ארגז כלים חינמי: כלי אבטחה שכל עסק קטן יכול להפעיל היום
הצעדים הראשונים והמשמעותיים ביותר להגנה על עסק קטן לא עולים כלום — הם כבר מותקנים במערכות שאתם משלמים עליהן, או זמינים בחינם. ארגז כלים שלם לפי צורך: זהות, סיסמאות, ניטור דליפות, תחנות קצה, אימות דוא״ל ועוד — כולל התוכנית ל׳אחר צהריים אחד׳ להפעיל את הכול, והגבול הכן של מה שחינם לא מכסה.
רוב בעלי העסקים הקטנים שאנחנו פוגשים מתחילים את השיחה על אבטחת מידע באותה משפט: ״אין לי תקציב לזה עכשיו״. וההנחה שמתחבאת מאחורי המשפט הזה — שאבטחה טובה מתחילה בהמחאה שמנה לספק חיצוני — היא פשוט לא נכונה. האמת, שלא נעים למכור אבל חשוב לומר, היא שכמעט כל הצעדים הראשונים והמשמעותיים ביותר להגנה על עסק קטן לא עולים כלום. הם כבר מותקנים במערכות שאתם משלמים עליהן ממילא, או זמינים בחינם לגמרי. הפער האמיתי הוא לא כספי — הוא פער של ידיעה ועשייה: לדעת שהכלי קיים, ולהקדיש את שעת העבודה להפעיל אותו. במאמר הזה נעבור על ארגז כלים חינמי שלם, מסודר לפי צורך, כזה שכל עסק יכול להתחיל להפעיל היום — ונהיה כנים גם לגבי מה שחינם לא מכסה, וגם לגבי הרגע שבו שווה להתחיל לשלם.
רוב מתקפות הסייבר על עסקים קטנים אינן מתוחכמות — הן אוטומטיות והזדמנותיות. לפי דוח IBM Cost of a Data Breach 2025, פישינג הוא וקטור החדירה הנפוץ ביותר (מעורב ב-16% מהפריצות), ו-Verizon DBIR מצביע על כך שהגורם האנושי מעורב בכ-60% מהפריצות. מנגד, Microsoft פרסמה שהפעלת אימות רב-שלבי (MFA) חוסמת מעל 99.9% ממתקפות ההשתלטות על חשבונות. המסקנה: ההגנות הבסיסיות ביותר — שרובן חינמיות — עוצרות את הרוב המכריע של האיומים שעסק קטן באמת פוגש.
לפני שנצלול — הערה על מסגור. חינם זה לא ״זול״ ולא ״פחות טוב״. הרבה מהכלים שנציג הם בדיוק אותם כלים שארגונים גדולים משלמים עליהם, רק בשכבה הבסיסית. וכשמגיע הרגע להשקיע כסף בפועל, שווה לעשות את זה עם תמונה מלאה: פירקנו את השאלה הזו לפרטיה במאמר הנפרד כמה עולה אבטחת מידע לעסק קטן. כאן המיקוד הוא במה שאפשר לעשות בלי לפתוח את הארנק בכלל.

זהות: השכבה הכי חשובה — וכולה חינם
אם תעשו רק דבר אחד מכל המאמר הזה — שיהיה זה. הגנת הזהות, כלומר לוודא שרק האנשים הנכונים נכנסים לחשבונות שלכם, היא ההשקעה עם התשואה הגבוהה ביותר באבטחה — והיא לא עולה שקל. שני רכיבים:
- אימות רב-שלבי (MFA) מובנה. אם העסק שלכם עובד עם Microsoft 365 או Google Workspace — יש לכם MFA מובנה, כלול במנוי, שרק צריך להפעיל ולאכוף על כל המשתמשים. אל תסתפקו בהפעלה וולונטרית; הגדירו אכיפה ברמת הארגון. בדקנו את שתי ההגדרות האלה צעד-אחר-צעד במדריך הקשחת Microsoft 365 ובמדריך הקשחת Google Workspace.
- אפליקציית אימות חינמית. ה-MFA הטוב ביותר לא מגיע ב-SMS (שחשוף לחטיפת קו) אלא מאפליקציה. Microsoft Authenticator ו-Google Authenticator — שתיהן חינמיות לחלוטין ל-iOS ולאנדרואיד, תומכות בתקן TOTP ועובדות עם כל שירות כמעט (גם מול חשבונות שאינם של מיקרוסופט או גוגל). התקנה של חמש דקות לכל עובד.
אם המערכת מציעה רק אימות ב-SMS, הפעילו אותו — הוא עדיין עדיף בהרבה על סיסמה לבד. אבל דעו שהוא הצורה הפגיעה ביותר: חטיפת קו סלולרי (SIM swap) עוקפת אותו, ובנק ישראל מנה את ה-SIM swap בין שיטות ההונאה הבולטות ב-2024. במקום שאפשר — עברו לאפליקציית אימות.
סיסמאות: מנהל סיסמאות חינמי לכל העובדים
השאלה היא לא ״האם העובדים שלכם משתמשים בסיסמאות חלשות וחוזרות״ — אלא ״כמה״. הפתרון הוא מנהל סיסמאות, וכאן החדשות הטובות: Bitwarden מציעה תוכנית חינמית קבועה (לא ניסיון) שמספיקה לרוב מוחלט של המשתמשים היחידים. נכון ל-2026 היא כוללת אחסון בלתי מוגבל של סיסמאות, פתקים וכרטיסים, גישה ממספר בלתי מוגבל של מכשירים, מחולל סיסמאות, תוספי דפדפן ואפליקציות לכל הפלטפורמות, והצפנת קצה-לקצה בידע אפס. מה שלא כלול בחינם: שיתוף מאובטח בין חברי צוות, דוחות אבטחה מתקדמים וגישת חירום — אלה דורשים שדרוג בתשלום.
הדגש הכן: לניהול סיסמאות אישי לכל עובד — התוכנית החינמית של Bitwarden מצוינת ומספיקה. ברגע שתרצו כספת משותפת לצוות (למשל סיסמאות מערכת שכמה אנשים צריכים) — תעברו לתוכנית העסקית בתשלום, שעולה מעט. אבל אפשר בהחלט להתחיל חינם, לתת לכל עובד מנהל סיסמאות אישי כבר השבוע, ולשדרג רק כשהצורך המשותף מגיע.
ניטור דליפות: לבדוק אם כבר נחשפתם — חינם
Have I Been Pwned (HIBP) הוא השירות המוכר לבדיקת חשיפה בדליפות מידע, ונכון ל-9.7.2026 הוא כולל למעלה מ-17.6 מיליארד רשומות חשבונות שנפרצו מ-1,015 אתרים. הבדיקה הבסיסית — הקלדת כתובת מייל לראות אם היא הופיעה בדליפה — חינמית לגמרי. לעסק יש גם יכולת חיפוש לפי דומיין (Domain Search), שמאפשרת לראות אילו כתובות מייל בדומיין הארגוני שלכם נחשפו — אבל שימו לב לשינוי בתנאים: התוכנית החינמית מאפשרת כיום ניטור דומיין רק עד 10 כתובות שנחשפו בדליפות; מעבר לכך נדרש מנוי בתשלום, שמתומחר לפי היקף החשיפה. לעסק קטן זה לרוב מספיק כדי לקבל התרעה, ובמקרה הצורך לשדרג.
מציאת כתובת בדליפה לא אומרת שהעסק נפרץ — אבל אומרת שהסיסמה שהייתה מקושרת אליה כבר בידיים לא נכונות. הפעולה המיידית: החלפת הסיסמה בכל מקום שבו היא שימשה, והפעלת MFA על אותו חשבון. הרחבנו על התהליך המלא במדריך כך בודקים אם המייל והסיסמאות שלכם נחשפו.
תחנות קצה: ההגנה שכבר מותקנת אצלכם
כל מחשב Windows 10 ו-Windows 11 מגיע עם Microsoft Defender Antivirus מובנה וחינמי. וזו לא הגנה סמלית: בבדיקות AV-TEST העצמאיות Defender משיג באופן עקבי ציון מלא של 6.0/6.0 בהגנה, עם זיהוי של 100% מנוזקות נפוצות ומתקפות יום-אפס. באפריל 2026 מיקרוסופט אף עדכנה הנחיה רשמית שלפיה, לצרכני בית ולעסקים קטנים ללא צוות IT ייעודי, Defender בשילוב שאר הגנות Windows (SmartScreen, חומת אש מובנית) עונה על צרכי אבטחה בסיסיים.
המסגור הכן: Defender המובנה הוא אנטי-וירוס מצוין — אבל הוא לא EDR. הוא מגן על התחנה הבודדת, אך אינו נותן לכם ניהול מרכזי, ניטור חוצה-ארגון או יכולת חקירה ותגובה לאירוע. את השכבה הזו (Microsoft Defender for Endpoint וכלי EDR אחרים) מקבלים בתשלום. לעסק קטן שרק מתחיל — Defender המובנה, מעודכן ופעיל, הוא נקודת פתיחה טובה בהחלט. פשוט ודאו שהוא באמת דלוק ולא הושבת בטעות על ידי תוכנה אחרת.
עדכונים: ההגנה החינמית שהכי מזניחים
עדכון תוכנה אוטומטי הוא ההגנה החינמית שכולם מכירים וכמעט אף אחד לא אוכף. פגיעויות לא-מתוקנות הן וקטור חדירה מוביל — Verizon DBIR מצא שניצול פגיעויות כגישה ראשונית עלה ל-31% מהמקרים. הכלי החינמי כאן הוא פשוט הפעלת עדכונים אוטומטיים בכל מקום: מערכת ההפעלה (Windows Update / עדכוני macOS), הדפדפנים (מתעדכנים אוטומטית ברקע), הטלפונים, ובמיוחד — אם יש לכם אתר וורדפרס — התוספים והתבניות שבו, שהם מקור הפריצות הנפוץ ביותר. אין כאן מה לקנות; יש רק לוודא שההגדרה פועלת.
אימות דוא״ל: SPF, DKIM ו-DMARC — חינם, ומונע התחזות
שלושת התקנים SPF, DKIM ו-DMARC קובעים מי רשאי לשלוח מייל בשם הדומיין שלכם — ובכך מונעים מתוקפים להתחזות לעסק שלכם מול לקוחות וספקים (וקטור מרכזי בהונאות BEC והחלפת חשבונית). הגדרתם היא רשומות DNS, ולא עולה דבר מעבר לזמן ההגדרה. הבעיה המוכרת: אחרי שמפעילים DMARC, מגיעים דוחות XML שאי אפשר לקרוא בעין. כאן נכנסים מציגי דוחות DMARC חינמיים — למשל השירות החינמי של Postmark (dmarc.postmarkapp.com), שאינו דורש להיות לקוח משלם והופך את דוחות ה-XML הטכניים לתקצירי מייל קריאים. חלופות חינמיות נוספות כוללות את התוכנית האישית של dmarcian ואת ניהול ה-DMARC החינמי של Cloudflare למי שמנהל שם את ה-DNS.
רשת ואתר: מהראוטר ועד Cloudflare
בצד הרשת, ההגנות הבסיסיות חינמיות ורק דורשות תשומת לב: שינוי סיסמת הניהול של הראוטר מברירת המחדל, החלפת סיסמת ה-Wi-Fi לחזקה עם WPA2/WPA3, והפרדת רשת אורחים מרשת העסק. אלה הגדרות, לא רכישות.
אם לעסק יש אתר, Cloudflare מציעה תוכנית חינמית קבועה שנותנת שכבת הגנה אמיתית: SSL אוניברסלי חינמי (הצפנת התעבורה בין האתר למבקרים), הגנת DDoS בלתי-מדודה ותמידית, ו-WAF בסיסי עם חוקים מנוהלים שחוסמים מתקפות נפוצות כמו SQL injection ו-XSS. מה שלא כלול בחינם: חוקי WAF מותאמים אישית, יותר מ-5 Page Rules ותכונות מתקדמות — אלה בתוכניות בתשלום. אבל השכבה החינמית לבדה משדרגת משמעותית את עמידות אתר של עסק קטן.
גיבוי: כאן החינם מגיע עם כוכבית
גיבוי הוא הנושא שבו אנחנו הכי מקפידים להיות כנים. יש אפשרויות מובנות חינמיות — File History ב-Windows, Time Machine ב-Mac, וגיבוי בסיסי בשירותי הענן שכבר משלמים עליהם (OneDrive, Google Drive). אבל גיבוי אמיתי — כזה ששורד מתקפת כופרה — כמעט תמיד עולה קצת כסף. הסיבה: כופרה מצפינה גם את הקבצים המסונכרנים לענן, ולכן אתם צריכים עותק שהתוקף לא יכול להגיע אליו — נפרד, לא מחובר תמידית (offline/immutable), ועם היסטוריית גרסאות. את זה כלי החינם המובנים לרוב לא נותנים במלואו. אפשר להתחיל בחינם עם מה שיש, אבל אל תספרו את הגיבוי כ׳מטופל׳ עד שיש לכם עותק מנותק שנבדק ששחזור ממנו באמת עובד.
הדרכה ומודעות: חומרים חינמיים בעברית מהמדינה
העובדים הם קו ההגנה הראשון, ומודעות עולה זמן — לא כסף. מערך הסייבר הלאומי מפרסם דרך gov.il חומרי הדרכה חינמיים לעובדים בעברית: ערכת הדרכה מלאה (חוברת ומצגות), וקורס מקוון ״יסודות ההגנה בסייבר״. בנוסף, מסמך ״תורת ההגנה בסייבר לארגונים״ של המערך זמין בחינם לכל ארגון במשק ומיושר לתקני ISO ו-NIST. את החומרים האלה אפשר לקחת ולבנות סביבם תוכנית מודעות פשוטה שמריצים בעצמכם — בלי לשלם לספק חיצוני. הסברנו איך בונים כזו במדריך תוכנית מודעות אבטחה שעובדים לא שונאים.
סריקה ובדיקת חשיפה: כלים חינמיים לבדיקת האתר
אפשר לבדוק חינם עד כמה האתר או השרת שלכם חשופים, בעזרת כלים ציבוריים ומוכרים:
- SSL Labs (Qualys) — בדיקה מקיפה וחינמית של איכות ה-SSL/TLS של השרת: תקינות שרשרת האישור, גרסאות פרוטוקול, ופגיעויות ידועות. נותן ציון מאות ל-A+.
- Mozilla HTTP Observatory — בודק חינם ובלי מגבלת שימוש את כותרות האבטחה (Security Headers) של האתר — CSP, HSTS, דגלי עוגיות — עם המלצות מעשיות לתיקון.
- securityheaders.com — נותן ציון-אות לכותרות האבטחה תוך שניות. הערה ל-2026: ה-API האוטומטי שלו צפוי להיסגר באפריל 2026, אך סורק האתר החינמי אמור להישאר זמין.
- החומרים והכלים של מערך הסייבר — לצד ההדרכה, המערך מספק לארגונים בישראל מגוון כלים והנחיות מקצועיות להערכת חוסן והגנה, בחינם.
מה שחינם לא מכסה — הגבול הכן
עד כאן החדשות הטובות. עכשיו הגבול. ארגז הכלים החינמי בונה לכם הגנה מצוינת — אבל יש דבר אחד מהותי שהוא כמעט אף פעם לא כולל: מישהו שמסתכל. כלי חינם מותקנים, פועלים ומייצרים לוגים — אבל אף אחד לא צופה בהם 24/7, אף אחד לא מזהה שהתחיל אירוע בשתיים בלילה, ואף אחד לא יודע להגיב בזמן אמת. ניטור מתמשך (SOC), זיהוי ותגובה מנוהלים (MDR) וטיפול באירוע בפועל — אלה שירותים שדורשים אנשים, וכסף. הגבול הכן: חינם מוריד דרמטית את הסיכוי להיפרץ; הוא לא נותן לכם עין שמזהה פריצה שכן קרתה, ולא יד שמכבה את השרפה. ברגע שהעסק מגיע לנקודה שבה נזק מפריצה יהיה משמעותי — זה הרגע שבו תשלום הופך מהשקעה נבונה לחובה.
התוכנית ל׳אחר צהריים אחד׳
כל הכלים שלמעלה ניתנים להפעלה בסדר הזה, בישיבה אחת של כמה שעות. אם תעשו רק את זה — כיסיתם את רוב הסיכון:

- הפעילו ואכפו MFA על Microsoft 365 / Google Workspace לכל המשתמשים, והתקינו אפליקציית אימות חינמית לכל עובד.
- התקינו מנהל סיסמאות — Bitwarden בתוכנית החינמית — לכל עובד, והתחילו להחליף סיסמאות חוזרות.
- בדקו חשיפה ב-Have I Been Pwned: כתובות המפתח והדומיין הארגוני; החליפו כל סיסמה שנחשפה.
- ודאו ש-Microsoft Defender דלוק בכל תחנה, ושעדכונים אוטומטיים פעילים — מערכת הפעלה, דפדפנים, טלפונים ואתר וורדפרס.
- הגדירו SPF, DKIM ו-DMARC לדומיין, וחברו מציג דוחות DMARC חינמי (Postmark).
- הקשיחו את הראוטר — סיסמת ניהול, WPA2/WPA3, רשת אורחים נפרדת; ואם יש אתר, הפעילו את התוכנית החינמית של Cloudflare.
- התחילו גיבוי עם הכלים המובנים — אבל סמנו לעצמכם משימה להוסיף עותק מנותק אמיתי בהמשך.
- הריצו הדרכת מודעות מהחומרים החינמיים של מערך הסייבר, ובדקו את חשיפת האתר ב-SSL Labs וב-Mozilla Observatory.
השורה התחתונה
העלות אף פעם לא הייתה החסם האמיתי לאבטחת מידע בעסק קטן. הכלים החזקים ביותר — MFA, מנהל סיסמאות, ניטור דליפות, אנטי-וירוס, עדכונים, אימות דוא״ל, הגנת אתר והדרכת עובדים — קיימים בחינם, וברובם כבר מותקנים במערכות שאתם משלמים עליהן. מה שנדרש הוא לדעת שהם קיימים, ולהקדיש את אחר הצהריים האחד להפעיל אותם. ומתישהו, כשהעסק גדל והסיכון עולה, יגיע גם הרגע לשלב את השכבה שחינם לא נותן — עין שמנטרת ויד שמגיבה. עד אז, אין שום סיבה להשאיר את ארגז הכלים החינמי סגור.
רוצים לדעת אילו מהכלים כבר מותקנים אצלכם, מה חסר, ומאיפה נכון להתחיל? סקר הסיכונים של Cybertis נותן תמונת מצב ראשונית ומיפוי פערים מהיר — בלי עלות ובלי התחייבות. הפגישה הראשונה עלינו.
לסקר סיכונים ומיפוי פערים*האמור במאמר זה הוא מידע כללי בלבד ואינו מהווה ייעוץ מקצועי מחייב. סטטוס התוכניות החינמיות של הכלים המוזכרים נכון למועד הפרסום ועשוי להשתנות; יש לוודא את התנאים העדכניים מול הספק. יישום בפועל תלוי במאפייני הארגון ומחייב בחינה פרטנית.*