול להיות גם ממניעים אחרים ותמימים לגמרי כמו גיבוי מקומי כדי לעבוד בטיסה וכן הלאה.. הוא גם לא חייב להשתמש בזה בעבודה הבאה שלו זה פשוט יכול לדלוף כשstealer מגיע לדפדפן של עובד ומשם המידע כבר זמין בטלגרם לכל דורש ברוב המקרים גם בחינם או בעלות נמוכה מאוד.

הרבה מאירועי דליפת המידע נובעים דווקא מהסיבות הבאות:

• עובד שעוזב ומוריד קבצים לפני העזיבה

• גיבוי מקומי או חיצוני ודליפת מידע בהמשך

• שיתוף קובץ שגוי - מייל ל-"כל החברה" שהיה אמור להישלח לאדם אחד או מתן הרשאות public לתיקיה מסוימת רגישה ככל שתהיה

• שימוש בכלים לא מאושרים - WhatsApp אישי והיכולת להעביר דרכו מידע, שיחות עסקיות עם מידע רגיש מול מודל AI כזה או אחר. אחסון קבצים בחלופות לא מאושרות (דרייב אישי) כשהחיבור לsharepoint איטי לרגע וכדומה..

• הרשאות עודפות שלא עודכנו מאז שהעובד החליף תפקיד לפני שנתיים

אם אתה מנהל אבטחת מידע אתה מכיר לפחות שתיים או שלוש מהסיטואציות האלה ממקור ראשון. אם אתה מנמ"ר  הן קורות בארגון שלך עכשיו, גם אם לא יודעים על זה.

2.      הפן השני: הנדסה חברתית - כשהעובד הוא הפרצה

לפני כשנה ליוויתי ארגון שעבר אירוע שממחיש את הבעיה בצורה חדה. עובדת ותיקה, מוערכת, קיבלה פנייה בוואטסאפ ממי שנראה כמנהל שלה. בדחיפות, ובלי להסביר יותר מדי, ביקש ממנה לשלוח מסמך ספציפי ל"יועץ חיצוני". היא שלחה.

זה לא היה ניסיון תקיפה גס. התוקף ידע את שמות העובדים, ידע מי הבוס של מי, ידע שיש "פרויקט דחוף" בימים ההם - כי כל המידע הזה היה חשוף בלינקדאין וברשתות חברתיות אחרות.

הנדסה חברתית ב-2025 היא לא הנסיך הניגרי. היא מחקר מדויק, הכנת סיפור טוב, ולחץ זמן שמשתק את יכולת השיפוט. ה-AI רק מאיץ את זה,  כיום אפשר ליצור אלפי מיילים מותאמים אישית בשניות, על בסיס פרופיל לינקדאין בלבד או להרחיב את מקורות הדאטא ככל שרק ירצו. הסיכוי של משתמש ״פשוט״ ליפול בפישינג היום הוא מאוד גבוה וכנראה במכפלות מהיכולות לפני שלוש שנים.

מה קורה בארגון שאין בו מענה?

ב-Techunity אנחנו עובדים עם ארגונים במגוון תחומים, אבטחת מידע, פרטיות ותשתיות כמובן אבל נתח פעילות משמעותי מאוד שלנו הוא דווקא מערכות CRM וERP לחברות שמנהלות מידע עסקי או פרטי רגיש ועד ארגונים שהdowntime שלהם קריטי לתפקוד שלהם. ובשני המקרים אנחנו רואים את אותה תבנית חוזרת, ההגנה בנויה מבחוץ פנימה עם FW וWAF וMFA בכניסה אבל ברגע שהמשתמש מאומת ונמצא בפנים, המערכת סומכת עליו.

זה עולם שלם של הנחות עבודה שכבר לא רלוונטיות. בעולם שבו עובד יכול לגשת ל-CRM  מהנייד שלו בקפה, לשלוח קוד לchat כזה או אחר מהמחשב הביתי, ולשתף מסמך עם "כל מי שיש לו לינק" בלחיצת כפתור פשוטה ״הרשת הפנימית״ כבר לא קיימת כמושג גיאוגרפי או ארגוני.

מה עושים: עקרונות עבודה מהשטח

אין כאן פתרונות קסם. אבל יש כמה עקרונות שאני ממליץ עליהם לכל ארגון שלוקח את הנושא ברצינות:

ראשית, מיפוי מידע לפני הכל. לא ניתן להגן על מה שלא יודעים שקיים (ניתן אבל מאוד מורכב) אז הצעד הראשון הוא תמיד להבין, להבין איפה המידע הרגיש שלנו, להבין מי נוגע בו ומי רשאי לגעת בו ולהבין לאן הוא יכול לזלוג בזדון או בטעות. בלי מיפוי שאר המאמץ הופך להיות אקראי ופחות קוהרנטי.

לאחר מכן ניתן לנהל הרשאות בצורה טובה יותר. הרשאות על בסיס צרכים עסקיים ולא על בסיס נוחות יומיומית.. אחרי שאנחנו כבר יודעים על מה ומנהלים את מי כבר התרבות הארגונית שלנו מוכוונת למניעת דליפות. תרבות זה חשוב מאוד ובתוספת מודעות סייבר אמיתית (לא הרצאה פעמיים בשנה אלא הדרכות אמיתיות בשגרה) אנחנו כבר כמעט מצטיינים..

על המאמצים האלה מומלץ להוסיף מערכת DLP. חשוב להגיד שמערכות כאלה לרוב מורכבות להטמעה ולניהול יעיל לאורך זמן והכי חשוב שזה לא מחליף את התרבות הארגונית אלא מייצר מעגל נוסף למניעת דליפות מידע, מעגל הכרחי אשר יכול להיות ההבדל בין לגלות אירוע באותו היום לבין לגלות אותו בחצי שנה איחור..

השאלה שכדאי לשאול היום

אם קראתם על לכאן ואתם אנשי מקצוע, שאלה אחת שאני מציע לקחת לפגישה הבאה שלכם:

"אם עובד היה רוצה להוציא את מאה הקבצים הכי רגישים שיש לנו - כמה זמן היה לוקח לנו לגלות?"

אם התשובה היא "כמה ימים" - יש עבודה לעשות.

אם התשובה היא "לא יודע" - יש עבודה דחופה לעשות.