דלגו לתוכן
אבטחה לעסק14 באוקטובר 202511 דק׳ קריאה

כופרה בעסק קטן: מניעה, גיבויים, ומה עושים ברגע האמת

מתקפת כופרה לא מתחילה בהצפנה — היא נגמרת בה. איך תוקפים נכנסים לעסק קטן, מה לומדים מהלל יפה, מעייני הישועה ושירביט, למה 64% מהנפגעים לא שילמו — ומה עושים ב-24 השעות הראשונות, כולל חובת הדיווח המיידית לרשות להגנת הפרטיות.

ר.ש
רותם שיינס · מנכ״ל ובעלים
מומחה אבטחת מידע ופרטיות · Cybertis · מעל 10 שנות ניסיון

יום ראשון, שבע בבוקר. מנהלת התפעול מגיעה ראשונה למשרד, מדליקה את המחשב — וכל הקבצים, בכל התיקיות, קיבלו סיומת מוזרה. על המסך הודעה באנגלית: הקבצים שלכם הוצפנו, יש לכם 72 שעות לשלם, ואם לא — המידע שגנבנו יפורסם. שרת הנהלת החשבונות לא מגיב, וגם הגיבוי שישב על כונן רשת — מוצפן אף הוא. זו לא סצנה מסרט. זו הדרך שבה בעלי עסקים רבים מגלים מתקפת כופרה, והשעות הראשונות שאחריה קובעות אם העסק יחזור לעבוד תוך ימים — או ייעצר לשבועות.

והתרחיש הזה נעשה נפוץ יותר, לא פחות. לפי דוח חקירות הפרצות של Verizon לשנת 2025 (DBIR) — מחקר שניתח יותר מ-12,000 פרצות מאומתות ברחבי העולם — כופרה הייתה נוכחת ב-44% מהפרצות, עלייה של 37% לעומת השנה הקודמת. והנתון השני, החשוב לא פחות: 64% מהארגונים שנפגעו לא שילמו את הכופר. כלומר, יש חיים אחרי מתקפה גם בלי לממן את התוקפים — אבל בעיקר למי שהתכונן מראש. במאמר הזה נפרק איך מתקפת כופרה באמת מתנהלת, מה לומדים משלושה מקרים ישראליים מתועדים, אילו הגנות עוצרות את רוב המתקפות — ומה עושים בשעות הראשונות כשזה קורה.

מה זו בעצם מתקפת כופרה — ולמה ״סחיטה כפולה״?

כופרה (Ransomware) היא תוכנה זדונית שמצפינה את הקבצים והמערכות של הארגון, והתוקפים דורשים תשלום — בדרך כלל במטבע קריפטוגרפי — תמורת מפתח הפענוח. בשנים האחרונות עברו רוב קבוצות התקיפה למודל של סחיטה כפולה (Double Extortion): לפני ההצפנה הן גונבות עותק של המידע ומאיימות לפרסם אותו אם לא תשלמו. המשמעות לעסק ישראלי: גם עם גיבוי מושלם, דליפת מידע אישי של לקוחות ועובדים היא אירוע בפני עצמו — עם חובות דיווח לפי דיני הגנת הפרטיות. נרחיב על כך בהמשך.

כך נראית המתקפה מבפנים: ההצפנה היא השלב האחרון

טעות נפוצה היא לדמיין מתקפת כופרה כאירוע רגעי — עובד לחץ על קישור, והכול הוצפן. במציאות, ברוב המקרים התוקפים שוהים ברשת ימים ואף שבועות לפני שהם מפעילים את ההצפנה. המתקפה מתחילה כמעט תמיד באחת משלוש דלתות כניסה:

  • פישינג. מייל או הודעה שמפתים עובד להזין סיסמה או להריץ קובץ. לפי נתוני מערך הסייבר הלאומי ל-2025, פישינג היה וקטור התקיפה הנפוץ ביותר בישראל — 52% מהדיווחים. איך מזהים מייל עוין? הרחבנו במדריך זיהוי הפישינג שלנו.
  • גישה מרחוק חשופה. חיבור RDP או VPN שמוגן בסיסמה בלבד, בלי אימות רב-שלבי. התוקפים קונים סיסמאות דלופות או מנחשים אותן — ונכנסים בדלת הראשית.
  • פגיעות לא מעודכנת. שרת, חומת אש או אתר שלא הותקן בהם עדכון אבטחה. לפי DBIR 2025, ניצול פגיעויות כנקודת כניסה זינק ב-34% בשנה אחת.

מרגע הכניסה התוקפים מבססים אחיזה — מתקינים כלי שליטה מרחוק ויוצרים חשבונות נוספים — ואז נעים רוחבית ברשת עד שהם משיגים הרשאות אדמין. לפני ההצפנה הם שואבים החוצה את המידע הרגיש: קבצי לקוחות, הנהלת חשבונות, מסמכי עובדים. רק בסוף, לרוב בלילה או בסוף שבוע, מופעלת ההצפנה על כל מה שהם הצליחו להגיע אליו — כולל גיבויים שמחוברים לרשת. זו הסיבה שגילוי מוקדם חשוב כל כך: בכל אחד מהשלבים המוקדמים עדיין אפשר לעצור את המתקפה לפני הנזק הגדול.

חמשת שלבי מתקפת כופרה: חדירה ראשונית, ביסוס אחיזה, תנועה רוחבית, גניבת מידע, הצפנה וסחיטה
שרשרת מתקפת כופרה טיפוסית — ההצפנה היא השלב האחרון. נתונים: Verizon DBIR 2025; מערך הסייבר הלאומי.

שלושה מקרים ישראליים — ומה לומדים מהם

בית החולים הלל יפה, אוקטובר 2021. מתקפת הכופרה המתוקשרת ביותר בישראל השביתה מערכות לשבועות, אילצה מעבר לעבודה ידנית על נייר והסטת מטופלים. משרד הבריאות העריך את עלות ההתאוששות בכ-36 מיליון שקל — בלי ששולם כופר. לפי הדיווחים, חלק ניכר מהגיבויים כלל לא היה ניתן לשחזור. זה הלקח שכל עסק קטן צריך להפנים: גיבוי שלא נבדק הוא הנחה אופטימית, לא תוכנית.

בית החולים מעייני הישועה, אוגוסט 2023. מתקפת כופרה הצפינה מערכות אדמיניסטרטיביות וחייבה הסטת מטופלים. בית החולים סירב לשלם — וכחודש לאחר מכן פורסמו, לפי הדיווחים, כ-1.4 טרה-בייט של מידע רפואי רגיש. זו סחיטה כפולה בפעולה: הנזק לא נגמר בשחזור המערכות, הוא ממשיך בדליפה.

חברת הביטוח שירביט, דצמבר 2020. קבוצת Black Shadow פרצה לחברה, גנבה מסמכים, הקלטות וצילומי דרכונים, ודרשה 50 ביטקוין (כמיליון דולר באותה עת) — עם איום להכפיל את הדרישה מדי יום. שירביט סירבה לשלם, והמידע הודלף והוצע למכירה. הסיפור לא הסתיים שם: רשות שוק ההון הטילה עיצום של 10 מיליון שקל, ובאפריל 2025 אושר הסדר שבמסגרתו הראל, שרכשה את שירביט, תשלם כ-4.9 מיליון שקל פיצוי לנפגעים.

שלושת המקרים האלה הם ארגונים גדולים, אבל הלקחים חלים אחד-לאחד גם על עסק של עשרה עובדים: העלות האמיתית היא ההשבתה, השחזור, הפיצויים והרגולציה — לא רק הכופר עצמו. גיבוי שלא תורגל עלול לא לעבוד ברגע האמת. וסירוב לשלם הוא בהחלט אפשרי — אבל המחיר שלו עלול להיות דליפת המידע, ולכן חייבים להיערך לשני התרחישים גם יחד.

כשהמידע דולף: זה גם אירוע פרטיות עם חובת דיווח מיידית

כאן נכנס ממד שעסקים רבים מפספסים. מאז כניסת תיקון 13 לחוק הגנת הפרטיות לתוקף ב-14.8.2025, מתקפת כופרה שכוללת גניבת מידע אישי היא כמעט תמיד גם אירוע אבטחה לפי דיני הפרטיות. תקנות אבטחת מידע קובעות שמאגר ברמת אבטחה בינונית או גבוהה — וזה כולל עסקים רבים שמחזיקים מידע רגיש על לקוחות או עובדים — חייב לדווח לרשות להגנת הפרטיות על ״אירוע אבטחה חמור״ באופן מיידי עם גילויו, ובהמשך לדווח גם על צעדי הטיפול. אי-דיווח יושב במדרגה הגבוהה ביותר של עיצומי תקנות האבטחה: 80,000 שקל למאגר ברמה בינונית ו-320,000 שקל למאגר ברמה גבוהה — וכפול מזה במאגרים עם יותר ממיליון נושאי מידע. הרשות אף עשויה להורות ליידע את האנשים שהמידע שלהם נחשף.

המשמעות המעשית: תוכנית התגובה לכופרה חייבת לכלול מהיום הראשון גם את שאלת הפרטיות — אילו מאגרים נפגעו, מה רמת האבטחה שלהם לפי התקנות, ומי בעסק אחראי לדווח לרשות. עסק שמגלה את קיומה של חובת הדיווח שבוע אחרי האירוע נמצא כבר בעמדת פתיחה רגולטורית גרועה.

מניעה: ארבע ההגנות שקובעות את התוצאה

אין הגנה הרמטית, אבל ארבע שכבות מכסות את רוב הדרכים שבהן כופרה מגיעה לעסק קטן — ואת היכולת שלו לקום אחריה:

הגנהמה עושים בפועלמה זה נותן
גיבוי 3-2-1שלושה עותקים, על שני סוגי מדיה, כשלפחות עותק אחד מנותק מהרשת (Offline) או בלתי-ניתן לשינוי (Immutable); תרגול שחזור רבעוניהיכולת לסרב לשלם ולחזור לעבוד — גם אם הכול הוצפן
אימות רב-שלבי (MFA)על המייל, ה-VPN, הגישה מרחוק וכל מערכת ניהול — לכל העובדים, בלי יוצאים מן הכלללפי מיקרוסופט, MFA חוסם למעלה מ-99.9% ממתקפות ההשתלטות על חשבונות
עדכוני אבטחהעדכון שוטף של מערכות הפעלה, חומות אש, VPN ואתר העסק; סגירת שירותים חשופים לאינטרנט שאין בהם צורךסוגר את וקטור ניצול הפגיעויות — שזינק ב-34% לפי DBIR 2025
EDR בתחנות הקצהכלי Endpoint Detection & Response במקום אנטי-וירוס בלבד, עם ניטור התנהגות וחסימה אוטומטיתמזהה את השלבים המוקדמים — ביסוס אחיזה ותנועה רוחבית — לפני שההצפנה בכלל מופעלת

סדר העדיפויות הזה אינו מקרי: הגיבוי קודם לכול, כי הוא ההבדל בין אירוע כואב לאסון קיומי — הרחבנו על בנייה נכונה שלו במדריך אסטרטגיית הגיבוי 3-2-1. ולשם פרופורציה: סקר של הסוכנות לעסקים קטנים ובינוניים מ-2024 מצא שרק 61% מהעסקים מגבים תקופתית ורק 52% מקפידים על עדכוני תוכנה. עסק שמיישם את ארבע השכבות האלה כבר מקדים את רוב השוק.

מהשטח: הבדיקה ששווה יותר מכל רכש אבטחה

פגשנו עסקים שגילו ביום המתקפה שהגיבוי ״האוטומטי״ שלהם הפסיק לרוץ לפני חודשים, או שהוא מגבה בכלל את התיקייה הלא נכונה. קבעו תרגול שחזור אמיתי — קובץ בודד, תיקייה שלמה ושרת מלא — לפחות אחת לרבעון, ותעדו שהצליח. גיבוי שמעולם לא שוחזר הוא תקווה, לא תוכנית.

לשלם או לא לשלם? ההחלטה הקשה — והנתונים

כשהעסק משותק, הפיתוי לשלם ולסיים את הסיוט מובן. אבל חשוב להבין מה התשלום באמת קונה — ומה לא. מפתח הפענוח לא תמיד עובד, והשחזור באמצעותו איטי וחלקי גם כשהוא עובד. התשלום לא מבטיח שהמידע הגנוב יימחק — אתם נסמכים על הבטחה של עבריינים. והוא מסמן אתכם כמי שמשלם: עיקרון שמשטרת ישראל מדגישה בהקשרי סחיטה ברשת — תשלום אינו עוצר את הסחיטה, אלא מסמן את הקורבן כמטרה. מקרה שירביט ממחיש את הדינמיקה: דרישה שמכפילה את עצמה מדי יום היא טקטיקת לחץ, לא הצעת מחיר. ובכל זאת, הנתון המעודד מ-DBIR 2025 — 64% מהנפגעים לא שילמו — מוכיח שסירוב אינו תיאוריה. הוא אפשרי בעיקר למי שיש גיבוי עובד ותוכנית תגובה.

אל תחליטו לבד — ואל תתכתבו עם התוקפים בעצמכם

החלטת התשלום היא החלטה משפטית, ביטוחית ועסקית — לא רק טכנית. במקרים מסוימים תשלום עלול אף להיתקל במגבלות חוקיות, למשל כשהתוקף גוף שחלות עליו סנקציות בינלאומיות. לפני כל מגע עם התוקפים: יידעו את חברת הביטוח, התייעצו עם עורך דין ועם צוות תגובה מקצועי. תקשורת חובבנית עם תוקפים מחלישה את עמדת המשא ומתן ועלולה לפגוע בכיסוי הביטוחי.

ברגע האמת: פלייבוק 24 השעות הראשונות

ואם אתם קוראים את זה תוך כדי אירוע — קחו נשימה. אלה הצעדים, לפי הסדר:

  1. בודדו — אבל אל תכבו. נתקו את המחשבים והשרתים הנגועים מהרשת (כבל רשת, Wi-Fi) כדי לעצור את ההתפשטות, אך אל תכבו אותם: זיכרון המחשב עשוי להכיל ראיות חיוניות ולעיתים גם מפתחות הצפנה.
  2. אל תמחקו ואל תשחזרו על אותן מכונות. פרמוט ״כדי להתחיל נקי״ משמיד ראיות שחוקרים צריכים — ועלול למחוק מידע שעוד ניתן היה להציל.
  3. תעדו הכול. צלמו את הודעת הכופר, רשמו זמנים, אילו מערכות נפגעו ומי הבחין במה.
  4. הזעיקו גורם מקצועי. צוות תגובה לאירועים (IR) יאתר את נקודת הכניסה, יוודא שהתוקף הוצא מהרשת וינהל את השחזור. אם הכנתם מראש תוכנית תגובה לאירוע סייבר — זה הרגע להפעיל אותה.
  5. דווחו למערך הסייבר הלאומי — מוקד 119. המוקד פועל 24/7, הדיווח אינו כרוך בתשלום, ותקבלו הכוונה ראשונית. ב-2025 טופלו במוקד כ-26.5 אלף דיווחים — אתם לא הראשונים, ולא לבד.
  6. בדקו אם נחשף מידע אישי — ודווחו לרשות להגנת הפרטיות. אם נפגע מאגר ברמת אבטחה בינונית או גבוהה, הדיווח על אירוע אבטחה חמור חייב להיות מיידי, דרך הטופס המקוון של משרד המשפטים.
  7. יידעו את חברת הביטוח ואת ההנהלה. אם יש ביטוח סייבר, הפעלה מוקדמת של הפוליסה היא במקרים רבים תנאי לכיסוי.
  8. שחזרו בהדרגה — רק מגיבוי נקי. ורק אחרי שווידאתם שנקודת הכניסה נסגרה ושהתוקף הוצא מהרשת. אחרת תשחזרו היישר לתוך מתקפה שנייה.
ציר זמן של 24 השעות הראשונות אחרי מתקפת כופרה: בידוד ותיעוד, גיוס צוות תגובה, דיווח למוקד 119 ולרשות להגנת הפרטיות, יידוע הביטוח ושחזור מגיבוי נקי
24 השעות הראשונות: מה עושים ומתי. מבוסס על הנחיות מערך הסייבר הלאומי ותקנות אבטחת מידע.

צ׳קליסט: מה לעשות כבר השבוע

  1. ודאו שקיים גיבוי לכל מערכת קריטית — ושלפחות עותק אחד מנותק מהרשת או בלתי-ניתן לשינוי (Immutable).
  2. קבעו תאריך לתרגול שחזור בחודש הקרוב, ותעדו את התוצאה.
  3. הפעילו MFA על המייל, ה-VPN וכל גישה מרחוק — השבוע, לא ברבעון הבא.
  4. ודאו שהשרתים ותחנות העבודה מקבלים עדכוני אבטחה באופן שוטף, וסגרו RDP חשוף לאינטרנט.
  5. בדקו אם יש בעסק EDR — ואם לא, בקשו הצעת מחיר. הכלים האלה נגישים היום גם לעסקים קטנים.
  6. מפו את מאגרי המידע שלכם וקבעו את רמת האבטחה שלהם לפי התקנות — כדי לדעת מראש אם חלה עליכם חובת דיווח מיידי לרשות.
  7. כתבו בעמוד אחד: מי מנתק את הרשת, מי מתקשר ל-119, מי מדווח לרשות להגנת הפרטיות, מי מדבר עם הביטוח — כולל מספרי טלפון. והדפיסו אותו: מסך מוצפן לא יציג לכם קבצים.

השורה התחתונה

מתקפת כופרה היא לא שאלה של מזל — היא שאלה של הכנה. עסק עם גיבוי מנותק ומתורגל, MFA, מערכות מעודכנות ופלייבוק מודפס יעבור אותה כאירוע כואב אך מנוהל. עסק בלי אלה עלול למצוא את עצמו מתמודד בו-זמנית עם השבתה, סחיטה, דליפת מידע וחובות רגולטוריות. הנתונים מראים שרוב הנפגעים כבר לא משלמים — כי הם בנו מראש את היכולת לסרב. זו בדיוק היכולת ששווה לבנות השבוע, לא אחרי.

צריכים כתובת אחת שמחזיקה את כל זה — מהיערכות מונעת, דרך גיבויים ותוכנית תגובה, ועד ניהול האירוע מול מערך הסייבר והרשות להגנת הפרטיות אם קרה משהו? שירות ה-CISO החיצוני של Cybertis בונה ומתחזק את מערך ההגנה של העסק שלכם. הפגישה הראשונה עלינו.

לשירות CISO חיצוני לעסק

*האמור במאמר זה הוא מידע כללי בלבד ואינו מהווה ייעוץ משפטי או מקצועי מחייב. חובות הדיווח והיערכות בפועל תלויות במאפייני הארגון, בסוגי המידע שהוא מחזיק וברמת האבטחה של מאגריו, ומחייבות בחינה פרטנית.*

תכנון מראש, לא תגובה בדיעבד

בואו נדבר על חוסן הסייבר של הארגון שלכם.

שיחת היכרות של 30 דקות עם בכיר/ה מהצוות שלנו. ללא מצגות מכירה וללא לחץ — רק תמונת מצב אמיתית של היכן אתם נמצאים ולאן כדאי להמשיך.

תגובה ראשוניתתוך 4 שעות
פגישת היכרותללא עלות וללא התחייבות
אופן ההתקשרותפרויקט נקודתי או התקשרות שוטפת
כתובת לאירוע פעילsoc@cybertis.co.il