רואי חשבון ויועצי מס: אתם המפתח לכספת של הלקוחות שלכם
משרד רו״ח אחד מרכז נתוני שכר, תעודות זהות וחשבונות בנק של מאות עסקים — ופריצה אחת מתגלגלת לכל הלקוחות. איך מגנים על כרטיס המייצג, מה תיקון 13 דורש מכם כ״מחזיק״, ותוכנית מעשית בעשרה צעדים למשרד בלי איש IT.
שלהי מרץ, שיא עונת הדוחות. מנהלת החשבונות במשרד רואי חשבון של שמונה עובדים פותחת מייל שנראה כאילו הגיע מרשות המסים: ״שגיאה בשידור הדוח — נדרשת כניסה מחודשת למערכת המייצגים״. הלוגו נכון, העברית מושלמת, והלחץ של העונה עושה את שלו. לחיצה אחת, הזנת פרטים — ומישהו אחר מחזיק עכשיו גישה למערכת שמרוכזים בה תיקי כל לקוחות המשרד. התוקפים של 2026 הבינו משהו פשוט: למה לפרוץ למאתיים עסקים קטנים, אחד-אחד, כשאפשר לפרוץ למשרד אחד שמחזיק את המידע הפיננסי של כולם?
תוקפים משתמשים בספק שירות מהימן — משרד רו״ח, לשכת שכר, ספק תוכנה — כשער כניסה ללקוחותיו. לפי דוח חקירות הפריצות של Verizon (DBIR 2026), 48% מהפריצות בעולם ערבו צד שלישי — זינוק של 60% בשנה אחת. משרדי ראיית חשבון וייעוץ מס הם יעד מועדף: ריכוז גבוה של מידע פיננסי, גישה למערכות ממשלתיות — וברוב המקרים, תקציב אבטחה של עסק קטן.
מה באמת שמור אצלכם — ולמה זה שווה כל כך הרבה לתוקף
משרד בינוני מרכז אצלו, בשגרה, את מה שתוקף היה צריך עשרות פריצות נפרדות כדי להשיג:
- דוחות כספיים ומאזנים של עשרות עד מאות עסקים — תמונת מצב עסקית מלאה, שמאפשרת לתוקף לתזמן הונאות במדויק.
- נתוני שכר של אלפי שכירים אצל הלקוחות: תלושים, טפסי 106, פרטי חשבון בנק להפקדת משכורת. חשוב להפנים: לפי ההגדרות החדשות של תיקון 13 לחוק הגנת הפרטיות, נתוני שכר ומידע פיננסי הם מידע בעל רגישות מיוחדת — הקטגוריה שמכפילה עיצומים.
- צילומי תעודות זהות ומסמכי זיהוי של בעלי עסקים, עובדים ובני משפחה — חומר גלם מושלם לגניבת זהות.
- פרטי חשבונות בנק של לקוחות, ספקים ועובדים — הבסיס להונאות העברה בנקאית.
- גישת מייצגים למערכות רשות המסים והביטוח הלאומי — הנכס היקר מכולם, ונקדיש לו פרק נפרד.
ובניסוח של חוק הגנת הפרטיות: המשרד שלכם הוא מחזיק של עשרות מאגרי מידע שהלקוחות שלכם הם בעלי השליטה בהם. פריצה אחת אצלכם היא לא אירוע של עסק אחד — היא אירוע אבטחה אצל כל לקוח ולקוח, עם כל החובות הרגולטוריות שנגזרות מזה. זו בדיוק הסיבה שהכותרת של המאמר הזה איננה מטאפורה: אתם המפתח לכספת של הלקוחות שלכם, ותוקפים יודעים את זה.

שלושה תרחישים שחוזרים על עצמם
1. פישינג בכסות רשות המסים
פישינג הוא סוג הדיווח הנפוץ ביותר במערך הסייבר הלאומי: כ-13,700 דיווחים ב-2025, עלייה של 35% לעומת השנה הקודמת. ולפי נתוני מערך הסייבר, גופי ממשל — ובהם רשות המסים — נמנים עם הגופים המחוקים ביותר בהונאות נגד ישראלים, לצד בנקים וחברות שילוח. עבור משרד מייצגים זה תרחיש מסוכן במיוחד, כי מייל ״מרשות המסים״ הוא חלק מהשגרה שלכם: הודעה על דוח שנדחה, דרישת השלמת מסמכים, עדכון על החזר. התוקפים מתזמנים את הקמפיינים סביב מועדי דיווח — מקדמות, דוחות שנתיים, סוף שנת מס — ובונים דפי התחברות מזויפים למערכות המייצגים. גם ערוץ ה-SMS בוער: היקף הודעות ההתחזות (Smishing) זינק ביותר מ-340% ב-2025.
2. הונאת BEC סביב החזרי מס והעברות שכר
בתרחיש השתלטות על תיבת מייל עסקית (BEC), התוקף לא מצפין כלום — הוא יושב בתיבה שבועות, לומד את קצב העבודה מול הלקוחות, ומחכה לרגע כסף: העברת משכורות חודשית, החזר מס ללקוח, תשלום לספק. ואז מגיעה הבקשה המזויפת — ״העובד החליף חשבון בנק, מצורף אישור״, או מייל בשם הלקוח שמבקש להפנות את ההחזר לחשבון ״החדש״. משרד שמריץ שכר ותשלומים עבור עשרות לקוחות הוא צוואר בקבוק מושלם להונאה כזו: ערוץ אחד, הרבה כסף, ואמון מלא משני הצדדים.
3. כופרה על תיקי הלקוחות — הדלף שמתגלגל
דוח Verizon DBIR 2025 מצא כופרה ב-44% מהפריצות שנחקרו. במשרד רו״ח, מתקפת כופרה היא כמעט אף פעם לא רק הצפנה: התוקפים מושכים החוצה את תיקי הלקוחות לפני הנעילה, ומאיימים לפרסם. וכאן האפקט המתגלגל — הדלף של משרד אחד הוא דלף של כל הלקוחות: נתוני השכר של העובדים שלהם, הדוחות הכספיים שלהם, תעודות הזהות שנסרקו לתיק. כל לקוח כזה הוא בעל שליטה במאגר שנפגע, ורבים מהם יידרשו לחובות דיווח ויידוע משלהם. עסקית, זה התרחיש שממנו משרדים לא מתאוששים — לא בגלל הכופר, אלא בגלל הלקוחות שעוזבים.
תיקון 13: המשרד כ״מחזיק״ — והחשיפה שזורמת לשני הכיוונים
מאז 14 באוגוסט 2025, תיקון 13 נותן לרשות להגנת הפרטיות שיניים אמיתיות — וחשוב להבין שהעיצומים חלים גם על מחזיק במאגר, לא רק על בעל השליטה. יותר מזה: לפי המדריך המקצועי של הרשות, אם הוטל עיצום על מחזיק ובעל השליטה לא פעל להפסקת ההפרה — ניתן להטיל את אותו עיצום גם עליו. במילים פשוטות: כשל אבטחה אצלכם חושף כספית גם את הלקוחות שלכם, והם יידעו את זה. מכיוון שאתם מחזיקים נתוני שכר ומידע פיננסי — מידע בעל רגישות מיוחדת — סביר שהמאגרים שבטיפולכם מסווגים ברמת אבטחה בינונית או גבוהה לפי תקנות אבטחת מידע, על כל החובות הנגזרות.
| ההפרה | מאגר ברמת אבטחה בינונית | מאגר ברמת אבטחה גבוהה |
|---|---|---|
| הפרת תקנות אבטחת מידע (שלוש דרגות חומרה) | ₪20,000–₪80,000 | ₪80,000–₪320,000 |
| אי-דיווח מיידי לרשות על אירוע אבטחה חמור (הדרגה הגבוהה) | ₪80,000 | ₪320,000 |
הסכומים, מתוך המדריך המקצועי של הרשות להגנת הפרטיות לתיקון 13, מוכפלים במאגרים עם יותר ממיליון נושאי מידע. ואל תשכחו את המסלול האזרחי: התיקון קובע פיצוי ללא הוכחת נזק של עד 10,000 ₪ לאדם על הפרות מנויות — תכפילו את זה במספר העובדים של כל הלקוחות שנחשפו, ותקבלו את סדר הגודל האמיתי של הסיכון.
כרטיס המייצג הוא הכתר — תגנו עליו בהתאם
הגישה שלכם כמייצגים למערכות רשות המסים והביטוח הלאומי — הכרטיס החכם, קוד ה-PIN, פרטי ההזדהות — היא הנכס שתוקף הכי רוצה. מי שמחזיק בה יכול לצפות בתיקים, לשדר דוחות ולבצע פעולות בשמכם, עם כל האמון שהמערכת נותנת למייצג מורשה. כמה כללים שאינם ניתנים למשא ומתן:
- MFA על כל מה שמאפשר זאת. מחקר של Microsoft מצא שאימות רב-שלבי חוסם למעלה מ-99.9% ממתקפות ההשתלטות על חשבונות. המייל של המשרד, תוכנת השכר בענן, חשבונות הבנק העסקיים — הכול.
- כרטיס חכם ו-PIN הם אישיים. נקודה. לא מוסרים לעובד אחר ״רק כדי לשדר משהו״, לא משאירים את הכרטיס בקורא בסוף היום, ולא שומרים את הקוד ליד המחשב.
- שקלו עמדה ייעודית לעבודה מול מערכות ממשלתיות — מחשב מוקשח שלא גולשים ולא קוראים בו מייל. במשרד שמנהל מאות תיקים, זו השקעה קטנה מול הסיכון.
- עזיבת עובד = ביטול הרשאות באותו יום. כרטיסים, סיסמאות למערכות הממשלתיות, גישה לתוכנות המשרד ולתיקיות הענן.
בלא מעט משרדים יש כרטיס חכם אחד ״של המשרד״, וה-PIN כתוב על פתקית או שמור בקבוצת הוואטסאפ הפנימית. זה לא רק סיכון אבטחה חמור — זה גם מוחק כל יכולת לדעת מי ביצע איזו פעולה בתיק של לקוח. כל עובד שמורשה לפעול מול הרשויות צריך אמצעי הזדהות אישי משלו, וזהו.
תוכנית העבודה: חמישה תחומים שסוגרים את רוב הסיכון
- מזעור ומחיקה. אל תשמרו הכול לנצח. מפו אילו נתוני לקוחות באמת נדרשים ולכמה זמן (לפי חובות שמירת המסמכים החלות עליכם), וקבעו נוהל מחיקה לתיקים של לקוחות שעזבו ולסריקות ישנות. מידע שנמחק הוא מידע שלא ידלוף.
- החלפת מסמכים מאובטחת. טופס 106, צילום ת״ז ודוח כספי לא נשלחים כצרופה גלויה במייל. עברו לפורטל לקוחות או לשירות שיתוף קבצים מאובטח עם הזדהות — גם הלקוחות מתרגלים לזה מהר, וזה משדר מקצועיות.
- בקרת גישה בתוך המשרד. לא כל עובד צריך לראות את כל התיקים. הגדירו הרשאות לפי תיקי הלקוחות שבטיפולו של כל אחד, עם תיעוד גישה — זו גם דרישה של תקנות אבטחת מידע במאגרים ברמות הגבוהות.
- הקשחת התוכנות והגיבויים. תוכנות הנהלת החשבונות והשכר שלכם — מקומיות או בענן — צריכות עדכוני גרסה שוטפים, סיסמאות חזקות וייחודיות והגבלת גישה מרחוק. ולצידן, גיבוי בשיטת 3-2-1 הכולל עותק מנותק מהרשת, עם תרגול שחזור תקופתי — הגיבוי שלא שוחזר מעולם הוא הימור, לא ביטוח.
- נוהל תגובה לאירוע. מי מנתק מה, מי מודיע לרשות להגנת הפרטיות (באירוע חמור — מיידית), מי מיידע את הלקוחות שנפגעו ומה אומרים להם, ומי מלווה משפטית. לקוח שמגלה מכם על הדלף כועס; לקוח שמגלה מהעיתון — עוזב ותובע.
צ׳קליסט לשבוע הקרוב
- הפעילו MFA על המייל, על תוכנת השכר ועל כל שירותי הענן של המשרד.
- ודאו שכרטיס חכם ו-PIN הם אישיים בלבד — בלי שיתוף בין עובדים.
- מפו אילו נתוני לקוחות שמורים אצלכם, איפה, ולמי יש גישה.
- צמצמו הרשאות: כל עובד ניגש רק לתיקי הלקוחות שבטיפולו.
- הפסיקו לשלוח מסמכים רגישים כצרופות מייל — עברו לפורטל או לקישור מאובטח.
- הטמיעו גיבוי 3-2-1 לתוכנות הנהלת החשבונות והשכר, כולל עותק מנותק — ותרגלו שחזור.
- עדכנו תוכנה באופן שוטף: מערכות הפעלה, תוכנות ענפיות ודפדפנים.
- קבעו נוהל אימות טלפוני, במספר מוכר מראש, לכל שינוי בפרטי חשבון בנק.
- הכינו נוהל תגובה לאירוע — כולל דיווח מיידי לרשות להגנת הפרטיות ויידוע לקוחות.
- העבירו לעובדים הדרכת פישינג קצרה, בדגש הודעות מתחזות בשם רשות המסים.

השורה התחתונה
משרד רואי חשבון או ייעוץ מס הוא לא ״עוד עסק קטן״ במפת הסיכונים — הוא צומת שדרכו עוברים הכסף, הזהות והשכר של מאות עסקים ואלפי אנשים. תיקון 13 הפך את זה מאחריות מקצועית לאחריות משפטית ישירה, כולל עיצומים על המחזיק עצמו. החדשות הטובות: רוב הסיכון נסגר בצעדים שאינם דורשים איש IT במשרה מלאה — MFA, משמעת של כרטיס חכם, הרשאות לפי תיק, גיבוי מנותק ונוהל תגובה. מי שמסדיר את זה עכשיו לא רק מגן על עצמו — הוא הופך את האבטחה ליתרון מול לקוחות שמתחילים לשאול שאלות. בדיוק כמו שקורה כבר אצל עמיתיכם במשרדי עורכי הדין.
Cybertis מלווה משרדי רואי חשבון ויועצי מס בהתאמה לתיקון 13 ולתקנות אבטחת מידע: מיפוי מאגרים וסיווג רמת אבטחה, תוכנית עבודה מעשית שמתאימה למשרד קטן, ונהלי תגובה לאירוע. הפגישה הראשונה עלינו.
לשירות היערכות לתיקון 13*האמור במאמר זה הוא מידע כללי בלבד ואינו מהווה ייעוץ משפטי או מקצועי מחייב. החובות החלות על משרד ספציפי תלויות בסוגי המידע, בהיקפו וברמת האבטחה של המאגרים, ומחייבות בחינה פרטנית.*