דלגו לתוכן
אבטחה לעסק1 במאי 202610 דק׳ קריאה

מבדק חדירה לעסק: מתי צריך, כמה עולה, ומה מקבלים בדוח

סריקה אוטומטית זולה איננה מבדק חדירה — וההבדל הזה עולה לעסקים כסף וחשיפה. מתי מבדק חדירה נדרש בישראל (מאגר ברמה גבוהה — חובה כל 18 חודשים בתקנות אבטחת מידע), מתי הוא מוקדם מדי, כמה זה עולה באמת, איך בוחרים ספק, ומה חייב להופיע בדוח כדי שיהיה שווה את הכסף.

ר.ש
רותם שיינס · מנכ״ל ובעלים
מומחה אבטחת מידע ופרטיות · Cybertis · מעל 10 שנות ניסיון

לקוח אנטרפרייז מתעקש על ״Penetration Test עדכני״ כתנאי לחתימה. יועץ הביטוח שאל אם יש לכם ״מבדק חדירה בתוקף״. וספק סריקה אוטומטית שלח מייל ובו ״דוח פנטסט מלא״ תמורת 900 שקל. שלושתם השתמשו באותו מונח — ומתכוונים לשלושה דברים שונים לגמרי. מבדק חדירה (Penetration Test, בקיצור Pentest) הוא אחד הכלים המוערכים והכי לא-מובנים באבטחת מידע: חלק מהעסקים משלמים עליו כשאין להם צורך, וחלק מפספסים חובה חוקית שכבר חלה עליהם. במדריך הזה נסדר את הבלגן — מה מבדק חדירה כן, מה הוא לא, מתי הוא נדרש בישראל (כולל חובה בתקנות), מתי הוא מוקדם מדי, כמה זה עולה באמת, ומה חייב להופיע בדוח כדי שיהיה שווה את הכסף.

רגע, מה זה בכלל מבדק חדירה?

מבדק חדירה הוא ניסיון מבוקר ומורשה לפרוץ למערכת שלכם — בדיוק כמו שתוקף אמיתי היה מנסה — כדי לגלות אילו חולשות ניתנות באמת לניצול, ומה תוקף יכול להשיג דרכן. בניגוד לסריקה אוטומטית שמדפיסה רשימת פגיעויות תיאורטיות, בודק אנושי (Ethical Hacker) משרשר חולשות זו לזו, מנסה לעקוף בקרות, ומוכיח את ההשפעה בפועל: ״הצלחתי להגיע ממסך ההתחברות עד לבסיס הנתונים של כל הלקוחות״. התוצר הוא לא רשימה — הוא סיפור תקיפה עם הוכחה.

סריקה, סקר סיכונים ומבדק חדירה — שלושה דברים שונים

רוב הבלבול בשוק נובע מכך שלושה מוצרים שונים נמכרים תחת מטריית ה״אבטחה״, ולפעמים במכוון מתחת לאותו שם. חשוב להבין את ההבדל, כי כל אחד מהם עונה על שאלה אחרת — ומי שקנה סריקה בזמן שנדרש לו מבדק חדירה, פשוט לא עמד בדרישה:

  • סריקת פגיעויות (Vulnerability Scan) — כלי אוטומטי (Nessus, Qualys וכדומה) שסורק מערכות מול מאגר חתימות של חולשות ידועות ומדפיס רשימה. מהיר, זול, טוב לניטור שוטף — אבל לא מנצל שום דבר, מציף המון ״רעש״ (false positives), ולא בודק לוגיקה עסקית. סריקה אוטומטית אינה מבדק חדירה, נקודה.
  • סקר סיכונים (Risk Survey) — הערכה ניהולית-ארגונית של סיכוני אבטחת המידע: אילו נכסים יש, מה מאיים עליהם, מה ההסתברות וההשפעה, ואילו בקרות חסרות. זה מבט רוחב מלמעלה — מדיניות, תהליכים, הרשאות, ספקים — לא ניסיון פריצה טכני.
  • מבדק חדירה (Penetration Test) — בדיקה טכנית עמוקה שבה בודק אנושי מנסה בפועל לנצל חולשות במערכת מוגדרת, לשרשר אותן, ולהוכיח עד לאן אפשר להגיע. צר ועמוק, ידני ברובו, ומספק ראיה מוחשית לסיכון.

השילוב הנכון הוא שכבתי: סריקה רצה בתדירות גבוהה כניטור שוטף, סקר סיכונים נותן את התמונה הארגונית הרחבה אחת לתקופה, ומבדק חדירה צולל לעומק במערכות הקריטיות. הם לא מחליפים זה את זה — הם משלימים. אם אתם עוד לא בטוחים באיזו רמת אבטחה אתם מחויבים, כדאי להתחיל דווקא מסיווג המאגר לפי תקנות אבטחת מידע.

טבלת השוואה בין סריקת פגיעויות, סקר סיכונים ומבדק חדירה — עומק, שיטה, תדירות ומה כל אחד עונה עליו
שלושה מוצרים שונים תחת אותו שם: מתי משתמשים בכל אחד. עיבוד Cybertis.

מתי מבדק חדירה נדרש — חוק, חוזה ותקן

יש שלושה טריגרים עיקריים שהופכים מבדק חדירה מ״כדאי״ ל״חייבים״, וכדאי להכיר את שלושתם:

1. חובה חוקית: תקנות אבטחת מידע — מאגר ברמה גבוהה

זו הנקודה שהכי הרבה עסקים ישראליים מפספסים. תקנות הגנת הפרטיות (אבטחת מידע), התשע״ז-2017 מחייבות מאגר מידע ברמת אבטחה גבוהה לבצע סקר סיכונים ומבדקי חדירות אחת ל-18 חודשים לפחות — כל אחד בנפרד — כולל דיון בתוצאות ותיקון הליקויים שנמצאו. סקר הסיכונים מעוגן בתקנה 5(ג) ומבדקי החדירות בתקנה 5(ד), ושתיהן נוקבות בלשון ״אחת לשמונה עשר חודשים לפחות״. זו לא המלצה — זו חובה תקנונית, ואי-ביצועה יושב במדרגה העליונה של העיצומים הכספיים.

מי בכלל ברמה גבוהה — ולמה זה יקר להתעלם

מאגר מגיע לרמה הגבוהה בין השאר כשיש בו מידע ברגישות מיוחדת על מעל 100,000 נושאי מידע, או כשמורשים לגשת אליו מעל 100 איש. עסק שמעולם לא סיווג את המאגר שלו עלול להיות ברמה גבוהה בלי לדעת — ולכן מעולם לא הריץ מבדק חדירה. מאז תיקון 13 (בתוקף 14.8.2025), אי-ביצוע סקר סיכונים ומבדקי חדירות יושב בתקרת העיצום של רמה גבוהה — עד ₪320,000 להפרה, ומוכפל למאגרים עם מעל מיליון נושאי מידע. זו חשיפה שנצברת ״בשקט״, גם בלי שאף אחד נפרץ.

נוסף על החובה בתקנות, הרשות להגנת הפרטיות פרסמה במאי 2025 מסמך המלצות ייעודי בנושא סקרי סיכונים ומבדקי חדירות — הבהרה של הרשות לגבי מה היא מצפה לראות בתהליך. כלומר גם הרגולטור עצמו ממקד את תשומת הלב שלו בדיוק לנקודה הזו.

2. דרישה חוזית ולקוחות: אנטרפרייז, ISO 27001 ו-SOC 2

גם כשאין חובה חוקית ישירה, השוק מייצר חובה בפועל. לקוחות אנטרפרייז, בנקים וגופים ציבוריים כמעט תמיד דורשים דוח מבדק חדירה עדכני (לרוב מהשנה האחרונה) כתנאי לעסקה או כחלק משאלון אבטחת ספקים. תקנים כמו ISO 27001 לא מחייבים ״מבדק חדירה״ בשמו המפורש, אבל מבדק הוא הדרך המקובלת והמשכנעת ביותר להוכיח שהבקרות הטכניות שלכם באמת עובדות — ראיה שמבקרים ולקוחות מצפים לראות. אם אתם בדרך להסמכה, שווה לתכנן את המבדק כחלק מהתהליך; פירטנו את כל השלבים במדריך ISO 27001 לחברות SaaS.

3. אירוע מהותי: מוצר חדש, שינוי ארכיטקטורה או פריצה

השקה של מוצר או פיצ׳ר משמעותי, מעבר ענן, מיזוג עם מערכת אחרת, או — במקרה הכי לא נעים — חשד שכבר נפרצתם: כל אלה הם רגעים שבהם מבדק ממוקד נותן תשואה גבוהה, כי הוא בודק דווקא את מה שהשתנה, לפני שתוקף יגיע לשם ראשון.

מתי מבדק חדירה מוקדם מדי (ובזבוז כסף)

וכאן ההודאה שרוב הספקים לא יגידו לכם: לפעמים מבדק חדירה הוא הדבר הלא נכון לעשות עכשיו. אם עדיין אין אצלכם היגיינת אבטחה בסיסית — אימות דו-שלבי (MFA) בכל מקום, עדכוני אבטחה שוטפים, ניהול הרשאות מסודר, גיבויים שנבדקו — מבדק חדירה רק יאשר בכסף רב את מה שכבר ידעתם: שהדלת פתוחה. הבודק ״ייכנס״ תוך שעה, יכתוב דוח מלא בממצאים קריטיים, ואתם תשלמו פרמיה על גילוי חולשות שכלי חינמי היה מוצא. הסדר ההגיוני של ההשקעה — שפירטנו במדריך תקציב האבטחה לעסק קטן — הוא קודם לסגור את היסודות, ורק אז לשלם לבודק אנושי שיאתגר מערכת שכבר עברה הקשחה בסיסית. מבדק חדירה נועד למצוא את מה שנשאר אחרי שעשיתם את הדברים הפשוטים — לא במקומם.

סוגי מבדקי חדירה — בשפה פשוטה

״מבדק חדירה״ הוא לא דבר אחד. הסוג נגזר ממה שאתם מגנים עליו, ובחירה נכונה היא חצי מהערך:

  • מבדק תשתית חיצונית (External) — כל מה שחשוף לאינטרנט: שרתים, שירותים, VPN, ממשקי ניהול. עונה על ״מה תוקף אקראי מהאינטרנט יכול לעשות לנו?״.
  • מבדק אפליקציית ווב / API — צלילה עמוקה לאפליקציה או ל-API עצמם: הרשאות, לוגיקה עסקית, הזרקות, ניהול סשן. הסוג הרלוונטי ביותר לרוב חברות ה-SaaS.
  • מבדק פנימי / Assumed Breach — מדמים תוקף שכבר בפנים (עובד זדוני, או תחנה שנדבקה): עד לאן הוא מתקדם ברשת הפנימית מנקודת דריסת רגל אחת. בודק את ה״קו השני״ של ההגנה.
  • מבדק ליבה ניידת (Mobile) — אפליקציות iOS/אנדרואיד: אחסון מקומי לא מוגן, תקשורת עם השרת, לוגיקה שרצה על המכשיר.
  • הנדסה חברתית (Social Engineering) — תוספת אופציונלית: פישינג מבוקר, שיחות טלפון, ניסיון כניסה פיזית. בודק את החוליה האנושית, לא רק את הטכנולוגיה.

שאלות ה-Scope שקובעות אם המבדק יהיה שווה משהו

הערך של מבדק חדירה נקבע כמעט כולו בשלב התיחום (Scope), עוד לפני שהבודק נגע במקלדת. ספק רציני יעביר אתכם דרך השאלות האלה; אם הוא מדלג עליהן — זה כבר דגל אדום:

  • מה תכשיטי הכתר? אל תפזרו את התקציב שווה בשווה על הכול. מקדו את המבדק במערכות ובנתונים שאובדנם יכאב באמת — מאגר הלקוחות, מערכת התשלומים, סביבת הייצור.
  • ייצור או Staging? מבדק על סביבת בדיקות זול ובטוח יותר, אבל אמין רק אם היא זהה לייצור. אם היא שונה — בדקתם משהו אחר. הגדירו זאת מראש.
  • קופסה שחורה, אפורה או לבנה? בקופסה שחורה (Black Box) הבודק לא יודע כלום מראש — מדמה תוקף חיצוני, אך מבזבז זמן על מיפוי. בקופסה אפורה (Grey Box) הוא מקבל חשבון משתמש ומידע חלקי — האיזון הנפוץ והמומלץ. בקופסה לבנה (White Box) הוא מקבל גם קוד מקור ותיעוד — הכיסוי המקסימלי לכל שקל.
טיפ מהשטח: גריי-בוקס נותן הכי הרבה לכסף

עסקים רבים מבקשים ״קופסה שחורה״ כי זה נשמע כמו ״תוקף אמיתי״. בפועל, בתקציב מוגבל, הבודק יבזבז חלק ניכר מהימים רק על סיור וגילוי — במקום לתקוף. מבדק גריי-בוקס, שבו נותנים לבודק חשבון משתמש רגיל ומעט הקשר, מפנה את הזמן שלו לחיפוש חולשות אמיתיות ומחזיר הרבה יותר ממצאים לכל יום עבודה.

כמה זה עולה — והמניעים שקובעים את המחיר

מבדק חדירה מתומחר כמעט תמיד לפי ימי עבודה של בודק, ולכן שלושה מניעים קובעים את המחיר: היקף (כמה מערכות, כמה תפקידי משתמש, כמה מורכב), עומק (סריקה מודרכת מול צלילה ידנית ושרשור חולשות), ובכירות הבודק (בודק מנוסה עם הסמכות מוצא תוך יום מה שמתלמד יפספס בשבוע). ככל שהסקופ רחב ועמוק יותר והבודק בכיר יותר — כך המחיר עולה.

לגבי מספרים: לפי סקירות שוק ומחירוני ספקים, מבדק חדירה בישראל נע בטווח רחב מאוד — מדווח בערך בין ₪15,000 ל-₪150,000, בהתאם לסקופ, למורכבות ולדרישות הרגולטוריות. מבדק ווב ממוקד לעסק קטן-בינוני יישב בקצה הנמוך; מבדק פנימי מקיף או Red Team לארגון גדול — בקצה העליון. חשוב לקרוא את המספרים האלה כטווח שוק כללי בלבד ולא כהצעת מחיר: הדרך היחידה לדעת כמה תשלמו היא סקופ מוגדר שממנו נגזרת הערכת ימים. היזהרו משתי הקצוות — הצעה זולה בצורה חשודה כמעט תמיד מסתירה סריקה אוטומטית שעטופה כמבדק, והצעה יקרה בלי הסבר ימים היא סתם פרמיית מותג.

איך בוחרים ספק — ומה מפריד מקצוענים מ״מדפיסי כלים״

  • מתודולוגיה מוצהרת. ספק רציני עובד לפי מסגרת מוכרת (OWASP לאפליקציות, PTES / NIST לתשתית) ויכול להסביר את שיטת העבודה שלו. ״אנחנו פשוט בודקים הכול״ זו לא מתודולוגיה.
  • הסמכות אמיתיות של הבודקים. חפשו הסמכות מבוססות-מעבדה כמו OSCP, OSWE או CRTP — כאלה שדורשות פריצה בפועל, לא מבחן אמריקאי. שאלו מי בדיוק יבצע את המבדק, לא מי חתום על ההצעה.
  • דוח לדוגמה (מְנוּקֶּה). בקשו לראות דוח אמיתי מעבר לרשימת פורמט. דוח טוב יראה לכם שרשור חולשות והוכחת השפעה — לא רק פלט של סורק.
  • בדיקה חוזרת (Retest) כלולה. אחרי שתתקנו, מישהו צריך לוודא שהתיקון עבד. ודאו שסבב בדיקה חוזר אחד לפחות כלול במחיר — לא תוספת בהמשך.
  • ביטוח וחוזה. מבדק חדירה נוגע במערכות ייצור. ודאו שיש הסכם עבודה מסודר, סעיפי סודיות (NDA), הרשאה מפורשת בכתב (Rules of Engagement), וכיסוי ביטוחי מקצועי.

מה חייב להופיע בדוח טוב

הדוח הוא המוצר — לא הפריצה. מבדק מצוין עם דוח גרוע הוא בזבוז כסף, כי אף אחד לא יידע מה לתקן. דוח מקצועי כולל:

  • תקציר מנהלים (Executive Summary) — עמוד אחד בשפה עסקית: מה הסיכון המהותי, מה החשיפה, ומה סדר העדיפויות. זה מה שההנהלה קוראת.
  • ממצאים מדורגים לפי חומרה — כל ממצא עם דירוג (Critical/High/Medium/Low, לרוב לפי CVSS), הסבר על ההשפעה העסקית, וצעדי שחזור מדויקים כדי שהצוות שלכם יוכל לראות את החולשה במו עיניו.
  • הנחיות תיקון קונקרטיות — לא ״הקשיחו את השרת״ אלא בדיוק מה לשנות ואיך. תיקון שאפשר לפעול לפיו, לא הרצאה.
  • נספח בדיקה חוזרת (Retest) — אישור מסודר, אחרי שתיקנתם, שהחולשות אכן נסגרו. זו הראיה שמבקרים ורגולטורים מבקשים לראות.

מה עושים אחרי — אל תשלחו את הדוח למגירה

הטעות הכי נפוצה והכי יקרה: לקבל דוח מרשים, לנשום לרווחה ש״עשינו מבדק״, ולתייק אותו. הערך של המבדק נוצר רק בתיקון. בנו תוכנית טיפול לפי חומרה — קריטי וגבוה נסגרים תוך ימים, בינוני לפי לו״ז מתוכנן, נמוך לפי שיקול דעת — ותעדו את התהליך. וזכרו: מבקרים, לקוחות ורגולטורים לא מסתפקים בדוח המבדק — הם שואלים על ראיות סגירה: מה תיקנתם, מתי, ומה הראה ה-Retest. דוח מבדק בלי ראיות טיפול הוא, בעיני מבקר, הודאה שידעתם על החולשות ולא עשיתם דבר.

דגלים אדומים בהצעת מבדק

  • הבטחה ש״לא נמצא כלום״ — או ההפך, הבטחה ״למצוא פרצות קריטיות״. בודק אמיתי לא יודע מה ימצא לפני שבדק. מי שמבטיח תוצאה מוכר לכם משהו אחר.
  • דוח שהוא פלט של כלי — אם הדוח לדוגמה נראה כמו ייצוא של Nessus עם לוגו, שילמתם מחיר של מבדק ידני על סריקה אוטומטית.
  • בלי בדיקה חוזרת — ספק שלא כולל Retest לא באמת מעוניין שתתקנו; הוא מעוניין שתשלמו שוב.
  • מחיר קבוע בלי לשאול על הסקופ — ״מבדק חדירה ב-2,500 ₪, לכל עסק״ הוא כמעט תמיד סריקה אוטומטית בתחפושת.
  • בלי הרשאה או חוזה מסודר — ספק שמוכן ״לתקוף״ בלי הסכם והרשאה בכתב חושף גם אתכם וגם את עצמו לסיכון משפטי.
מחזור החיים של מבדק חדירה — חמישה שלבים מהגדרת סקופ ועד בדיקה חוזרת
מבדק חדירה הוא תהליך, לא אירוע חד-פעמי — עד לסגירת הליקויים ואימותם. עיבוד Cybertis.

צ׳קליסט הכנה — לפני שאתם מזמינים מבדק

  1. סגרו יסודות קודם. MFA בכל מקום, עדכוני אבטחה, ניהול הרשאות, גיבויים שנבדקו. אין טעם לשלם על מבדק שיאשר את המובן מאליו.
  2. הגדירו את תכשיטי הכתר. מפו את המערכות והנתונים הקריטיים ביותר — שם ממקדים את התקציב.
  3. בדקו אם אתם ברמה גבוהה. אם המאגר שלכם ברמת אבטחה גבוהה — סקר סיכונים ומבדק חדירה כל 18 חודשים הם חובה בתקנות, לא בחירה. בדקו מתי בוצע האחרון.
  4. החליטו סוג וגישה. ווב, תשתית, פנימי או ניידת; שחור, אפור או לבן. גריי-בוקס נותן לרוב הכי הרבה לכסף.
  5. בקשו דוח לדוגמה ופרטו את הבודקים. מתודולוגיה, הסמכות (OSCP וכדומה), וניסיון בסוג המערכת שלכם.
  6. ודאו שה-Retest וההרשאות בהסכם. בדיקה חוזרת כלולה, NDA, וחלון עבודה מוסכם (Rules of Engagement) בכתב.
  7. תכננו את התיקון מראש. הקצו זמן צוות לתיקון הממצאים אחרי המבדק — לא רק לביצועו. הדוח שווה בדיוק כמה שתתקנו לפיו.

השורה התחתונה

מבדק חדירה הוא כלי מצוין — אבל רק כשמשתמשים בו נכון, בזמן הנכון, ועל המערכת הנכונה. אל תתבלבלו בין סריקה אוטומטית זולה לבין מבדק אמיתי; דעו אם החוק (מאגר ברמה גבוהה, 18 חודשים) או לקוח כבר מחייבים אתכם; ואל תזמינו מבדק לפני שסגרתם את היסודות. ובעיקר — זכרו שהערך נמצא בתיקון ובראיות הסגירה, לא בעצם קיום המבדק. מבדק שנשלח למגירה הוא רק חשבונית; מבדק שהוביל לתיקון מתועד הוא שדרוג אמיתי ברמת האבטחה שלכם.

Cybertis מלווה עסקים בכל מחזור החיים של מבדק חדירה — מהגדרת הסקופ ובחירת הסוג הנכון, דרך ביצוע המבדק וקריאה מפוכחת של הדוח, ועד תוכנית תיקון מתועדפת ובדיקה חוזרת שמוכיחה סגירה. גם לצורך עמידה בתקנות אבטחת מידע וגם לדרישות לקוחות. הפגישה הראשונה עלינו.

לשירות מבדקי חדירה

*האמור במאמר זה הוא מידע כללי בלבד ואינו מהווה ייעוץ מקצועי או משפטי מחייב. חובות אבטחת המידע הספציפיות תלויות בסיווג המאגר ובנסיבות הארגון, ומחייבות בחינה פרטנית.*

תכנון מראש, לא תגובה בדיעבד

בואו נדבר על חוסן הסייבר של הארגון שלכם.

שיחת היכרות של 30 דקות עם בכיר/ה מהצוות שלנו. ללא מצגות מכירה וללא לחץ — רק תמונת מצב אמיתית של היכן אתם נמצאים ולאן כדאי להמשיך.

תגובה ראשוניתתוך 4 שעות
פגישת היכרותללא עלות וללא התחייבות
אופן ההתקשרותפרויקט נקודתי או התקשרות שוטפת
כתובת לאירוע פעילsoc@cybertis.co.il