תוכנית תגובה לאירוע סייבר לעסק קטן: מי מתקשר למי ב-2 בלילה
באירוע אמיתי אין זמן לפתוח קלסר של 40 עמודים — צריך עמוד אחד מודפס שעונה על שלוש שאלות: מי מחליט, למי מתקשרים ומה עושים בעשר הדקות הראשונות. שישה שלבי התגובה בתרגום לעסק קטן, כרטיס אנשי הקשר המלא (כולל מוקד 119 והדיווח המיידי לרשות להגנת הפרטיות), ספי החלטה — ותרגיל שולחני של 45 דקות שיגלה לכם את החורים לפני התוקפים.
יום שלישי, 02:14 בלילה. הטלפון מצלצל. עובד המשמרת מודיע שהמערכת לא עולה, שעל המסך יש הודעה באנגלית עם כתובת ביטקוין, ושהוא ״לא בטוח מה ללחוץ״. ועכשיו, בזמן אמת, צריך לענות על סדרת שאלות: מנתקים את השרת מהרשת או משאירים? מי מתקשר לספק ה-IT — ולמי בכלל יש את המספר שלו? יש לנו ביטוח סייבר? מה אומרים ללקוח הגדול שאמור לקבל משלוח בבוקר? רוב העסקים הקטנים עונים על השאלות האלה בפעם הראשונה בשעה שתיים בלילה, בלחץ, בלי קפה. תוכנית תגובה לאירוע (Incident Response Plan) היא בסך הכול ההחלטה לענות עליהן מראש — על עמוד אחד.
מסמך קצר שקובע מראש: מי מנהל את האירוע, למי מתקשרים ובאיזה סדר, מתי מנתקים מערכות, למי מדווחים על פי חוק ומי מדבר עם לקוחות ותקשורת. המסגרות המקצועיות המקובלות בעולם (NIST ו-SANS) מגדירות שישה שלבים למחזור חיים של אירוע: היערכות, זיהוי, בלימה, מיגור, התאוששות והפקת לקחים. החדשות הטובות: את כל השישה אפשר לתרגם לעסק של חמישה עובדים — בלי אף ראש תיבות נוסף.
למה עמוד אחד מנצח קלסר של 40 עמודים
בתאגידים גדולים תוכנית התגובה היא מסמך עב-כרס: נספחים, מטריצות אחריות, תרשימי זרימה. יש לזה סיבה — וגם מחיר. מניסיוננו בליווי עסקים קטנים, קלסר של 40 עמודים שנכתב בשביל מבקר או מבטח הוא מסמך שאיש לא פותח, בטח לא ברגע האמת. בשתיים בלילה אף אחד לא קורא את פרק 7.3. מה שכן עובד: עמוד אחד מודפס, תלוי במשרד ושמור גם בבית של בעל העסק, שעונה על שלוש שאלות בלבד — מי מחליט, למי מתקשרים, ומה עושים בעשר הדקות הראשונות.
יש עוד סיבה שהעמוד חייב להיות מודפס: באירוע אמיתי ייתכן שהשרת מוצפן, המייל לא נגיש ו-Google Drive מנותק. תוכנית תגובה ששמורה רק במערכת שנפגעה שווה בדיוק כמו מטף שנעול בתוך הרכב הבוער. ולמה זה דחוף? לפי דוח Cost of a Data Breach של IBM לשנת 2025, משך החיים הממוצע של אירוע דלף עומד על 241 ימים — מתוכם 181 ימים רק כדי לזהות שמשהו קרה. עסק שיודע מראש איך נראה אירוע ומי אחראי להכריז עליו מקצר את החלק הכי יקר בציר הזמן.
שישה שלבים — בתרגום לעסק של חמישה עובדים

| שלב | בשפת הספר | בעסק שלכם |
|---|---|---|
| 1. היערכות | מדיניות, נהלים, כלים והדרכות | כרטיס אנשי קשר מודפס, גיבוי שנבדק, MFA על כל חשבון קריטי, ותרגיל של 45 דקות פעמיים בשנה |
| 2. זיהוי | ניטור, טריאז׳ והכרזה על אירוע | כל עובד יודע למי מדווחים על משהו חשוד, ואדם אחד מוסמך להגיד ״זה אירוע״ — גם בלילה |
| 3. בלימה | בידוד מערכות ומניעת התפשטות | לנתק את המחשב הנגוע מהרשת ומה-Wi-Fi — לא לכבות אותו — ולהחליף סיסמאות לחשבונות קריטיים |
| 4. מיגור | הסרת הגורם העוין וסגירת נקודת הכניסה | כאן נכנסים המומחים: ספק ה-IT ויועץ הסייבר מאתרים איך נכנסו וסוגרים את הדלת — לא מפרמטים ״כדי שיעבוד״ |
| 5. התאוששות | החזרה מדורגת לפעילות תחת ניטור | שחזור מגיבוי נקי, מערכת אחר מערכת, רק אחרי שנקודת הכניסה נסגרה — ומעקב צמוד בימים שאחרי |
| 6. הפקת לקחים | תחקיר ועדכון התוכנית | פגישה של חצי שעה תוך שבוע: מה עבד, מה חסר בכרטיס אנשי הקשר, ומה משנים — ואז מעדכנים את העמוד |
שימו לב לנקודה אחת בשלב הזיהוי: ההחלטה ״זה אירוע״ היא ההחלטה הכי חשובה בכל התהליך, ובעסקים קטנים היא מתעכבת כי אף אחד לא רוצה להיות זה שהקפיץ את כולם בגלל שטות. הפתרון הוא לקבוע מראש שעדיף התרעת שווא אחת לחודש מאשר תוקף שמסתובב ברשת חודשיים. אם אתם לא בטוחים איך נראים סימני פריצה, הכנו רשימה של שמונה סימנים מקדימים ששווה להכיר לפני, לא אחרי.
כרטיס אנשי הקשר: הנכס האמיתי של התוכנית
אם תיקחו מהמאמר הזה דבר אחד — שיהיה זה כרטיס אנשי הקשר. גם בעסק של חמישה עובדים יש תפקידים פנימיים, גם אם אדם אחד לובש שני כובעים: מנהל האירוע (בדרך כלל בעל העסק או המנכ״ל — מקבל את ההחלטות ומאשר כל צעד), המתעד (רושם זמנים, צילומי מסך ומי עשה מה — התיעוד הזה שווה זהב מול המבטח והרגולטור), והדובר (האדם היחיד שמדבר עם לקוחות, ספקים ותקשורת). ומסביבם — המעגל החיצוני:
- ספק ה-IT — מספר חירום ישיר, לא מוקד שירות שעונה בתשע בבוקר. בררו מראש: האם יש לו זמינות 24/7, ומה קורה אם האירוע בשישי בערב?
- יועץ סייבר / צוות תגובה (IR) — הגורם שיודע לאתר נקודת כניסה, להוציא תוקף מהרשת ולנהל שחזור. את ההיכרות עושים לפני האירוע, לא במהלכו.
- מוקד החירום של מבטח הסייבר — אם יש לכם פוליסת סייבר, למבטח יש מוקד ייעודי, ובמקרים רבים יידוע מוקדם הוא תנאי לכיסוי. המספר צריך להיות על הכרטיס, לא ״אצל רואה החשבון״.
- עורך דין — מלווה את חובות הדיווח, את ניסוח ההודעות ללקוחות ואת ההתנהלות מול רשויות. באירוע עם מידע אישי, הוא בשיחה השנייה — לא החמישית.
- מערך הסייבר הלאומי — מוקד 119 — מוקד הדיווח והסיוע הלאומי, פועל 24/7 וללא תשלום. ב-2025 טיפל המוקד בכ-26.5 אלף דיווחים — עלייה של 55% לעומת השנה הקודמת. הם ראו את התרחיש שלכם, כנראה כבר השבוע.
- הרשות להגנת הפרטיות — אם נחשף מידע אישי, ייתכן שחלה עליכם חובת דיווח על פי דין (פירוט בהמשך).

לפי תקנות הגנת הפרטיות (אבטחת מידע), התשע״ז-2017, מאגר מידע ברמת אבטחה בינונית או גבוהה חייב לדווח לרשות להגנת הפרטיות על אירוע אבטחה חמור באופן מיידי עם גילויו, וכן על הצעדים שננקטו בעקבותיו. מאז כניסת תיקון 13 לתוקף ב-14.8.2025, אי-דיווח על אירוע חמור מדורג ברף העיצומים הגבוה: 80,000 ₪ למאגר ברמה בינונית ו-320,000 ₪ למאגר ברמה גבוהה. פרטים מלאים על מי חייב, מה נחשב אירוע חמור ואיך מדווחים — במדריך הדיווח שלנו.
ספי החלטה: לקבוע עכשיו, לא בשתיים בלילה
החלטות קשות מתקבלות רע תחת לחץ. לכן חלק מהתוכנית הוא ספי החלטה — כללים פשוטים שהוחלטו מראש בשקט של יום עבודה רגיל:
- מתי מנתקים מהרשת? ברגע שיש סימן להצפנה, הודעת כופר, או פעילות חריגה במספר מחשבים — מנתקים מיד את המחשבים החשודים מהרשת ומה-Wi-Fi. לא מחכים לאישור, לא ״עוד נבדוק בבוקר״. וכלל ברזל: מנתקים — לא מכבים. כיבוי מוחק ראיות מהזיכרון שצוות התגובה יצטרך.
- מתי מיידעים את המבטח? מוקדם ככל האפשר. בפוליסות סייבר רבות יידוע מוקדם הוא תנאי לכיסוי, וחלק מהמבטחים דורשים לאשר מראש את ספקי התגובה שיעבדו באירוע. פנייה עצמאית לספקים בלי יידוע המבטח עלולה לסבך את התביעה.
- מתי מערבים משטרה? כשיש סחיטה, גניבת כספים או הונאת העברה בנקאית (BEC) — מגישים תלונה. גם כשנראה שאין למשטרה מה לעשות טכנית, אישור הגשת התלונה נדרש לעיתים לתביעת הביטוח ולהליכים מול הבנק. במקרה של הונאת מנכ״ל או חשבונית מזויפת — גם לבנק, מיד, כי לפעמים אפשר עוד לעצור העברה.
- האם משלמים כופר? את הדיון הזה עושים עכשיו, לא מול טיימר של תוקפים. לפי דוח Verizon DBIR 2025, 64% מהארגונים שנפגעו מכופרה לא שילמו — ותשלום גם לא מבטיח שחזור. ההחלטה בפועל תתקבל עם יועץ הסייבר, עורך הדין והמבטח, אבל עמדת המוצא שלכם צריכה להיות כתובה בתוכנית.
תקשורת: קול אחד, לא מקהלה
באירוע אמיתי הטלפונים לא מפסיקים: לקוחות שואלים למה המערכת למטה, עובדים מתכתבים בקבוצות וואטסאפ, ולפעמים גם עיתונאי מתקשר. הכלל: אדם אחד מדבר, כל השאר מפנים אליו. ללקוחות עונים בכנות ובלי ספקולציות — ״אנחנו מטפלים בתקלה אבטחתית, מערכות מושבתות באופן יזום, נעדכן עד השעה X״ עדיף בהרבה על שתיקה או הכחשה שתתפרק אחר כך. לעובדים מגדירים מראש: לא משתפים פרטים ברשתות ובקבוצות, כולל ״סתם סטורי״. ומול תקשורת — רק הדובר שנקבע, ורק אחרי תיאום עם עורך הדין. עסקים לא נשפטים רק על עצם האירוע, אלא בעיקר על האופן שבו תקשרו אותו.
תרגיל שולחני: 45 דקות, פעמיים בשנה
תוכנית שלא תורגלה היא נייר. תרגיל שולחני (Tabletop) הוא הדרך הזולה ביותר לגלות את החורים — בלי להשבית שום מערכת. ככה מריצים אותו בעסק קטן:
- דקות 0–5 — התרחיש. מנהל האירוע מקריא תרחיש קצר שהוכן מראש: ״יום רביעי 07:30, מנהלת המשרד מדווחת שכל הקבצים בכונן המשותף קיבלו סיומת מוזרה ויש קובץ README על שולחן העבודה.״
- דקות 5–25 — הריצה. עוברים על התרחיש שלב-שלב עם כרטיס אנשי הקשר ביד: מי מזהה? מי מכריז? מה מנתקים? למי מתקשרים ראשון? כל תשובה חייבת שם ספציפי — ״מישהו מה-IT״ זו לא תשובה.
- דקות 25–35 — הפערים. רושמים כל נקודה שבה נתקעתם: מספר טלפון חסר, אי-ודאות לגבי הגיבוי, אף אחד לא יודע אם יש ביטוח סייבר ומה הוא מכסה.
- דקות 35–45 — משימות. כל פער הופך למשימה עם אחראי ותאריך. מעדכנים את העמוד ומדפיסים גרסה חדשה.
פעמיים בשנה, מחליפים תרחיש: פעם כופרה, פעם הונאת חשבונית, פעם לפטופ שנגנב עם קובצי לקוחות. אחרי שלושה-ארבעה תרגילים תגלו שהצוות עונה על השאלות בלי להציץ בדף — וזו בדיוק המטרה.
בדיקה פשוטה שאנחנו עושים אצל לקוחות חדשים: ״תראו לי את תוכנית התגובה שלכם — בלי לפתוח מחשב.״ אם התשובה היא חיפוש בדרייב, התוכנית לא תשרוד אירוע אמיתי. עותק מודפס במשרד, עותק בבית של בעל העסק, ותמונה של כרטיס אנשי הקשר בטלפון של כל חברי הצוות — זה כל הסוד. ואל תשכחו לעדכן אותו כשמחליפים ספק IT: כרטיס עם מספר של ספק שכבר לא עובד איתכם גרוע ממש כמו כרטיס שלא קיים.
שלד התוכנית — להעתיק ולמלא
זה כל מה שצריך להיות על העמוד. אם זה לא נכנס בעמוד אחד — קיצצתם מעט מדי:
- הכרזה: מי מוסמך להכריז על אירוע (שם + מחליף), ומה מספיק כדי להכריז — ״בספק? מכריזים.״
- תפקידים: מנהל אירוע, מתעד, דובר — שמות וטלפונים, כולל מחליפים.
- עשר הדקות הראשונות: לנתק מהרשת (לא לכבות), לצלם ולתעד, להתקשר למנהל האירוע.
- כרטיס אנשי קשר: ספק IT (מספר חירום), יועץ סייבר/IR, מוקד המבטח + מספר פוליסה, עורך דין, מוקד 119 של מערך הסייבר, טופס הדיווח של הרשות להגנת הפרטיות.
- ספי החלטה: מתי מנתקים, מתי מיידעים מבטח ומשטרה, עמדת המוצא לגבי כופר.
- דיווחים על פי דין: האם המאגרים שלנו ברמת אבטחה בינונית/גבוהה, ומי אחראי לדיווח המיידי לרשות אם נחשף מידע אישי.
- תקשורת: מי הדובר, נוסח ראשוני ללקוחות, כלל ״אף אחד לא מפרסם כלום״.
- אחרי האירוע: פגישת לקחים תוך שבוע, עדכון העמוד, תיאום תרגיל הבא.
מה לעשות השבוע
- פתחו מסמך של עמוד אחד לפי השלד שלמעלה — שעה של עבודה, לא יותר.
- אספו את המספרים החסרים: מספר החירום של ספק ה-IT, מוקד המבטח ומספר הפוליסה, עורך הדין. מה שאין — סמנו כפער.
- קבעו את שלושת בעלי התפקידים הפנימיים (מנהל אירוע, מתעד, דובר) ומחליף לכל אחד.
- בררו לאיזו רמת אבטחה משתייכים מאגרי המידע שלכם — זה קובע את חובת הדיווח המיידי לרשות להגנת הפרטיות.
- הדפיסו שלושה עותקים: משרד, בית, ותמונה בטלפון של כל אחד מהצוות.
- קבעו ביומן תרגיל שולחני ראשון של 45 דקות בתוך חודש — ותרגיל שני בעוד חצי שנה.
ההבדל בין עסק שקורס מאירוע סייבר לעסק שסופג ומתאושש הוא כמעט אף פעם לא הטכנולוגיה — הוא עשר הדקות הראשונות. עסק שיודע מי מחליט, מי מתקשר למי ומה לא עושים, חוסך לעצמו את הטעויות היקרות: הכיבוי שמחק ראיות, הפרמוט שסגר את האפשרות לשחזר, ההודעה הלחוצה ללקוחות שהפכה תקלה לסיפור. את כל זה קונים בעמוד אחד ובשעה וחצי של תרגול בשנה.
Cybertis בונה עם עסקים קטנים ובינוניים תוכניות תגובה שעובדות במציאות — כולל כרטיס אנשי קשר, ספי החלטה מותאמים לעסק, מיפוי חובות הדיווח והנחיית תרגילים שולחניים. שירות CISO-as-a-Service נותן לכם כתובת מקצועית אחת — גם בשתיים בלילה.
לשירות CISO חיצוני לעסק*האמור במאמר זה הוא מידע כללי בלבד ואינו מהווה ייעוץ משפטי או מקצועי מחייב. חובות הדיווח ותוכנית התגובה המתאימה תלויות במאפייני העסק, בסוגי המידע שהוא מחזיק וברמת האבטחה של מאגריו, ומחייבות בחינה פרטנית.*
תגובה לאירועי סייבר
שם תוך שעות — לזיהוי, הכלה, החזרת פעילות ולסגירת הפרצה.
לעמוד השירות המלא