דלגו לתוכן
ענפים15 בפברואר 202610 דק׳ קריאה

עמותות ומלכ״רים: תורמים, מוטבים ותקציב אבטחה של אפס

לעמותה יש בדיוק שני דברים שתוקף רוצה: רשימת תורמים עם אמצעי תשלום, ותיק מוטבים רגיש כמו תיק מטופלים. אין פטור למלכ״ר תחת תיקון 13, ונתוני רווחה ובריאות מכפילים את העיצומים. איך בונים תוכנית אבטחה אמיתית בתקציב אפס — עם התוכניות החינמיות של Google ו-Microsoft, משמעת מול מתנדבים, וצ׳קליסט של עשרה צעדים לשבוע הקרוב.

ר.ש
רותם שיינס · מנכ״ל ובעלים
מומחה אבטחת מידע ופרטיות · Cybertis · מעל 10 שנות ניסיון

אחד המשפטים שאנחנו שומעים הכי הרבה מעמותות הוא ״למה שיתקפו דווקא אותנו? אין לנו כסף ואין לנו מה לגנוב״. זו טעות שעולה ביוקר. לעמותה טיפוסית יש בדיוק שני דברים שתוקף רוצה: רשימת תורמים עם פרטי אמצעי תשלום והרגלי נתינה, ותיק מוטבים שלעיתים קרובות רגיש הרבה יותר מכל דאטה עסקי — תיקי רווחה, נתוני בריאות, נוער בסיכון, נפגעי אלימות. מבחינת החוק הישראלי, קובץ הנפשות של עמותת רווחה רגיש בדיוק כמו תיק מטופלים של מרפאה. ולזה נוסף איום ייחודי לסקטור: עמותות מוטות-ערכים (זכויות אדם, פוליטיקה, דת, מגזרים) מושכות תוקפים אידיאולוגיים, לא רק פליליים. במדריך הזה נסביר למה אתם יעד, מה החוק דורש מכם בדיוק כמו מכל ארגון אחר — ואיך בונים תוכנית אבטחה אמיתית בתקציב שמתחיל מאפס.

רגע — עמותה היא ״בעל מאגר״ לכל דבר

אין בחוק הגנת הפרטיות פטור למלכ״רים. עמותה שמנהלת רשימת תורמים או תיק מוטבים היא בעלת מאגר מידע עם כל החובות שנגזרות מכך: אבטחת המידע לפי רמת הרגישות, מינוי אחראי, דיווח על אירוע אבטחה חמור, וכיבוד זכויות עיון ומחיקה. תיקון 13 לחוק, שנכנס לתוקף ב-14 באוגוסט 2025, רק החמיר את המשוואה: מידע רפואי, נתוני רווחה ומצב סוציו-אקונומי מוגדרים כ״מידע בעל רגישות מיוחדת״ — והעיצומים הכספיים בגין הפרה מוכפלים.

למה עמותה היא יעד — גם כשאין לה ״כלום״

האיום הסייברי בישראל אינו תיאורטי. לפי הסיכום השנתי של מערך הסייבר הלאומי, ב-2025 התקבלו כ-26.5 אלף דיווחים בקו 119 — זינוק של 55% לעומת 2024, כשפישינג הוא סוג הדיווח הנפוץ ביותר (כ-13,700 דיווחים). עמותה קטנה לא נמצאת מחוץ לרדאר הזה; היא פשוט חלשה יותר מארגון עסקי בגודל דומה, כי אין לה מחלקת IT ולעיתים אין לה אפילו אדם אחד שאחראי על אבטחה. שלושה סוגי איום מתלכדים על הסקטור:

  • מידע התורמים. רשימת תורמים היא נכס פיננסי: שמות, טלפונים, סכומי תרומה, ולעיתים אמצעי תשלום שנשמרים לחיוב חוזר. עבור תוקף זו רשימת הונאה מוכנה — קהל שכבר הוכיח נכונות לתת כסף.
  • מידע המוטבים. כאן טמון הסיכון הגדול באמת. עמותת רווחה, מרכז לנפגעי אלימות, ארגון לנוער בסיכון או עמותת בריאות מחזיקים במידע שחשיפתו עלולה לגרום נזק ממשי — סטיגמה, סכנה פיזית, פגיעה בקטינים. זהו ״מידע בעל רגישות מיוחדת״ שהחוק מקיף בהגנה מוגברת.
  • המניע האידיאולוגי. עמותות מוטות-ערכים סופגות תקיפות שאינן על רקע כספי. מערך הסייבר תיעד ב-2025 עלייה של 170% בדיווחים על ניסיונות השפעה והפחדה סייבריים (3,404 דיווחים). האקטיביסטים מחפשים סמלים — וארגון עם עמדה ציבורית הוא בדיוק זה.
מפת המידע והאיום של עמותה — נכסי מידע רגישים, שלושת וקטורי האיום, וחובות הדין
מקורות: מערך הסייבר הלאומי (סיכום 2025), הרשות להגנת הפרטיות (מדריך תיקון 13), דיווחי תקשורת.

חובת ההגנה על תיק המוטבים

הנקודה הקריטית ביותר במדריך הזה: מבחינת תקנות אבטחת מידע, תיק המוטבים של עמותת רווחה שקול לתיק מטופלים של קליניקה. אם המאגר כולל מידע על מצב בריאותי, נתוני רווחה, מצב סוציו-אקונומי או מידע על קטינים — הוא נכנס ל״מידע בעל רגישות מיוחדת״, ועמותה שמנהלת מאגר כזה מעל סף מסוים של בעלי הרשאה נדרשת לרמת אבטחה בינונית או גבוהה. המשמעות המעשית: בקרת גישה מבוססת הרשאות, תיעוד גישה למידע (לוגים), הצפנה, נוהל גיבוי, וחובת דיווח מיידית לרשות להגנת הפרטיות על ״אירוע אבטחה חמור״.

כאן נכנסת הבעיה הייחודית של הסקטור: המתנדבים. עמותות פועלות על תחלופה גבוהה של מתנדבים, ובפועל רבות מהן מנהלות גישה למידע רגיש דרך חשבון משותף אחד (״הסיסמה של המחשב במשרד״) או קובץ אקסל שעובר ביד. זו הפרה של עצם עקרון בקרת הגישה. מתנדב שעזב לפני חצי שנה עדיין יודע את הסיסמה, ואף אחד לא יודע מי צפה בתיק של מי. הפתרון אינו מסובך, אבל דורש משמעת:

  • חשבון אישי לכל מתנדב עם גישה למידע — לא חשבון משותף. גם בכלים חינמיים אפשר.
  • עיקרון המידור. מתנדב רואה רק את המידע שהוא צריך לתפקידו, לא את כל המאגר.
  • נוהל עזיבה (Offboarding) שמופעל ביום העזיבה. ברגע שמתנדב מסיים — משביתים את החשבון, מבטלים הרשאות, מחליפים סיסמאות משותפות אם היו. אותה משמעת שחלה על עובד שעוזב חלה גם על מתנדב.
  • מסמך חתום. כל מתנדב חותם על התחייבות לסודיות ולשמירת מידע לפני שהוא ניגש לתיק כלשהו.
החשבון המשותף הוא הפצצה השקטה שלכם

אם כל המתנדבים נכנסים למאגר עם אותו שם משתמש וסיסמה, אין לכם בקרת גישה — יש לכם דלת פתוחה. ברגע של אירוע לא תוכלו לדעת מי ניגש, מתי, ולמה; ובמקרה של פנייה מהרשות להגנת הפרטיות, היעדר לוגים ובקרת הרשאות הוא ממצא אכיפה בפני עצמו. זה הצעד הראשון שאנחנו מתקנים כמעט בכל עמותה שאנחנו פוגשים.

הונאות שמכוונות לתורמים — ולמותג שלכם

לצד הסיכון למידע, יש איום שפוגע ישירות בהכנסות ובאמון: הונאות שמנצלות את שם העמותה. הן מגיעות בשתי צורות עיקריות.

הראשונה היא הונאה על הגזבר (BEC). תוקף מתחזה למנכ״ל, ליו״ר או לספק ושולח לגזבר או למנהלת החשבונות מייל דחוף: ״תעבירי בבקשה את התשלום לספק החדש, הנה הפרטים״. בעמותות זה עובד טוב במיוחד, כי לרוב אין נוהל אימות תשלומים מסודר ויש רצון לרצות. זו בדיוק אותה הונאה שמפורטת במדריך שלנו על הונאת מנכ״ל והחלפת חשבונית (BEC) — ההגנה היא נוהל פשוט: כל שינוי בפרטי חשבון בנק או כל העברה חריגה מאומתים בשיחת טלפון למספר מוכר, לא בתשובה למייל.

השנייה, וזו כואבת יותר, היא שכפול של דף התרומות שלכם. בתקופות רגישות התופעה מתפרצת. בתחילת מלחמת חרבות ברזל, באוקטובר 2023, הוקם אתר תרומות מזויף שהתחזה לארגון איחוד הצלה — עם הלוגו של הארגון, טענה שהכספים נועדו לרכישת ציוד הצלה, ואפילו הודעות תורמים מזויפות שיצרו מראית עין של אמינות. הארגון נעזר בחברת סייבר כדי להוריד את האתר מהאוויר, אבל, כפי שהעריכו שם, כשמגלים אתר אחד כזה — יש בדרך כלל עוד כמה שמסתובבים ברשת. כל שקל שנגנב שם הוא שקל שלא הגיע אליכם, וגרוע מכך: תורם שנעקץ בשמכם עלול לאבד אמון בעמותה האמיתית.

ההגנה כאן היא שילוב של היגיינה וניטור: כתובת תרומה רשמית אחת וברורה שאתם מפרסמים בעקביות, אישור SSL תקין, ומעקב פשוט אחר דומיינים דומים לשלכם. חשוב לא פחות — תגובה מהירה: אם צץ אתר מזויף, פנייה מיידית לרשם הדומיינים ולפלטפורמה שמארחת אותו, והבהרה ציבורית לתורמים דרך הערוצים הרשמיים.

תוכנית אבטחה בתקציב אפס — לב המדריך

כאן הבשורה הטובה. בניגוד לתחושה הרווחת, רוב מה שעמותה צריכה כדי להגן על עצמה זמין בחינם או כמעט בחינם — דרך תוכניות ייעודיות של ענקיות התוכנה למגזר השלישי. נכון ל-2026, אלה הכלים המרכזיים שאימתנו:

תוכניתמה מקבליםלמי
Google for Nonprofitsמהדורת Google Workspace לעמותות ללא עלות (Gmail, Drive, Meet, Docs), עם אחסון משותף ואימות דו-שלבי מובנה; הנחות של עד ~83% על המהדורות המתקדמותעמותה רשומה שאושרה כזכאית (אימות דרך TechSoup)
Microsoft 365 for Nonprofitsמענק של Microsoft 365 Business Basic ללא עלות עד 300 מושבים (Teams, SharePoint, OneDrive, דוא״ל); הנחות של עד 75% על Business Premium ו-Standardעמותה זכאית — לתשומת לב: מענק ה-Business Premium החינמי הופסק וכעת Basic הוא ברירת המחדל
TechSoup ישראלפלטפורמת הנחות ותרומות תוכנה למגזר השלישי (Microsoft, Adobe ועוד), שער הזכאות לתוכניות Google ו-Microsoft; מופעלת בישראל ע״י קרן רש״יארגון ללא כוונת רווח שאומת ככזה

נקודה חשובה לגבי Microsoft: אם העמותה שלכם נהנתה בעבר ממענק חינמי של Business Premium — שימו לב שהוא הופסק, והרישיונות אינם מתחדשים בתאריך החידוש הבא. צריך להחליט מראש: לעבור למענק Business Basic החינמי (עד 300 מושבים) או לשלם 25% מהמחיר המלא כדי לשמר את Business Premium. אל תתגלו את זה ביום שהרישיון פג.

מעבר לכלים, יש ערך עצום בכלים חינמיים כלליים — מנהל סיסמאות, אימות דו-שלבי, גיבוי אוטומטי לענן. ריכזנו את ארגז הכלים הזה במדריך נפרד על כלי אבטחה חינמיים לעסק קטן, והוא רלוונטי לעמותה בדיוק כמו לעסק. הנקודה המרכזית: המחסום הוא כמעט אף פעם לא הכסף — הוא ההחלטה למנות אחראי ולהקצות כמה שעות בחודש.

אחריות הוועד — הממשל התאגידי של הדאטה

בעמותה, האחריות על ניהול המידע אינה מסתיימת אצל רכז המתנדבים — היא עולה עד לוועד המנהל. ממש כפי שהוועד אחראי על התקינות הכספית ועל הדיווח לרשם העמותות, כך הוא נושא באחריות ממשלית על ההגנה על מידע התורמים והמוטבים. תיקון 13 חידד את הנקודה הזו: האחריות המשפטית לאבטחה עברה מ״מנהל המאגר״ אל הארגון עצמו — כלומר אל העמותה ואל מי שמנהל אותה. ועד שמתייחס לאבטחת מידע כאל ״עניין טכני של המתנדבים״ מחשף את העמותה, ואת עצמו, לסיכון.

מגמה נוספת שכדאי לוועד להכיר: גופים תורמים ומעניקי מענקים מתחילים לשאול שאלות אבטחה. קרנות פילנתרופיות, גופים ממשלתיים ותורמים מוסדיים כוללים יותר ויותר סעיפי הגנת מידע ופרטיות בהסכמי המענק ובשאלוני הבדיקה. עמותה שאין לה תשובות מסודרות עלולה לגלות שהאבטחה החלשה שלה עולה לה כסף ממשי — לא בקנס, אלא במענק שלא אושר.

שקיפות מול פרטיות — לא לבלבל ביניהן

עמותות מחויבות בשקיפות ציבורית: דיווח לרשם העמותות ופרסום בגיידסטאר. אבל שקיפות פירושה חשיפת המידע הארגוני והכספי — לא חשיפת מידע אישי. פרטי תורמים בודדים, ובוודאי פרטי מוטבים, אינם ״מידע ציבורי״ ואסור שידלפו החוצה בשם השקיפות. שמרו על הקו: שקופים לגבי איך העמותה פועלת, אטומים לחלוטין לגבי מי מקבל ומי נותן.

כשקורה אירוע — המציאות של עמותה

לעמותה אין ״כרית תקציבית״ לספוג אירוע סייבר, והנזק הגדול ביותר הוא לרוב לא כספי אלא מוניטין מול התורמים. תורם שמגלה שפרטיו דלפו, או שהתיק הרגיש של יקירו נחשף, לא יתרום שוב — ולעיתים יספר לאחרים. לכן חשוב להפנים שני דברים. ראשית, החובות מהחוק חלות עליכם במלואן: אירוע אבטחה חמור מחייב דיווח מיידי לרשות להגנת הפרטיות, בדיוק כמו בכל ארגון, ואי-דיווח הוא הפרה בתעריף הגבוה ביותר. שנית, שווה להיערך מראש — לדעת מי מתקשר למי, מי מדבר עם התורמים, ומי מטפל בטכני — כי באמצע אירוע זה לא הזמן לאלתר.

העמוד למתנדב החדש

אחד הכלים הכי אפקטיביים ביחס לעלות שלו הוא עמוד אחד שכל מתנדב חדש מקבל, קורא וחותם עליו ביום ההצטרפות. הוא לא מחליף מדיניות, אבל הוא הופך את האבטחה למשהו שכל אחד בעמותה מבין. הוא צריך לכלול:

  1. התחייבות לסודיות — המידע על תורמים ומוטבים חסוי ואסור בשיתוף מחוץ לעמותה.
  2. כניסה בחשבון האישי בלבד — לא לשתף סיסמה, לא להשתמש בחשבון של מישהו אחר.
  3. הפעלת אימות דו-שלבי על החשבון.
  4. כלל הזהב מול פישינג — לא ללחוץ על קישורים חשודים ולא לאשר תשלומים לפי מייל בלבד.
  5. מה עושים כשמשהו נראה חשוד — למי פונים בעמותה, מיד.
  6. מה קורה כשעוזבים — הגישה תבוטל, וחובת הסודיות נשארת גם אחרי.

צ׳קליסט בתקציב אפס — לשבוע הקרוב

אם אתם מנהלים עמותה או יושבים בוועד, אלה הצעדים שאפשר להתחיל בהם השבוע — כמעט כולם בחינם:

צ׳קליסט תוכנית אבטחה בתקציב אפס לעמותה — עשרה צעדים מעשיים
צ׳קליסט Cybertis לתוכנית אבטחת מידע לעמותה — מבוסס תוכניות חינמיות ותקנות אבטחת מידע.
  1. מנו אחראי מידע. אדם אחד בעמותה (עובד או חבר ועד) שמחזיק את הנושא — לא בהכרח טכני, אבל אחראי.
  2. מפו את המאגרים. אילו רשימות תורמים ותיקי מוטבים יש לכם, איפה הם, ומי ניגש אליהם.
  3. סגרו את החשבון המשותף. חשבון אישי לכל מי שניגש למידע רגיש, עם הרשאות לפי צורך.
  4. הפעילו אימות דו-שלבי על כל חשבונות המייל, הענן והמערכות הפיננסיות.
  5. הגישו בקשה ל-Google for Nonprofits או Microsoft 365 for Nonprofits דרך TechSoup — כלי עבודה מאובטחים בחינם.
  6. הקימו נוהל אימות תשלומים. כל העברה חריגה או שינוי פרטי בנק — מאומתים בטלפון, לא במייל.
  7. החתימו כל מתנדב על עמוד הסודיות והאבטחה, וקבעו נוהל ביטול גישה ביום העזיבה.
  8. הפעילו גיבוי אוטומטי של המאגרים לענן, ובדקו שהשחזור עובד.
  9. קבעו כתובת תרומה רשמית אחת ופרסמו אותה בעקביות; עקבו אחר דומיינים מזויפים.
  10. דווחו על אבטחה לוועד — הפכו את זה לסעיף קבוע, כדי שהאחריות הממשלית תמומש בפועל.

השורה התחתונה

עמותה אינה יעד קטן יותר — היא לרוב יעד רך יותר, עם מידע רגיש בדיוק כמו של ארגון גדול ובלי ההגנות שלו. אבל דווקא כאן הפער בין ״לא מוגן״ ל״מוגן סביר״ נסגר בזול: תוכניות התוכנה למגזר השלישי נותנות לכם תשתית מאובטחת בחינם, והשאר הוא משמעת ותשומת לב ניהולית. תקציב האבטחה של אפס אינו תירוץ — הוא נקודת פתיחה. מה שחסר לרוב אינו כסף, אלא ההחלטה למנות אחראי, לסגור את החשבון המשותף, ולהתחיל.

Cybertis מלווה עמותות ומלכ״רים בבניית תוכנית אבטחה ופרטיות מותאמת למגזר השלישי — ממיפוי המאגרים ועמידה בתיקון 13, דרך ניצול התוכניות החינמיות של Google ו-Microsoft, ועד נהלים למתנדבים ולוועד. הפגישה הראשונה עלינו.

דברו איתנו על אבטחה לעמותה

*האמור במאמר זה הוא מידע כללי בלבד ואינו מהווה ייעוץ מקצועי או משפטי מחייב. חובות אבטחה ופרטיות תלויות באופי המאגר, ברגישות המידע ובהיקף הפעילות, ומחייבות בחינה פרטנית.*

תכנון מראש, לא תגובה בדיעבד

בואו נדבר על חוסן הסייבר של הארגון שלכם.

שיחת היכרות של 30 דקות עם בכיר/ה מהצוות שלנו. ללא מצגות מכירה וללא לחץ — רק תמונת מצב אמיתית של היכן אתם נמצאים ולאן כדאי להמשיך.

תגובה ראשוניתתוך 4 שעות
פגישת היכרותללא עלות וללא התחייבות
אופן ההתקשרותפרויקט נקודתי או התקשרות שוטפת
כתובת לאירוע פעילsoc@cybertis.co.il