אבטחת AI בארגון — המדריך למנהלים: מהצ׳אט של העובדים ועד RAG במוצר
העובדים כבר מדביקים מידע ל-ChatGPT והמוצר כבר מדבר עם LLM. מה הסיכונים האמיתיים — דליפת מידע, Prompt Injection, ספקי AI — ואיך בונים מסגרת שמאפשרת אימוץ בטוח, כולל ISO 42001 ורגולציית ה-AI האירופית.
אם תשאלו את מנהלי המחלקות שלכם האם הארגון ״עובד עם AI״, ייתכן שתקבלו תשובה מהוססת. אם תסתכלו על מה שקורה בפועל — תקבלו תשובה חד-משמעית: כן. עובדים מנסחים מיילים ומסמכים בצ׳אטים ציבוריים, מפתחים מדביקים קוד לכלי השלמה, אנשי כספים מעלים טבלאות לכלי ניתוח, ומחלקת המוצר כבר בוחנת שילוב של צ׳אטבוט מבוסס LLM מול לקוחות. חלק מזה מאושר ומנוהל; רוב זה — לא. לתופעה הזו קוראים Shadow AI: שימוש בכלי בינה מלאכותית בלי ידיעת הארגון, בלי בקרה ובלי שאיש בדק לאן המידע זורם. השאלה הניהולית איננה ״האם לאמץ AI״ — הוא כבר בארגון. השאלה היא האם תנהלו אותו, או שהוא ינהל אתכם. במדריך הזה נעבור על שתי משפחות הסיכון המרכזיות — שימוש עובדים ו-AI במוצר — על שאלת הספקים, על המסגרת הניהולית והרגולטורית, ונסיים בתוכנית 30 יום מעשית.
למנכ״לים, סמנכ״לי טכנולוגיות ומנהלי אבטחת מידע בארגונים שכבר משתמשים בכלי AI — בידיעה או שלא בידיעה — ולחברות מוצר שמשלבות LLM, RAG או Agents ונדרשות להוכיח ללקוחות ולרגולטורים שעשו זאת באחריות.
סיכוני שימוש עובדים: הדלת שכבר פתוחה
הסיכון הראשון הוא הפשוט ביותר להבנה והקשה ביותר לעצירה: עובדים מדביקים מידע רגיש לכלים ציבוריים. חוזה לקוח שצריך ״לסכם בנקודות״, קובץ אקסל עם נתוני שכר ש״רק צריך נוסחה״, קטע קוד קנייני שצריך דיבוג, או פנייה של מטופל שצריך לנסח לה תשובה. ברגע שהמידע נשלח למודל ציבורי, הוא יצא משליטת הארגון — ולפעמים לצמיתות.
- הדבקת מידע רגיש ואישי למודלים ציבוריים. מידע לקוחות, מידע עסקי סודי, קוד מקור ומידע אישי של עובדים — כל אלה נשלחים לשרתי צד שלישי, לרוב מחוץ לישראל, בלי הסכם עיבוד ובלי בסיס מסודר.
- שמירת דאטה אצל הספק. בחלק מהכלים, בפרט בגרסאות חינמיות, תוכן השיחות נשמר אצל הספק ועשוי לשמש לאימון מודלים או להיות נגיש לעובדיו — בהתאם לתנאי השימוש שאיש בארגון לא קרא.
- חשיפה בתשובות. מידע שהוזן למערכת עלול לצוץ בהמשך בתשובות — למשל בסביבות עבודה משותפות, בהיסטוריית שיחות שדלפה, או דרך פיצ׳רים של שיתוף והרחבות דפדפן שנוספו לכלי בלי שאיש שם לב.
חשוב להדגיש: הבעיה איננה העובדים. הם מנסים לעבוד מהר יותר, והכלים באמת עוזרים. הבעיה היא ארגון שלא נתן להם חלופה מאושרת ולא הגדיר גבולות — ואז הופתע. חסימה גורפת, אגב, כמעט תמיד נכשלת: העובדים פשוט עוברים לטלפון האישי, והארגון מאבד גם את הפרודוקטיביות וגם את שארית הנראוּת שהייתה לו.
סיכוני AI במוצר: LLM, RAG ו-Agents
המשפחה השנייה מורכבת יותר, ורלוונטית לכל ארגון שמשלב יכולות AI במוצר או במערכות פנימיות: צ׳אטבוט שירות, מנוע RAG ששולף תשובות מתוך מסמכי הארגון, או Agent שמבצע פעולות בשם המשתמש. כאן הסיכונים אינם התנהגותיים אלא ארכיטקטוניים — והם דורשים חשיבה אבטחתית שונה מזו של אפליקציה רגילה. מסגרת ייחוס מקובלת לעולם הזה היא OWASP Top 10 for LLM Applications, שממפה את הסיכונים המרכזיים ביישומי שפה — והיא נקודת פתיחה טובה לשיחה בין המוצר, הפיתוח והאבטחה.
- Prompt Injection ישיר. משתמש מנסח קלט שגורם למודל להתעלם מההנחיות שלו — לחשוף את הנחיות המערכת, לעקוף מגבלות או להפיק תוכן שהמערכת לא אמורה להפיק.
- Prompt Injection עקיף. ההוראה הזדונית לא מגיעה מהמשתמש אלא מוטמעת בתוכן שהמודל קורא — דף אינטרנט, מסמך שהועלה, מייל נכנס. המודל ״קורא הוראה״ מתוך הדאטה ומבצע אותה. זה הסיכון המסוכן ביותר במערכות RAG ו-Agents, כי התוקף לא צריך גישה למערכת — רק לתוכן שהיא קוראת.
- דליפה דרך הקשר (RAG). מנוע האחזור שולף מסמכים רלוונטיים ומגיש אותם למודל — אבל אם שכבת האחזור לא אוכפת הרשאות, עובד זוטר יכול לקבל בתשובה ציטוט ממסמך שכר של ההנהלה. המודל לא ״פרץ״ לשום מקום; הארכיטקטורה הגישה לו את המסמך.
- הרעלת דאטה (Data Poisoning). תוכן זדוני או שגוי שמוחדר למאגר הידע — או לדאטה שעליו מכוונים מודל — משבש את התשובות או שותל בהן הוראות. במערכות שמזינות את עצמן מתוכן חיצוני, זה ערוץ תקיפה שקט במיוחד.
- הרשאות-יתר של Agents. כשנותנים למודל יכולת לבצע פעולות — לשלוח מייל, לעדכן רשומה, להריץ קוד — כל חולשת Prompt Injection הופכת מבעיית תוכן לבעיית ביצוע. Agent עם הרשאות רחבות מדי הוא עובד חדש שמאמין לכל מה שהוא קורא.
| סיכון | דוגמה | בקרה מרכזית |
|---|---|---|
| הדבקת מידע רגיש לכלי ציבורי | עובד מעלה חוזה לקוח לצ׳אט חינמי לצורך סיכום | רשימת כלים מאושרים + חלופה ארגונית + הדרכה; בקרות DLP היכן שרלוונטי |
| Prompt Injection עקיף | מסמך שהועלה למערכת מכיל הוראה נסתרת למודל | סינון וסניטציה של תוכן נכנס, הפרדה בין הוראות לדאטה, בדיקות יזומות |
| דליפה דרך RAG | צ׳אטבוט פנימי מצטט מסמך הנהלה לעובד לא מורשה | אכיפת הרשאות בשכבת האחזור — המשתמש מקבל רק מסמכים שהוא מורשה להם |
| הרעלת דאטה | תוכן זדוני מוחדר למאגר הידע ומשבש תשובות | בקרת מקורות למאגר הידע, תיקוף תוכן נכנס, ניטור אנומליות בתשובות |
| הרשאות-יתר של Agent | Agent עם גישת כתיבה מוחק רשומות בעקבות קלט עוין | עקרון ההרשאה המינימלית, אישור אנושי לפעולות רגישות, לוגים מלאים |
ספקי AI: השאלות ששווה לשאול לפני החתימה
כל כלי AI הוא בסופו של דבר ספק — וספק שמקבל גישה למידע שלכם צריך לעבור את אותה בדיקה שעובר כל מעבד מידע אחר, ואף מעבר לה. השאלות המרכזיות: איפה הדאטה מאוחסן ומעובד גיאוגרפית? האם התוכן שלכם משמש לאימון מודלים, והאם אפשר לבטל זאת? מה מדיניות השמירה והמחיקה? אילו תעודות ואישורי אבטחה יש לספק? ומי ספקי המשנה שלו? כשמדובר במידע אישי, זו כבר לא רק שאלה חוזית אלא שאלה רגולטורית: תיקון 13 לחוק הגנת הפרטיות, שבתוקף מאז 14 באוגוסט 2025, מחייב הסכמי עיבוד (DPA) מול מעבדי מידע, ומטיל על הארגון אחריות על העברות מידע לחו״ל. ספק AI שמעבד מידע אישי של לקוחותיכם בלי DPA ובלי שבדקתם היכן המידע יושב — הוא פער ציות, לא רק סיכון אבטחה. ואם אתם פועלים גם מול לקוחות אירופיים, שכבת ה-GDPR מוסיפה דרישות משלה. בפועל, בדיקת ספק AI טובה לא שונה במהותה מבדיקת כל ספק ענן קריטי — היא רק מוסיפה שכבת שאלות ייעודית: אימון על הדאטה שלכם, בידוד בין לקוחות, והאם קיימת תצורה ארגונית (Enterprise) עם התחייבויות חוזיות שהגרסה הציבורית פשוט לא נותנת.
המסגרת הניהולית: מדיניות שעובדת, לא מסמך במגירה
הבסיס לניהול AI בארגון איננו טכנולוגי אלא ניהולי. הניסיון מראה שבקרות טכניות בלי מסגרת ניהולית נשחקות תוך חודשים — כלי חדש עוקף אותן, מחלקה חדשה לא מכירה אותן, ואף אחד לא אחראי לעדכן. המסגרת שמחזיקה לאורך זמן עומדת על ארבע רגליים:
- מדיניות שימוש ב-AI. מסמך קצר וברור: מה מותר, מה אסור, ואיזה מידע לעולם לא מדביקים לכלי חיצוני. מדיניות של עמוד וחצי שכולם קראו עדיפה על עשרים עמודים שאיש לא פתח.
- רשימת כלים מאושרים. אילו כלים מותר להשתמש בהם, באיזו תצורה (חשבון ארגוני, לא פרטי) ולאילו שימושים. הרשימה חיה ומתעדכנת — ולצידה חלופה מאושרת לצרכים הנפוצים, כדי שלעובדים לא יהיה תמריץ לעקוף.
- נוהל אישור כלי חדש. מסלול קצר ומוגדר: מי בודק (אבטחה, פרטיות, משפטית), מה בודקים ותוך כמה זמן עונים. נוהל שלוקח חודשיים מייצר Shadow AI; נוהל של ימים בודדים מייצר שותפים.
- הדרכות. לא הרצאה שנתית אלא הסבר קצר וקונקרטי: מה קורה למידע שמדביקים, מה הדוגמאות מהעולם, ולמי פונים כששוקלים כלי חדש. עובד שמבין את ה״למה״ הוא הבקרה הזולה והיעילה ביותר שיש.
רגולציה ותקינה: ISO 42001, ה-AI Act ותיקון 13
ISO/IEC 42001 הוא תקן ממשל ה-AI הבינלאומי הראשון — מערכת ניהול AI (AIMS) במתכונת המוכרת מ-ISO 27001: מיפוי סיכונים, מדיניות, בקרות, תפקידים ושיפור מתמיד. עבור רוב הארגונים הישראליים הסמכה מלאה עדיין איננה חובה, אבל התקן הופך במהירות לשפה שבה לקוחות אנטרפרייז שואלים ״איך אתם מנהלים AI״ — ובניית המסגרת לפי עקרונותיו מכינה אתכם גם לשאלוני אבטחה וגם להסמכה עתידית, אם תידרש.
ה-AI Act האירופי הוא רגולציית ה-AI המקיפה הראשונה בעולם, והוא בנוי בגישה מבוססת-סיכון: שימושים אסורים, מערכות בסיכון גבוה שכפופות לדרישות מחמירות, חובות שקיפות למערכות מסוימות, וחובות ייעודיות לספקי מודלים כלליים. הוא עשוי לחול גם על חברות ישראליות — למשל כשמערכת ה-AI שלהן משמשת בשוק האירופי או משרתת משתמשים באיחוד. ההיערכות הנכונה היא מיפוי: האם ואיפה אתם נוגעים באירופה, ובאיזו רמת סיכון המערכות שלכם מסווגות. ובבית — כשמערכות AI מעבדות מידע אישי, חובות תיקון 13 חלות במלואן: שקיפות כלפי נושאי המידע, אבטחת מידע לפי התקנות, הסכמי עיבוד מול הספקים, ודיווח לרשות ״ללא דיחוי״ במקרה של אירוע אבטחה חמור. הרחבנו על החובות האלה במדריך העמידה בתיקון 13.
תוכנית 30 יום: מנקודת אפס למסגרת עובדת
אי אפשר לפתור הכול בחודש — אבל אפשר לצאת ממצב של עיוורון מוחלט למסגרת בסיסית שעובדת. זו החלוקה שאנחנו ממליצים עליה:
- שבוע 1 — מיפוי. אילו כלי AI בשימוש בפועל (כולל Shadow AI — סקר קצר לעובדים ובדיקת נתוני רשת), אילו יוזמות AI יש במוצר, ואיזה מידע זורם לאן. בלי מיפוי, כל השאר ניחוש.
- שבוע 2 — מדיניות והחלטות. ניסוח מדיניות שימוש קצרה, החלטה על רשימת כלים מאושרים ראשונית וחלופה ארגונית לצורך הנפוץ ביותר, והגדרת נוהל אישור לכלים חדשים.
- שבוע 3 — ספקים ופערים טכניים. סקירת הספקים הקריטיים (אחסון, אימון, DPA), ובמקביל בדיקת פערים ראשונית ביישומי LLM/RAG קיימים — החל מהרשאות בשכבת האחזור וכלה בטיפול בקלט.
- שבוע 4 — הטמעה. הדרכה קצרה לכלל העובדים, תקשור המדיניות מההנהלה (לא ממייל אוטומטי), והגדרת מדדים ותוכנית המשך: בדיקות עומק ליישומים, סגירת DPA חסרים ומפת דרכים ל-ISO 42001 אם רלוונטי.
אנחנו מציעים שיחת מיפוי חינם — חצי שעה עם יועץ, שבסופה תדעו אילו נקודות AI קיימות אצלכם, מה הסיכונים הדחופים ומה שלושת הצעדים הראשונים. בלי מצגות מכירה ובלי התחייבות.
השורה התחתונה
AI בארגון הוא לא סיכון שצריך לחסום — הוא יכולת שצריך לנהל. ההבדל בין ארגון שמפיק ממנו ערך לארגון שסופג ממנו נזק איננו טכנולוגי אלא ניהולי: מיפוי, מדיניות שנאכפת, בקרות בשכבות הנכונות וספקים שנבדקו. החדשות הטובות — את הבסיס אפשר להקים בשבועות, לא בשנים. החדשות הפחות טובות — כל חודש בלי מסגרת הוא עוד חודש שבו מידע רגיש זורם לכלים שאיש לא בדק, ולקוחות שואלים שאלות שאין לכם עליהן תשובה מתועדת.
Cybertis מלווה ארגונים באימוץ AI בטוח מקצה לקצה — ממיפוי שימושים ו-Shadow AI, דרך מדיניות ובקרות טכניות ועד בדיקות אבטחה ליישומי LLM והיערכות ל-ISO 42001.
לשירות אבטחת AI ארגונית*האמור במאמר זה הוא מידע כללי בלבד ואינו מהווה ייעוץ משפטי או מקצועי מחייב. יישום בפועל מחייב בחינה פרטנית של הארגון, המערכות והרגולציה החלה עליו.*
אבטחת AI ארגונית
הארגון שלכם כבר משתמש ב-AI — בידיעתכם או בלעדיה. אנחנו עוזרים להנהלה לאמץ LLM, צ׳אטבוטים ו-RAG בלי לדלוף מידע רגיש ובלי להסתבך מול רגולציה: מדיניות שימוש, בקרות טכניות, בדיקת ספקי AI והיערכות ל-ISO 42001 ולרגולציית ה-AI האירופית.
לעמוד השירות המלא