גיבוי 3-2-1: האסטרטגיה שמצילה עסקים מכופרה ומטעויות אנוש
בהלל יפה היו גיבויים — אבל ברגע האמת חלק ניכר מהם לא ניתן היה לשחזור, וההתאוששות עלתה כ-36 מיליון שקל. איך עובד כלל 3-2-1 והגרסה המודרנית 3-2-1-1-0, למה סנכרון לענן הוא לא גיבוי, מה מגבים בעסק ישראלי קטן ובאיזו תדירות — ולמה גיבוי שלא שוחזר הוא רק תקווה.
יום ראשון, 08:20 בבוקר. מנהלת המשרד מתקשרת: אף קובץ לא נפתח, לכל המסמכים נוספה סיומת מוזרה, ועל המסך הודעה באנגלית עם כתובת ארנק ביטקוין. השאלה הראשונה שכל בעל עסק שואל ברגע הזה היא ״יש לנו גיבוי?״. השאלה השנייה — זו שכמעט אף אחד לא שואל בזמן — היא ״ומישהו אי פעם בדק שאפשר לשחזר ממנו?״. בית החולים הלל יפה למד את ההבדל בין שתי השאלות בדרך הקשה: במתקפת הכופרה באוקטובר 2021 היו לבית החולים גיבויים — אבל לפי הדיווחים, חלק ניכר מהם לא ניתן היה לשחזור. התוצאה: שבועות של מערכות מושבתות, חודשים של שיבושים, עבודה על נייר — ועלות התאוששות שמשרד הבריאות העריך בכ-36 מיליון שקל.
כלל 3-2-1 הוא עיקרון הגיבוי הוותיק והמוכח ביותר בעולם ה-IT: 3 עותקים של המידע (המקור + שני גיבויים), על 2 סוגי מדיה או פלטפורמות שונות, כשעותק 1 לפחות שמור מחוץ לאתר העסק (Offsite). הכלל פשוט לזכירה, זול ליישום — ובנוי כך שאף כשל בודד, כולל מתקפת כופרה, שריפה או טעות אנוש, לא ישאיר אתכם בלי עותק תקין.
עסק קטן הוא לא בית חולים, אבל התלות שלו במידע דומה: בלי הנהלת החשבונות, קבצי הלקוחות והמייל — אין עסק. במאמר הזה: מה באמת משמיד מידע בעסקים, איך עובד כלל 3-2-1 והגרסה המודרנית שלו, מה מגבים ובאיזו תדירות — והחצי הנשכח של הסיפור: בדיקות השחזור.
מה באמת משמיד מידע בעסק (ולא, זה לא רק האקרים)
כשחושבים על אובדן מידע, רוב בעלי העסקים מדמיינים תוקף מסתורי. במציאות יש שלושה תרחישים מרכזיים, וכולם שכיחים בהרבה ממה שנדמה. הראשון הוא אכן כופרה: לפי דוח Verizon DBIR 2025, כופרה הייתה מעורבת ב-44% מפרצות המידע שנחקרו — עלייה של 37% בתוך שנה. וכופרה מודרנית לא מסתפקת בהצפנת המחשבים: התוקפים מחפשים באופן אקטיבי את הגיבויים שלכם — כונן גיבוי שמחובר לרשת באופן קבוע, שרת NAS עם סיסמת ברירת מחדל, תיקיית סנכרון בענן — ומצפינים או מוחקים גם אותם, בדיוק כדי לשלול מכם את חלופת השחזור. על התהליך המלא של מתקפה כזו, ומה עושים ברגע האמת, כתבנו מדריך נפרד ומפורט.
התרחיש השני, הפחות מדובר, הוא טעות אנוש — והוא כנראה הנפוץ מכולם. עובד שמוחק תיקייה שלמה בטעות ומגלים את זה אחרי חודש; קובץ אקסל קריטי שנדרס בגרסה ריקה; עובד שעוזב ומוחק ״את הקבצים שלו״ בדרך החוצה. דוח Verizon DBIR 2026 מצא שהגורם האנושי מעורב ב-62% מפרצות המידע — והנתון הזה לא כולל את אינספור המחיקות והדריסות היומיומיות שלא נספרות כ״אירוע סייבר״ בכלל. התרחיש השלישי הוא כשל פיזי: דיסק שמת בגיל חמש, מחשב נייד שנגנב מהרכב, שריפה או הצפה במשרד. שלושת התרחישים שונים לגמרי — אבל ההגנה מפניהם זהה: גיבוי מסודר, מרובד ובדוק.
המיתוס שמפיל עסקים: ״זה בענן, אז זה מגובה״
זו אולי אי-ההבנה המסוכנת ביותר בעסקים קטנים היום. Microsoft 365 ו-Google Workspace הם שירותים אמינים מאוד — אבל הם פועלים לפי מודל אחריות משותפת: הספק אחראי שהשירות יהיה זמין ותקין; האחריות על המידע עצמו נשארת תמיד אצלכם. מיקרוסופט כותבת את זה שחור על גבי לבן: במסמכי מודל האחריות המשותפת שלה, הנתונים, החשבונות וניהול הגישה הם באחריות הלקוח גם ב-SaaS — ובהסכם השירות שלה מופיעה ההמלצה המפורשת: ״אנו ממליצים שתגבו באופן קבוע את התוכן והנתונים שלכם״. אם עובד מחק תיבת דואר, אם חשבון נפרץ, או אם כופרה הצפינה קבצים והסנכרון שכפל את ההצפנה לענן — זו הבעיה שלכם, לא של מיקרוסופט. סל המיחזור המובנה מוגבל בזמן, והוא לא תחליף לגיבוי עצמאי ונפרד של M365 או Workspace.
כלל 3-2-1: שלושה מספרים שמצילים עסקים
ולפני הכלל עצמו — נתון מקומי: לפי סקר הסוכנות לעסקים קטנים ובינוניים מ-2024, רק 61% מהעסקים בישראל מבצעים גיבויים תקופתיים. כלומר, כמעט 4 מכל 10 עסקים ישראליים חיים בלי רשת ביטחון בכלל. ומבין אלה שכן מגבים, רבים מחזיקים עותק יחיד, על כונן חיצוני שמחובר דרך קבע לאותו מחשב שהם מנסים להגן עליו. כלל 3-2-1 נועד לסגור בדיוק את הפערים האלה:
- 3 עותקים של המידע. המקור ועוד שני גיבויים לפחות. למה שניים? כי גיבוי יחיד הוא נקודת כשל יחידה — הוא עלול להתגלות כפגום, מוצפן או פשוט ישן מדי בדיוק ברגע שצריך אותו.
- 2 סוגי מדיה או פלטפורמות שונות. למשל: שרת/NAS מקומי + שירות גיבוי בענן. הרעיון: כשל אחד — תקלת חומרה, פרצה בפלטפורמה, באג בתוכנת הגיבוי — לא אמור לפגוע בשני העותקים בו-זמנית.
- 1 עותק מחוץ לעסק (Offsite). גיבוי בענן, או מדיה פיזית שנשמרת במיקום אחר. זה העותק שמציל אתכם משריפה, הצפה, גניבה — וגם מכופרה שהתפשטה בכל הרשת המקומית.

ומילה חשובה על מה ש-3-2-1 הוא לא: סנכרון. Dropbox, OneDrive ו-Google Drive במצב סנכרון רגיל אינם גיבוי — הם שכפול. קובץ שנמחק במחשב נמחק גם בענן; קובץ שהוצפן על ידי כופרה מסתנכרן לענן כשהוא מוצפן. גרסאות קודמות (Version History) עוזרות, אבל הן מוגבלות בזמן ובהיקף, ותוקף עם הרשאות אדמין יכול לרוקן גם אותן. גיבוי אמיתי הוא עותק נפרד, בלתי תלוי, עם היסטוריה — שמחיקה או הצפנה במקור לא נוגעות בו.
הגרסה המודרנית: 3-2-1-1-0
כלל 3-2-1 נוסח בעידן שבו האויב המרכזי היה כשל חומרה. בעידן הכופרה, שבו התוקף מחפש את הגיבויים באופן אקטיבי, התעשייה אימצה הרחבה שנקראת 3-2-1-1-0 — אותו בסיס, עם שתי תוספות קריטיות:
- 1 נוסף — עותק לא-מחיק או מנותק (Offline / Immutable). עותק אחד שגם תוקף עם שליטה מלאה ברשת שלכם לא יכול להשמיד: כונן שמנותק פיזית בין גיבויים, או — פשוט יותר לרוב העסקים — גיבוי ענן עם Immutability: נעילת העותקים לתקופה מוגדרת (למשל 30 יום) שבמהלכה אי אפשר למחוק או לשנות אותם, גם לא עם סיסמת האדמין. זו התכונה שמנטרלת את התרחיש שבו הכופרה מצפינה גם את הגיבויים.
- 0 שגיאות — גיבוי מאומת. אפס שגיאות שחזור מאומתות: תהליך הגיבוי מנוטר, כשלים מטופלים מיד, ובדיקות שחזור מתבצעות בפועל ומצליחות. גיבוי שרץ ״ירוק״ שנתיים בלי שאף אחד ניסה לשחזר ממנו קובץ — הוא הנחה, לא תוכנית.
מה מגבים בעסק ישראלי קטן — ובאיזו תדירות
״לגבות הכול, כל הזמן״ נשמע טוב אבל לא קורה במציאות — תקציב וזמן הם מוגבלים, ולכן מתעדפים לפי שאלה אחת: כמה יעלה לעסק לאבד את המידע הזה, ומכמה שעות אחורה? אלה חמשת מוקדי המידע שקיימים כמעט בכל עסק ישראלי, עם התדירות שאנחנו ממליצים עליה כנקודת פתיחה:
| סוג מידע | דוגמאות | תדירות מומלצת | דגש מהשטח |
|---|---|---|---|
| קבצי עבודה ומסמכים | הצעות מחיר, חוזים, תיקי לקוחות, קבצי עיצוב | יומית (רצוי רציפה) | לוודא שגם קבצים בתחנות עבודה מגובים — לא רק בשרת |
| הנהלת חשבונות ושכר | חשבשבת, ריווחית, פריוריטי, קבצי שכר | יומית | בסיס הנתונים דורש גיבוי מסודר דרך התוכנה או כלי ייעודי — העתקת קבצים תוך כדי עבודה עלולה לייצר עותק פגום |
| CRM ומאגר לקוחות | מערכת CRM, אקסל לקוחות, מערכת תורים | יומית | ב-CRM ענני — לבדוק מה הספק שומר בפועל, ולהפיק ייצוא תקופתי עצמאי |
| דואר אלקטרוני | Microsoft 365, Google Workspace | רציפה (כלי גיבוי ייעודי ל-SaaS) | סל מיחזור ושמירת גרסאות אינם גיבוי — נדרש עותק חיצוני ובלתי תלוי |
| אתר האינטרנט | וורדפרס, חנות אונליין, בסיס הנתונים | שבועית + לפני כל עדכון | לשמור עותק גם מחוץ לשרת האחסון — אם הספק נפרץ, הגיבוי שאצלו נפרץ איתו |

RPO ו-RTO — שני מושגים, בשפה של בעלי עסק
שני מונחים מעולם ההמשכיות העסקית הופכים את שיחת הגיבויים משיחה טכנית לשיחה עסקית. RPO (Recovery Point Objective): כמה עבודה מותר לנו לאבד? אם מגבים פעם ביום ב-22:00 והמתקפה קרתה ב-16:00 — איבדתם יום עבודה שלם. אם זה לא נסבל, צריך גיבוי תכוף יותר. RTO (Recovery Time Objective): כמה זמן מותר לעסק להיות מושבת עד שהכול חוזר לעבוד? שחזור מלא מגיבוי ענן של מאות ג׳יגה יכול לקחת ימים — ואם אינכם יכולים להרשות לעצמכם יותר מכמה שעות השבתה, צריך גם עותק מקומי מהיר לשחזור. אין תשובה אחת נכונה: מוסך שמאבד חצי יום עבודה יתאושש; משרד רואי חשבון בשבוע האחרון של הדוחות — פחות. קבעו את שני היעדים במספרים, ותכננו את הגיבוי סביבם ולא להפך.
החצי הנשכח: בדיקות שחזור
וכאן אנחנו חוזרים להלל יפה. הכישלון שם לא היה ״אין גיבוי״ — גיבויים היו. הכישלון היה שברגע האמת חלק ניכר מהם לא ניתן היה לשחזור, ואת זה גילו רק כשהמערכות כבר היו מוצפנות. זה דפוס שחוזר גם בעסקים קטנים: תוכנת הגיבוי מדווחת ״הצלחה״ כל לילה — עד שמנסים לשחזר ומגלים שהגיבוי כלל את התיקייה הלא נכונה, שבסיס הנתונים גובה תוך כדי כתיבה והעותק פגום, או שהדיסק החיצוני התמלא לפני שמונה חודשים ואף אחד לא שם לב.
מהשטח: ברוב העסקים שאנחנו פוגשים לראשונה, אף אחד מעולם לא ביצע שחזור מבחן מלא. ההגדרה המקצועית היחידה שחשובה היא זו — המידע שלכם מוגן בדיוק כמו בדיקת השחזור האחרונה שהצליחה. אם התשובה לשאלה ״מתי לאחרונה שיחזרתם קובץ מהגיבוי?״ היא ״אף פעם״ — אין לכם עדיין תוכנית גיבוי. יש לכם ניסוי שטרם נערך.
בדיקות שחזור לא חייבות להיות פרויקט. שגרה פשוטה שעובדת לעסק קטן:
- כל חודש — בדיקת דגימה (15 דקות): בחרו קובץ אקראי ושחזרו אותו למיקום חלופי. פתחו אותו וודאו שהוא תקין. תעדו תאריך ותוצאה.
- כל רבעון — שחזור מערכת אחת: שחזרו תיקייה שלמה או את בסיס הנתונים של הנהלת החשבונות לסביבת בדיקה, וודאו שהתוכנה עולה ועובדת עם הנתונים המשוחזרים.
- פעם בשנה — תרגיל תרחיש מלא: הניחו שהשרת הראשי מוצפן. עברו על התהליך מקצה לקצה: מאיפה משחזרים, מי מבצע, כמה זמן זה לוקח בפועל — והשוו לתוצאה ל-RTO שהגדרתם.
- אחרי כל שינוי מהותי: החלפתם תוכנת הנהלת חשבונות, עברתם שרת, הוספתם מערכת חדשה — ודאו שהיא נכנסה למערך הגיבוי ובדקו שחזור ממנה.
צ׳קליסט לשבוע הקרוב
לא צריך לחכות לפרויקט IT גדול. הנה מה שאפשר לעשות כבר השבוע כדי לעבור מ״יש לנו איזה גיבוי״ ל״יש לנו תוכנית״:
- מפו את המידע הקריטי. רשימה של חמש-שש מערכות: קבצים, הנהלת חשבונות, CRM, מייל, אתר. לכל אחת — איפה היא יושבת ומי אחראי עליה.
- בדקו מה מגובה היום בפועל. לא מה ״אמור״ להיות מגובה — פתחו את תוכנת הגיבוי ובדקו מה באמת נכלל, מתי רץ הגיבוי האחרון והאם הצליח.
- סמנו את הפערים מול 3-2-1. יש שלושה עותקים? שתי פלטפורמות? עותק מחוץ לעסק? עותק שלא ניתן למחיקה?
- נתקו את הגיבוי מהרשת. אם הגיבוי היחיד שלכם הוא כונן שמחובר קבוע לשרת או תיקיית סנכרון — טפלו בזה השבוע. זה הפער שכופרה מנצלת ראשון.
- סגרו את פינת ה-SaaS. בררו האם המייל והקבצים ב-M365/Workspace מגובים לעותק חיצוני עצמאי — ואם לא, בחרו כלי גיבוי ייעודי.
- בצעו שחזור מבחן ראשון. קובץ אחד, למיקום חלופי, עוד השבוע. ותרשמו ביומן תזכורת חודשית קבועה.
- כתבו את זה על עמוד אחד. מה מגובה, לאן, באיזו תדירות, מי אחראי, ומה עושים כשצריך לשחזר — כולל טלפון של איש ה-IT. ברגע האמת לא תרצו לחפש את זה.
גיבוי הוא שכבה אחת מתוך כמה שכל עסק צריך. סקר הסיכונים האונליין שלנו ממפה בחמש דקות את תמונת המצב המלאה — מגיבויים ו-MFA ועד הרשאות וספקים — ומחזיר תעדוף מעשי. אפשר גם להתחיל מעשרת הצעדים הראשונים לאבטחת עסק קטן.
השורה התחתונה
מכל ההשקעות באבטחת מידע, גיבוי מסודר הוא בעל התשואה הגבוהה ביותר לשקל: הוא ההגנה היחידה שעובדת נגד כל התרחישים בבת אחת — כופרה, טעות אנוש, עובד ממורמר, שריפה וכשל חומרה. אבל הוא עובד רק אם בונים אותו נכון: 3 עותקים, 2 פלטפורמות, 1 מחוץ לעסק, 1 שלא ניתן למחיקה — ו-0 שגיאות, כלומר בדיקות שחזור שמתבצעות באמת. ההבדל בין עסק שחוזר לעבוד תוך יום לעסק שסוגר את הדלת הוא לא המזל — הוא ההחלטה שקיבלתם חודשים קודם.
Cybertis מלווה עסקים קטנים ובינוניים כ-CISO חיצוני: מיפוי המידע הקריטי, בניית מערך גיבוי לפי 3-2-1-1-0, הגדרת RPO/RTO ריאליים ושגרת בדיקות שחזור שבאמת מתקיימת — בלי להעסיק איש אבטחה במשרה מלאה. הפגישה הראשונה עלינו.
לשירות CISO כשירות*האמור במאמר זה הוא מידע כללי בלבד ואינו מהווה ייעוץ מקצועי מחייב. תוכנית גיבוי והתאוששות בפועל תלויה במאפייני העסק, במערכות ובדרישות הרגולטוריות החלות עליו, ומחייבת בחינה פרטנית.*