סוכני ביטוח: רגולציה כפולה ומידע פיננסי-רפואי משולב
סוכנות ביטוח מחזיקה באותה שורת Excel הצהרת בריאות, שכר ותעודת זהות — שילוב המידע הרגיש ביותר שיש. בין רשות שוק ההון שמכינה חוזר סייבר ייעודי לסוכנים לבין תיקון 13 שכבר בתוקף: תרחישי התקיפה שמכוונים דווקא לסוכן, לקח שירבית מהמושב של הסוכן, ותוכנית מעשית בעשרה צעדים.
פתחו את קובץ ה-Excel שיושב על שולחן העבודה של כמעט כל סוכנות ביטוח בישראל. בעמודה אחת שם מלא, בשנייה תעודת זהות, בשלישית טלפון וכתובת. אבל אז זה מתחיל להעמיק: הצהרת בריאות מלאה של המבוטח לפוליסת חיים או בריאות, פרטי בני משפחה מוטבים, גובה שכר והכנסות לצורך חישוב אובדן כושר עבודה, מספרי פוליסות אצל כל החברות. שורה אחת בקובץ הזה מכילה את שילוב המידע הרגיש ביותר שאפשר לרכז על אדם — מידע רפואי ומידע פיננסי יחד, שני סוגים שהחוק הישראלי מגדיר במפורש כ״מידע בעל רגישות מיוחדת״. ועכשיו הכפילו את זה במספר הלקוחות בתיק שלכם. הקובץ הזה, על ה-Desktop או בכונן המשותף, הוא הנכס היקר ביותר בסוכנות — וגם החשוף ביותר. המדריך הזה מיועד לסוכנות הביטוח העצמאית: לא לחברת הביטוח הגדולה, אלא למי שמנהל את הקשר האישי עם הלקוח ומחזיק אצלו את הריכוז הרגיש הזה.
רוב העסקים מחזיקים סוג אחד של מידע רגיש. סוכנות ביטוח מחזיקה את שניהם בו-זמנית, על אותו אדם, באותה שורה: מידע רפואי (הצהרות בריאות בפוליסות חיים ובריאות) ומידע פיננסי (שכר, הכנסות, פרטי חשבון). לפי המדריך המקצועי של הרשות להגנת הפרטיות לתיקון 13, שני אלה נמנים על ״מידע בעל רגישות מיוחדת״ — קטגוריה שמכפילה כמעט כל חובה וכל סנקציה בחוק. השילוב הזה הופך את מאגר הלקוחות שלכם ליעד ערך גבוה במיוחד עבור תוקפים, ולנקודת חשיפה רגולטורית שדורשת יחס בהתאם.
שני רגולטורים, מציאות אחת: רשות שוק ההון והרשות להגנת הפרטיות
סוכן ביטוח חי תחת פיקוח כפול, וזו נקודת המוצא שמבדילה את הענף הזה מכל עסק אחר. מצד אחד יש את רשות שוק ההון, ביטוח וחיסכון — הרגולטור הענפי שמפקח על הרישוי, על ההתנהלות מול הלקוח ועל ניהול הסיכונים. מצד שני יש את הרשות להגנת הפרטיות וחוק הגנת הפרטיות אחרי תיקון 13, שחל על כל מי שמנהל מאגר מידע אישי — כולל, וגם בעיקר, אתם.
עד היום, עיקר הרגולציה של רשות שוק ההון בתחום הסייבר כוונה אל הגופים המוסדיים — חברות הביטוח, בתי ההשקעות וקרנות הפנסיה עצמם. חוזר ניהול סיכוני סייבר בגופים מוסדיים משנת 2016, ובהמשך הסדרה מקבילה לנותני שירותים פיננסיים, הגדירו חובות מפורטות של מדיניות אבטחה, בקרות, דיווח על אירועי סייבר וניהול סיכונים — אבל הם חלו על החברות הגדולות, לא ישירות על הסוכן. הסוכן נגע בהם בעקיפין: כשאתם מתחברים למערכות של חברת הביטוח, אתם חלק משרשרת האספקה שלה, והיא מחויבת להתמודד עם הסיכון שאתם מייצרים לה.
התמונה הזו משתנה. בתוכנית העבודה של רשות שוק ההון לשנת 2026 מופיעה כוונה לפרסם חוזר חדש לניהול סיכוני סייבר ואבטחת מידע לסוכנים ויועצים — יחידים ותאגידים כאחד. הרשות מנמקת זאת בהסלמה באירועי הסייבר ובחשש לפגיעה במידע של המבוטחים, ומציינת מפורשות שסוכנות מחזיקה מידע רגיש במיוחד — פיננסי, רפואי ואישי — של אלפי לקוחות, ושפריצה אחת עלולה לחשוף מאות ואלפי מבוטחים. המשמעות: הרגולציה הענפית שעד היום עקפה אתכם עומדת לנחות עליכם ישירות. מי שיבנה תשתית אבטחה מסודרת עכשיו יפגוש את החוזר מוכן, במקום לרוץ אחריו.
בינתיים, החובה המחייבת אתכם היום היא חוק הגנת הפרטיות. תיקון 13, שנכנס לתוקף ב-14 באוגוסט 2025, קובע שחברות ביטוח מחויבות במפורש בחוק למנות ממונה הגנת מידע (DPO) — הן נמנות עם רשימת הגופים שהחוק נוקב בשמם, לצד בנקים, בתי חולים וקופות חולים. סוכנות ביטוח אינה מופיעה ברשימה הזו בשמה, אבל אין בכך פטור: על הסוכנות להחיל את המבחנים הכלליים. גוף שפעילות הליבה שלו כרוכה בעיבוד מידע בעל רגישות מיוחדת בהיקף משמעותי — וזה בדיוק תיאור סוכנות ביטוח בינונית ומעלה — נכנס לחובת מינוי הממונה. גם ללא זה, ריכוז מידע רפואי ופיננסי על היקף לקוחות סביר יסווג את מאגר הלקוחות שלכם ברמת אבטחה בינונית עד גבוהה לפי תקנות אבטחת מידע, עם כל החובות שנגזרות מכך.
שירבית, מהמושב של הסוכן: כשהמבטח עצמו נשרף
בדצמבר 2020 קבוצת התקיפה Black Shadow פרצה לחברת הביטוח שירבית. התוקפים גנבו מסמכים, קובצי דואר (PST), הקלטות וצילומי דרכונים ותעודות זהות. הם דרשו כופר של 50 ביטקוין — כמיליון דולר באותה עת — ואיימו להכפיל את הסכום מדי יום. שירבית סירבה לשלם, והמידע דלף ופורסם. זה לא היה סיפור תיאורטי על ״מה יכול לקרות״: אלה היו תעודות הזהות והמסמכים של לקוחות אמיתיים, ברשת הפתוחה.
התובנה מהמושב של הסוכן חדה במיוחד: חברות הביטוח עצמן, עם תקציבי האבטחה והמומחים שלהן, נפרצו. ואם המבטח נפרץ — הסוכן, שמחזיק אצלו את אותו סוג מידע בלי אותם משאבים, הוא יעד קל בהרבה. לרגולטורים בענף הביטוח יש זיכרון ארוך לאירועים כאלה, וההשלכות שלהם על ההתנהלות מול המפוקחים ניכרות עד היום. אבל הנקודה שחשוב שתפנימו היא לא הקנס — היא הנכס. הנכס האמיתי של סוכנות ביטוח הוא האמון. לקוח שמסר לכם את הצהרת הבריאות שלו, את תלוש השכר של בן הזוג ואת פרטי הילדים, עשה זאת מתוך אמון אישי. פרצה אחת שוחקת את האמון הזה מול כל התיק בבת אחת — וזה הנכס הכי קשה לשקם.
תרחישי תקיפה שמכוונים דווקא לסוכן
לסוכנות ביטוח יש פרופיל תקיפה ייחודי, שנובע ישירות מהתפקיד: אתם מתווכים אמון בין הלקוח לחברת הביטוח, ומחזיקים גישה למערכות שמרכזות מידע. שלושה תרחישים חוזרים על עצמם:
- התחזות לסוכן מול הלקוח (הפניית תשלום). התוקף משתלט על תיבת המייל של הסוכן, לומד את סגנון ההתכתבות, וממתין לרגע נכון — חידוש פוליסה, גבייה שנתית. אז הוא שולח ללקוח, בשם הסוכן, הודעה עם פרטי חשבון ״מעודכנים״ לתשלום הפרמיה. זו בדיוק תבנית ה-BEC המוכרת מעולם החשבוניות, מותאמת לביטוח. הרחבנו על מנגנון ההונאה הזה במדריך הונאת מנכ״ל והחלפת חשבונית (BEC) — והנוהל שמנטרל אותה זהה: אימות טלפוני של כל שינוי פרטי תשלום, בערוץ נפרד ומוכר מראש.
- דיוג ״החזר פרמיה״ מבוסס מידע שדלף. כשפרטי פוליסה אמיתיים דולפים, התוקף יכול לשלוח ללקוח הודעה משכנעת להפליא: ״זוהתה גבייה כפולה בפוליסה מספר X, לחצו לקבלת ההחזר״. העובדה שההודעה מכילה את מספר הפוליסה הנכון מפילה גם לקוחות זהירים. ככל שהמידע אצלכם מאובטח יותר, כך פחות חומר גלם יש לתוקף לבניית ההונאה הזו.
- גישה לפורטל חברת הביטוח (פרטי הגישה שלכם). למשתמש הסוכן יש גישה למערכות של המבטח שמרכזות מידע על לקוחות רבים בבת אחת. פרטי הגישה שלכם הם מפתח שווה זהב — פריצה לחשבון אחד פותחת מידע מצטבר. כאן MFA אינו המלצה אלא קו הגנה קריטי; מיקרוסופט מדדה שאימות רב-שלבי חוסם מעל 99% ממתקפות השתלטות החשבון, וגם כשפרטי ההתחברות כבר דלפו. הוסיפו לזה משמעת של פרופיל דפדפן ייעודי לעבודה מול הפורטלים, נפרד מהגלישה האישית, כדי לצמצם חשיפה מהרחבות ומאתרים אחרים.

מציאות המשרד: איפה המידע באמת נמצא
לפני שמדברים על תוכנית, צריך להסתכל ביושר על איך מידע זורם בסוכנות טיפוסית. ברוב המשרדים התמונה נראית כך: הצהרות בריאות מגיעות בוואטסאפ מהלקוח (״תשלח לי צילום של הטופס״), תיקי לקוחות יושבים כקבצים מצורפים בתיבת המייל, וצילומי הצהרות בריאות סרוקות שוכבים על הכונן המשותף בלי בקרת גישה — כל עובד בסוכנות רואה את הכול.
ואז יש את הסוכן הוותיק. שלושים שנה בענף, קובץ Outlook מקומי (PST) על המחשב שמכיל עשרים שנות התכתבות עם לקוחות, גיבוי אחרון לא ידוע מתי. שיחת ההגירה של הנתונים האלה למערכת מסודרת ומגובה היא אחת השיחות הכי חשובות — והכי נדחות — בסוכנות. ה-PST המקומי הוא נקודת כשל בודדת: תקלת דיסק אחת, או כופרה שמצפינה את התחנה, ועשרים שנות קשר עם לקוחות נעלמות. זו לא רק בעיית אבטחה, זו בעיית המשכיות עסקית.
התוכנית המעשית: מהצנרת ועד המחיקה
1. היגיינת ערוץ קליטה
הצהרת בריאות היא מידע רפואי — היא לא צריכה לעבור בוואטסאפ. הגדירו טופס מאובטח (או פורטל לקוחות) לקליטת הצהרות בריאות ומסמכים רגישים, במקום קבצים מצורפים והודעות מיידיות. זה לא רק שדרוג אבטחה: זה גם מסמן ללקוח שאתם מתייחסים למידע שלו ברצינות, וזו נקודת מכירה בפני עצמה. אם לקוח בכל זאת שולח בוואטסאפ, נהלו נוהל להעברת המסמך למאגר המאובטח ומחיקתו מהצ׳אט.
2. אחסון עם בקרת גישה ותקופת שמירה
לא כל עובד צריך לראות את כל התיקים. הגדירו הרשאות לפי תפקיד — עקרון ה-need to know. במקביל, קבעו מדיניות שמירה ומחיקה: פוליסת ביטוח חיה שנים, ולצדה תקופת ההתיישנות מחייבת שמירה של מסמכים גם אחרי סיום ההתקשרות — אבל לא לנצח. עקרונות מחזור החיים והמחיקה מפורטים במדריך כמה זמן מותר לשמור מידע אישי ומתי חובה למחוק. מידע שכבר אין לו עילת החזקה חוקית הוא סיכון נטו: הוא לא מייצר ערך, רק חשיפה.
3. תקשורת מול חברות הביטוח
כשאתם מעבירים מסמכי לקוח לחברת הביטוח, העדיפו את הפורטלים המאובטחים שהחברות מעמידות, על פני שליחת קבצים מצורפים במייל. מייל אינו ערוץ מאובטח כברירת מחדל, וקובץ עם הצהרת בריאות שנשלח לכתובת שגויה הוא אירוע אבטחה לכל דבר. הרגילו את הסוכנות לעבוד דרך הערוצים הרשמיים, גם כשזה נדמה מסורבל יותר.
4. הזווית השיווקית: רשימות לקוחות וחוק הספאם
מאגר הלקוחות שלכם הוא גם כלי שיווקי — חידושים, מכירה צולבת של מוצרים משלימים. אבל דיוור שיווקי כפוף לחוק, ולא כל לקוח קיים הוא רשות פתוחה לכל מסר. הכללים המדויקים של הסכמה, הסרה וקנסות מפורטים במדריך דיוור שיווקי לפי חוק הספאם. הקפידו על מנגנון הסרה תקין ועל תיעוד ההסכמות — קמפיין חידושים שנשלח בלי בסיס חוקי חושף אתכם לחשיפה כפולה: גם מול חוק הספאם וגם מול חוק הגנת הפרטיות.
5. רכישה, מכירה או העברת תיק לקוחות
סוכנויות נמכרות, מתמזגות ומעבירות תיקים. ברגע כזה, מאגר הלקוחות — על כל המידע הרגיש שבו — עובר ידיים. וכאן צריך כנות: מה מותר להעביר, האם נדרשת הסכמה או הודעה ללקוחות, ואיך המידע מגיע ליעד באופן מאובטח — שאלות שאין להן תשובה גורפת, והן תלויות במבנה העסקה ובאופי המידע. הכלל הבטוח: להתייחס להעברת התיק בעסקת M&A כאל אירוע פרטיות מהותי, לא כאל שורה טכנית בחוזה. שווי התיק גלום באמון הלקוחות — וטיפול לא נכון בפרטיות במעבר שוחק אותו בדיוק ברגע שבו הוא ממומש לכסף.
צ׳קליסט לשבוע הקרוב
אם אתם מנהלים סוכנות ולא יודעים מאיפה להתחיל, אלה הצעדים בעלי התשואה הגבוהה ביותר — רובם ניתנים ליישום בלי איש IT ובלי תקציב גדול:
- הפעילו MFA על כל חשבון מייל, על פורטלי חברות הביטוח ועל כל מערכת עם מידע לקוחות — הצעד עם התשואה הגבוהה מכולם.
- הגדירו פרופיל דפדפן ייעודי לעבודה מול הפורטלים, נפרד מהגלישה האישית והשיווקית.
- העבירו את קליטת הצהרות הבריאות מוואטסאפ לטופס או פורטל מאובטח, וכתבו נוהל קצר לצוות.
- מפו מי רואה מה: הגדירו הרשאות לפי תפקיד בכונן המשותף ובמערכת ה-CRM.
- אתרו את ה-PST המקומי של הסוכן הוותיק (ושל כל אחד אחר) — והעבירו את המידע למערכת מסודרת ומגובה.
- הגדירו נוהל אימות תשלומים: כל שינוי בפרטי חשבון מאומת טלפונית בערוץ נפרד, ללא יוצא מן הכלל.
- קבעו מדיניות שמירה ומחיקה — ומחקו מידע שאין לו עוד עילת החזקה.
- בדקו את גיבויי הנתונים: האם הם רצים, והאם ניסיתם אי-פעם לשחזר מהם.
- העבירו לצוות הדרכת מודעות קצרה, ממוקדת בדיוג ובהתחזות לסוכן — התרחישים הרלוונטיים לכם.
- בררו האם אתם חייבים במינוי ממונה הגנת מידע (DPO) לפי המבחנים, והתחילו להיערך לחוזר הסייבר הענפי שבדרך.

השורה התחתונה
סוכנות ביטוח היא, בליבתה, עסק של אמון — ואמון בנוי על שמירה על המידע שהלקוח הפקיד בידיכם. המידע הרפואי-פיננסי המשולב, הפיקוח הכפול וחוזר הסייבר הענפי שבדרך מצביעים כולם לאותו כיוון: אבטחת המידע בסוכנות מפסיקה להיות עניין טכני ונעשית חלק מרישיון העבודה שלכם. הבשורה הטובה: רוב הצעדים המשמעותיים אינם יקרים ואינם מורכבים — הם עניין של משמעת ותהליך. מי שיסדר את הבית עכשיו יפגוש את הרגולציה הבאה מוכן, ואת הלקוח הבא — עם סיפור אמין על איך המידע שלו מוגן.
Cybertis מלווה סוכנויות ביטוח בבניית תוכנית אבטחת מידע ופרטיות מותאמת — מהיערכות לתיקון 13 ומינוי ממונה הגנת מידע, דרך הקשחת מערכות והדרכת צוות, ועד היערכות לחוזר הסייבר הענפי של רשות שוק ההון. הפגישה הראשונה עלינו.
לשירות היערכות לתיקון 13*האמור במאמר זה הוא מידע כללי בלבד ואינו מהווה ייעוץ משפטי או מקצועי מחייב. חובות רגולטוריות בפועל תלויות במאפייני הסוכנות, בהיקף המידע ובדרישות הרגולטורים, ומחייבות בחינה פרטנית.*