דלגו לתוכן
אבטחה לעסק22 בינואר 202612 דק׳ קריאה

עובד עוזב — והחשבונות נשארים: צ׳קליסט אבטחה לעזיבת עובד

שלושה חודשים אחרי העזיבה, העובד עדיין אדמין בפייסבוק של העסק והחשבון שלו ב-CRM פעיל — לא מזדון, פשוט אף אחד לא כיבה את האורות. איפה מסתתרת הגישה הנשכחת (Shadow SaaS, סיסמאות משותפות, וואטסאפ עסקי), מה לומדים מהעיצום של 75 אלף ₪ על ביטוח לאומי, וצ׳קליסט עזיבה מלא בשלושה גלים: יום 0, יום 7 ויום 30 — כולל ההבדל בין עזיבה ידידותית לעוינת.

ר.ש
רותם שיינס · מנכ״ל ובעלים
מומחה אבטחת מידע ופרטיות · Cybertis · מעל 10 שנות ניסיון

ביום חמישי האחרון שלו בעבודה, יובל החזיר את הלפטופ, קיבל חיבוק מהצוות ועוגה מהמנהלת. שלושה חודשים אחר כך מגלים במקרה שהוא עדיין אדמין בעמוד הפייסבוק של העסק, שהחשבון שלו ב-CRM פעיל (עם כניסה אחרונה לפני שבועיים), שהמייל העסקי שלו ממשיך לקבל הזמנות מלקוחות — ושמנוי ה-Canva של כל מחלקת השיווק רשום על הכתובת הפרטית שלו. שום דבר זדוני לא קרה כאן. פשוט אף אחד לא כיבה את האורות. וזה בדיוק הסיפור של רוב העסקים הקטנים בישראל: תהליך קליטת עובד מסודר פחות או יותר — ותהליך עזיבה שמסתכם בהחזרת מחשב ועוגה.

למה זה עניין של אבטחת מידע, לא רק של משאבי אנוש

לפי דוח חקירות הפריצות של Verizon‏ (DBIR 2026), הגורם האנושי מעורב ב-62% מהפריצות, ופרטי הזדהות (Credentials) מופיעים בשלב כלשהו ב-39% מהפריצות. חשבון של עובד שעזב הוא בדיוק זה: פרטי הזדהות תקפים שאף אחד כבר לא משגיח עליהם. מנקודת המבט של תוקף — אין הבדל בין סיסמה גנובה לסיסמה של עובד לשעבר שאיש לא ביטל.

הגישה הנשכחת: איפה מסתתרים החשבונות שאף אחד לא זוכר

כשמנסים לענות על השאלה ״לְמה בדיוק יש ליובל גישה?״ ביום העזיבה, רוב העסקים מגלים שהם לא באמת יודעים. הגישה של עובד ותיק מתפזרת עם השנים לחמישה מקומות שרובם לא מופיעים בשום רשימה:

  • Shadow SaaS. כלים שהעובד פתח לבד לאורך הדרך — Canva, Trello, כלי AI, מערכת ניוזלטרים — לפעמים עם המייל העסקי, לפעמים עם הפרטי, וכמעט תמיד בלי שמישהו תיעד. אם המנוי רשום על כתובת פרטית, העסק אפילו לא יכול לאפס את הסיסמה.
  • סיסמאות משותפות. חשבון האינסטגרם של העסק, פורטל הספק, המשתמש ״משרד״ במחשב הקבלה. סיסמה משותפת שהעובד הכיר נשארת בראש שלו גם אחרי שהתג הוחזר — ואי אפשר ״לבטל״ את מה שמישהו זוכר.
  • מכשירים פרטיים. המייל העסקי מוגדר בטלפון האישי, קבצים סונכרנו ל-Drive פרטי ״כדי לעבוד מהבית״, WhatsApp Web מחובר במחשב הביתי. הציוד של החברה הוחזר; המידע של החברה — לא.
  • קבוצות וואטסאפ עסקיות. קבוצת הלקוחות, קבוצת הספקים, קבוצת הצוות — כולן מנוהלות מהמספר הפרטי של העובד. הוא עוזב, והקבוצות (וכל ההיסטוריה שבהן) הולכות איתו.
  • קשרי לקוחות. לקוחות שהתרגלו להתכתב ישירות עם הנייד הפרטי של איש המכירות ימשיכו לעשות את זה גם כשהוא כבר עובד אצל המתחרה. זה לא רק סיכון אבטחה — זה הכנסות שיוצאות מהדלת.

סיכון פנימי — בלי פרנויה, אבל בלי תמימות

נאמר את זה ברור: הרוב המוחלט של העובדים שעוזבים לא מתכננים שום דבר רע, ותהליך עזיבה מסודר הוא לא הבעת חוסר אמון — בדיוק כמו שנעילת המשרד בלילה היא לא האשמה של השכנים. אבל אי אפשר להתעלם ממה שגישה פנימית מאפשרת. באוגוסט 2025 הטילה הרשות להגנת הפרטיות עיצום כספי של 75,000 ₪ על המוסד לביטוח לאומי, אחרי שעובדת ניצלה את הרשאות הגישה שלה למטרות אישיות — 15 מקרים של עיון במידע ללא הרשאה. שימו לב: זו עובדת פעילה, במערכת מבוקרת, בארגון עם מערך אבטחה. עכשיו דמיינו את אותה גישה בידי עובד שכבר עזב, בעסק שאין בו שום ניטור.

ותרחיש העובד הממורמר הוא לא אגדה אורבנית: עובד שפוטר בנסיבות לא נעימות ויש לו עדיין VPN פעיל, סיסמת אדמין משותפת או גישה למאגר הלקוחות — הוא סיכון ממשי, גם אם הסבירות נמוכה. מחיקת קבצים, הורדת רשימת לקוחות למתחרה, או סתם ״להיכנס להציץ״ — כל אלה דורשים דבר אחד בלבד: גישה שלא בוטלה. התהליך שנבנה כאן לא מניח כוונות רעות; הוא פשוט לא משאיר את השאלה תלויה ברצון הטוב של אף אחד.

ציר הזמן: יום 0, יום 7, יום 30

עזיבה מסודרת היא לא פעולה אחת אלא תהליך בשלושה גלים. היום האחרון סוגר את הדלתות, השבוע הראשון מעביר את הבעלות, והחודש הראשון מוודא שבאמת לא נשאר כלום. הנה החלוקה המלאה:

ציר זמן עזיבת עובד: פעולות אבטחה ליום האחרון, לשבוע הראשון ולחודש הראשון
צ׳קליסט עזיבת עובד בשלושה גלים — יום 0, יום 7 ויום 30

יום 0 — היום האחרון (ובעדיפות: השעה האחרונה)

  1. השבתת החשבון המרכזי קודם כול. אם יש לכם SSO או ניהול זהויות מרכזי (Google Workspace / Microsoft 365) — השבתה אחת שם סוגרת עשרות דלתות בבת אחת. זו הפעולה הראשונה, לא האחרונה.
  2. ביטול Sessions פעילים וסיסמאות אפליקציה. השבתת חשבון לא מנתקת חיבורים קיימים: המייל בטלפון הפרטי ימשיך לעבוד עוד ימים אם לא מבטלים את ה-Sessions ואת ה-Tokens באופן יזום. ב-Google וב-Microsoft זו פעולה של שתי דקות — אם יודעים שצריך לעשות אותה.
  3. הסרת אמצעי MFA. מוחקים את המכשירים והאפליקציות של העובד מהגדרות האימות, כדי שלא יוכל לאשר כניסה עתידית או לשחזר גישה.
  4. ניתוק VPN וגישה מרחוק. חשבון VPN, גישת RDP, כלי תמיכה מרחוק — הכול נסגר ביום האחרון, לא ״כשנתפנה״.
  5. החלפת כל סיסמה משותפת שהעובד הכיר. רשתות חברתיות, פורטלי ספקים, ראוטר, מחשב הקבלה. על זה מרחיבים בהמשך — זו הסעיף שהכי הרבה עסקים מדלגים עליו.
  6. גישה פיזית. קוד האזעקה, קוד הדלת, מפתחות, תג כניסה, וגם הסרה מאפליקציית המצלמות אם הייתה לו גישה.
  7. בדיקת חוקי העברה (Forwarding). מוודאים שלא מוגדרת בתיבה העברה אוטומטית של מיילים לכתובת חיצונית — טריק ותיק שמחזיק גישה למידע גם אחרי שהחשבון ננעל.

יום 7 — העברת בעלות וסגירת קצוות

  • העברת בעלות על קבצים ותיבת המייל. קבצי Drive/OneDrive עוברים לבעלות מנהל או תיבה ייעודית; על תיבת המייל מגדירים מענה אוטומטי עם איש קשר חלופי והפניית פניות פנימה — לא מוחקים אותה עדיין.
  • הסרה מקבוצות ורשימות. קבוצות תפוצה, ערוצי Slack/Teams, קבוצות וואטסאפ עסקיות (כולל העברת ניהול הקבוצה למספר של העסק), הרשאות אדמין בעמודים חברתיים.
  • עדכון ספקים ולקוחות. מודיעים לספקים ולנקודות קשר קבועות שהעובד עזב ומי מחליף אותו — גם כדי לשמור על הקשר, וגם כדי שאף אחד לא ייתן שירות למי שכבר לא מוסמך לבקש אותו.
  • איסוף ציוד ומחיקת מידע ממכשירים פרטיים. לפטופ, טלפון, דיסקים חיצוניים, מפתחות חומרה; ואם העובד עבד מהטלפון הפרטי — מחיקה מרחוק של הפרופיל העסקי או לפחות ניתוק החשבון מכל המכשירים.
  • רישיונות ומנויים. מעבירים או משחררים רישיונות (Office, Adobe, כלי פיתוח) — גם חיסכון כספי, וגם ניקוי של חשבון רדום.

יום 30 — ביקורת וארכוב

  • סריקת יומני כניסה. עוברים על הלוגים של המערכות המרכזיות: היו ניסיונות כניסה לחשבון אחרי העזיבה? הורדות חריגות של קבצים בשבועות שלפניה? ברוב מערכות הענן המידע הזה זמין בכמה קליקים.
  • ארכוב לפי כללי שמירת מידע. תיבת המייל והקבצים עוברים לארכיון מסודר — לא נשארים ״חיים״ לנצח. זכרו שגם מידע על עובד לשעבר הוא מידע אישי לפי חוק הגנת הפרטיות: מאז כניסת תיקון 13 לתוקף ב-14.8.2025, החזקת מידע מעבר למטרה ולתקופה הנדרשת היא סיכון משפטי בפני עצמו. שומרים מה שנדרש (שכר, מסמכי העסקה — לפי חובות דין), ומוחקים את מה שלא. הרחבנו על גבולות המידע המותר למעסיק במאמר על פרטיות עובדים במקום העבודה.
  • סגירה סופית של החשבון. אחרי שההעברות הושלמו והארכיון קיים — מוחקים את החשבון או מעבירים אותו למצב ארכיון קבוע, ומורידים אותו מספירת הרישיונות.
  • הפקת לקחים לתהליך. גיליתם בדרך גישה שלא הופיעה בשום רשימה? מעדכנים את מלאי הגישות — כדי שבעזיבה הבאה היא כבר תהיה שם.

מלכודת החשבון המשותף

שווה לעצור על הנקודה הכואבת ביותר בכל התהליך: סיסמאות משותפות. חשבון אישי אפשר להשבית בלחיצה; סיסמה משותפת אי אפשר להשבית — אפשר רק להחליף. והיא לא נמצאת רק במערכת: היא בראש של העובד, בפתקית שצילם פעם, בקובץ ״סיסמאות.xlsx״ שסונכרן למחשב הביתי. לכן הכלל חד: כל סיסמה משותפת שהעובד נחשף אליה מוחלפת ביום העזיבה — בלי דיון על ״הוא בחור בסדר״. כדי שזה יהיה בכלל אפשרי, צריך לדעת אילו סיסמאות משותפות קיימות ומי חשוף לכל אחת — וזו בדיוק הסיבה שמנהל סיסמאות ארגוני עם Vaults משותפים הוא תנאי מקדים לעזיבה מסודרת: הוא גם רשימת המלאי וגם כלי ההחלפה. פירטנו איך בונים את זה במדריך ניהול הסיסמאות לעסק.

עזיבה מסודרת מתחילה ביום הקליטה

הנה האמת הפשוטה שמאחורי כל הצ׳קליסטים: אי אפשר לקחת בחזרה גישה שלא יודעים שנתתם. עסק שמנהל מלאי גישות — טבלה פשוטה של תפקיד ← מערכות ← רמת הרשאה — הופך את העזיבה מתחקיר בלשי לקריאת רשימה מהסוף להתחלה. בקליטה של עובד חדש נותנים גישות לפי תבנית התפקיד ומתעדים כל חריגה; במהלך ההעסקה כל גישה חדשה מתווספת לשורה שלו; ובעזיבה — עוברים על השורה ומוחקים. עשר דקות של תיעוד בקליטה חוסכות שבועיים של ניחושים בעזיבה.

תבנית מלאי גישות לפי תפקיד: מערכת, סוג הרשאה, אופן הזדהות ופעולת העזיבה הנדרשת
תבנית מלאי גישות — למלא בקליטה, לעדכן בשוטף, לקרוא מהסוף להתחלה בעזיבה

עזיבה רצונית מול עזיבה עוינת

לא כל עזיבה זהה, והתהליך צריך שני מצבים. בעזיבה רצונית וידידותית — התפטרות מתוכננת, סיום חוזה — ציר הזמן שתיארנו עובד כמו שהוא: יום 0 מתבצע ביום העבודה האחרון, בידיעת העובד, ואפשר אפילו לשתף אותו בהעברת הבעלות. בעזיבה עוינת — פיטורים בנסיבות רגישות, חשד לאי-אמינות, מעבר למתחרה ישיר — הסדר מתהפך: את פעולות יום 0 מבצעים במהלך שיחת הפיטורים, לא אחריה. גורם ה-IT מקבל הודעה מראש ומשבית את הגישות בזמן שהשיחה מתקיימת, כך שאין חלון שבו העובד יודע שהוא מפוטר ועדיין מחזיק גישה מלאה.

תקופת ההודעה המוקדמת היא נקודת התורפה

מהשטח: רוב אירועי הוצאת המידע לא קורים אחרי העזיבה אלא בשבועות שלפניה — עובד שכבר החליט לעזוב מוריד ״ליתר ביטחון״ את תיקיית הלקוחות, מעביר לעצמו מיילים חשובים, מייצא אנשי קשר. בתקופת הודעה מוקדמת של עובד עם גישה למידע רגיש, שווה להגביר ניטור על הורדות חריגות והעברות מייל החוצה — במסגרת מה שמדיניות ניטור חוקית מאפשרת. ואם מתגלה משהו חריג, מפעילים את תוכנית התגובה לאירוע — לא מנהלים את זה באלתור.

התבנית המלאה במבט אחד

מתיפעולות מרכזיותאחראי מוביל
לפני (בקליטה ובשוטף)מלאי גישות לפי תפקיד; תיעוד כל גישה חדשה; סיסמאות משותפות במנהל סיסמאות בלבדמנהל ישיר + IT
יום 0 — היום האחרוןהשבתת SSO ומייל; ביטול Sessions ו-Tokens; הסרת MFA; ניתוק VPN; החלפת כל סיסמה משותפת; קודים פיזיים; בדיקת ForwardingIT (בהתראה ממשאבי אנוש)
יום 7 — שבוע ראשוןהעברת בעלות על קבצים ותיבה; הסרה מקבוצות ומוואטסאפ; עדכון לקוחות וספקים; איסוף ציוד ומחיקת BYOD; שחרור רישיונותמנהל ישיר + IT
יום 30 — חודש ראשוןסריקת יומני כניסה והורדות; ארכוב מייל וקבצים לפי כללי שמירה; סגירת חשבון סופית; עדכון מלאי הגישותIT + ממונה פרטיות/אבטחה

מה עושים כבר השבוע

  1. בדקו את העבר. עברו על רשימת המשתמשים במערכות המרכזיות (מייל, CRM, הנהלת חשבונות) וחפשו חשבונות של עובדים שכבר עזבו. ברוב העסקים שבדקנו — מוצאים לפחות אחד.
  2. רשמו את הסיסמאות המשותפות. רשימה אחת של כל חשבון משותף בעסק ומי מכיר את הסיסמה שלו. זו התשתית להחלטה מה מחליפים בעזיבה הבאה.
  3. בנו מלאי גישות לתפקיד אחד. התחילו מהתפקיד הרגיש ביותר (מי שנוגע בכסף או במאגר הלקוחות) ומלאו את התבנית. השאר יבוא אחר כך.
  4. כתבו את עמוד יום 0. רשימת שבע הפעולות של היום האחרון, מותאמת למערכות שלכם, עם שם של מבצע לכל שורה.
  5. קבעו את הטריגר. החליטו רשמית: מי מודיע ל-IT על עזיבה, מתי, ובאיזה ערוץ. התהליך הכי טוב לא שווה כלום אם אף אחד לא יודע שצריך להפעיל אותו.

השורה התחתונה

עזיבת עובד היא אירוע צפוי לחלוטין — היא תקרה בכל עסק, כמה פעמים בשנה — ובכל זאת רוב העסקים מנהלים אותה כאילו הופתעו. ההבדל בין עסק חשוף לעסק מסודר הוא לא טכנולוגיה יקרה אלא שלושה דברים פשוטים: מלאי גישות שמתוחזק מיום הקליטה, צ׳קליסט יום 0/7/30 שמופעל אוטומטית בכל עזיבה, וכלל אחד שלא מתפשרים עליו — כל סיסמה משותפת מוחלפת. עובד טוב שעוזב ראוי לעוגה ולחיבוק; העסק שנשאר ראוי לכך שהדלתות ייסגרו אחריו.

לא בטוחים לְמה יש גישה למי אצלכם? במסגרת שירות CISO-as-a-Service, Cybertis בונה לעסקים תהליכי קליטה ועזיבה מסודרים — ממיפוי הגישות והסיסמאות המשותפות ועד נהלים שעובדים גם כשאין איש IT במשרה מלאה. שיחת ההיכרות עלינו.

לשירות CISO חיצוני לעסק

*האמור במאמר זה הוא מידע כללי בלבד ואינו מהווה ייעוץ משפטי או מקצועי מחייב. חובות שמירת מידע ומחיקתו, ניטור עובדים וסיום העסקה תלויים בנסיבות הספציפיות ומחייבים בחינה פרטנית.*

תכנון מראש, לא תגובה בדיעבד

בואו נדבר על חוסן הסייבר של הארגון שלכם.

שיחת היכרות של 30 דקות עם בכיר/ה מהצוות שלנו. ללא מצגות מכירה וללא לחץ — רק תמונת מצב אמיתית של היכן אתם נמצאים ולאן כדאי להמשיך.

תגובה ראשוניתתוך 4 שעות
פגישת היכרותללא עלות וללא התחייבות
אופן ההתקשרותפרויקט נקודתי או התקשרות שוטפת
כתובת לאירוע פעילsoc@cybertis.co.il