עבודה מרחוק בלי לפתוח דלת לתוקפים: VPN, מחשבים ביתיים וענן
מערך הסייבר הלאומי מונה חיבורים מרחוק בין דרכי התקיפה המרכזיות נגד ארגונים בישראל ב-2025. מדריך מעשי לעסק: RDP חשוף, מחשבים משפחתיים וראוטרים ביתיים — ואיך סוגרים את הדלתות עם חמש שכבות הגנה, בחירה נכונה בין VPN ל-Zero Trust, ומדיניות עבודה מרחוק של עמוד אחד.
ברוב העסקים הקטנים זה קרה בלי החלטה מסודרת. מנהלת החשבונות ביקשה לעבוד יום בשבוע מהבית, איש המחשבים פתח ״גישה מרחוק״ לשרת, המנכ״ל התחבר מהלפטופ הפרטי במלון — וכך, בלי שאף אחד תכנן, העסק מפוזר היום על עשרה סלונים, שלושה בתי קפה וראוטר ביתי שהסיסמה שלו לא הוחלפה מעולם. הבעיה: מה שנוח לעובדים נוח בדיוק באותה מידה לתוקפים. חיבור מרחוק לגיטימי נראה, מבחוץ, זהה לחיבור מרחוק עוין — ותוקף שהשיג סיסמה של עובד לא צריך ״לפרוץ״ לשום דבר. הוא פשוט מתחבר, כמו עוד עובד מהבית.
לפי סיכום שנת 2025 של מערך הסייבר הלאומי, חיבורים מרחוק נמנים עם דרכי התקיפה המרכזיות נגד ארגונים בישראל — לצד פישינג וגניבת זהות, נוזקות גונבות מידע (Infostealers), חולשות בשרשרת האספקה ומערכות חשופות שאינן מעודכנות. באותה שנה התקבלו במוקד 119 של המערך כ-26.5 אלף דיווחים על אירועי סייבר — עלייה של 55% לעומת 2024.
הדלתות שעבודה מרחוק פותחת — תמונת האיום
כשעובד יושב במשרד, בין המידע העסקי לאינטרנט עומדים לפחות ראוטר עסקי אחד, ולעיתים גם חומת אש מנוהלת. כשהוא יושב בסלון, ההגנות האלה מתחלפות בציוד ביתי ובהרגלים ביתיים. אלה נקודות התורפה שאנחנו פוגשים שוב ושוב בשטח:
- שולחן עבודה מרוחק (RDP) חשוף לאינטרנט. הפורט שנפתח ״זמנית״ כדי שהמנהלת תיגש לתוכנת הנהלת החשבונות נסרק סביב השעון על ידי בוטים שמנסים אלפי סיסמאות בשעה. RDP חשוף הוא אחד מערוצי הכניסה הקלאסיים למתקפות כופרה — והוא נמצא בסריקה מתמדת, גם אם ״אף אחד לא יודע את הכתובת״.
- הראוטר הביתי. סיסמת ניהול שלא הוחלפה מעולם, קושחה בת חמש שנים וממשק ניהול שנגיש מהאינטרנט. הראוטר של העובד הוא עכשיו חלק מהיקף האבטחה של העסק — בין שתרצו ובין שלא.
- המחשב המשפחתי. העובד נכנס למייל הארגוני מאותו מחשב שבו הילדים מורידים משחקים ותוספים. נוזקת Infostealer שהגיעה עם הורדה אחת קוצרת את כל הסיסמאות השמורות בדפדפן — הפרטיות והארגוניות גם יחד. לא במקרה מערך הסייבר מונה נוזקות גונבות מידע בין דרכי התקיפה הבולטות של 2025.
- Wi-Fi ציבורי. הצפנת HTTPS צמצמה מאוד את סכנת הציתות הקלאסית, אבל רשתות מתחזות ודפי התחברות מזויפים עדיין עובדים מצוין — במיוחד נגד מי שממהר להתחבר בשדה התעופה או בבית הקפה.
המשותף כמעט לכל הווקטורים האלה הוא היעד: אישורי גישה. לפי דוח Verizon DBIR 2026, אישורי גישה גנובים מופיעים ב-39% מהפריצות שנחקרו, והגורם האנושי מעורב ב-62% מהן. בעבודה מרחוק, הסיסמה של העובד היא — פשוטו כמשמעו — המפתח לדלת הראשית של העסק.
מחשב של החברה או המחשב של הבית?
ההחלטה הראשונה בכל תוכנית עבודה מרחוק היא ממה מתחברים. מחשב מנוהל של העסק מאפשר לכפות הצפנה, עדכונים, הגנת תחנות קצה וניגוב מרחוק במקרה של אובדן — אבל עולה כסף ודורש תחזוקה. מכשיר פרטי (BYOD) חוסך את העלות, אבל משאיר את העסק תלוי בהיגיינה הדיגיטלית של העובד ושל כל מי שמשתמש באותו מחשב:
| מחשב מנוהל של העסק | מכשיר פרטי (BYOD) | |
|---|---|---|
| שליטה באבטחה | מלאה — הצפנה, עדכונים, EDR וניגוב מרחוק נכפים מרכזית | חלקית — תלויה בשיתוף פעולה מתמשך של העובד |
| עלות לעסק | רכישה, ניהול ותחזוקה שוטפת | כמעט אפסית — אבל הסיכון מתומחר במקום אחר |
| פרטיות העובד | פשוטה — המכשיר שייך לעסק והשימוש בו עסקי | רגישה — נדרשת הפרדה ברורה בין אישי לעסקי |
| מתאים ל... | גישה למידע רגיש: כספים, לקוחות, מאגרי מידע | משימות קלות — מייל, יומן ומסמכים — ורק עם בקרות |
כלל האצבע שלנו: תפקידים שנוגעים בכסף, במאגרי לקוחות או במערכות ליבה — מקבלים מחשב מנוהל, נקודה. בשאר התפקידים אפשר לחיות עם BYOD, בתנאי שמגדירים דרישות מינימום (הצפנה, נעילת מסך, עדכונים) ומפרידים בין הסביבה העסקית לאישית — פרופיל עבודה נפרד בטלפון, ודפדפן או פרופיל משתמש ייעודי לעבודה במחשב. למדיניות מסודרת בנושא הקדשנו מדריך נפרד: מדיניות BYOD שעובדת בעסק ישראלי.
VPN או Zero Trust — בשפה של בני אדם
VPN הוא מנהרה מוצפנת בין המחשב של העובד לרשת של העסק: מבחוץ אף אחד לא רואה מה עובר בפנים, והעובד מתפקד כאילו ישב במשרד. זה פתרון טוב ומוכר — עם שתי מגבלות שחשוב להבין. הראשונה: VPN קלאסי הוא ״שטוח״ — מי שנכנס פנימה מקבל גישה רחבה לרשת, כך שסיסמת VPN גנובה שווה לתוקף כניסה מלאה. השנייה: שרת ה-VPN עצמו הוא מערכת חשופה לאינטרנט, ואם הוא לא מעודכן — הוא בדיוק מסוג המערכות החשופות והלא-מעודכנות שמערך הסייבר מציין כדרך תקיפה מרכזית.
גישת Zero Trust הופכת את ההיגיון: במקום ״מי שבפנים — מהימן״, שום חיבור אינו מהימן כברירת מחדל. כל התחברות נבדקת בנפרד — מי המשתמש, מאיזה מכשיר, לאיזו אפליקציה — והגישה ניתנת רק לאותה אפליקציה, לא לכל הרשת. בעסק קטן זה נשמע מפחיד, אבל בפועל רוב הדרך כבר סלולה: אם המערכות שלכם בענן (Microsoft 365, Google Workspace, מערכת CRM בדפדפן), כניסה מרוכזת דרך חשבון ארגוני אחד (SSO) עם אימות רב-שלבי היא כבר יישום מעשי של הרעיון — הזהות היא ההיקף החדש, לא הרשת.
ולכן ההכרעה המעשית פשוטה משנדמה: יש לכם שרתים מקומיים במשרד? חברו אותם דרך VPN עם אימות רב-שלבי — ולעולם, לעולם אל תחשפו RDP ישירות לאינטרנט. עברתם כמעט לגמרי לענן? ייתכן שאתם לא צריכים VPN בכלל — אתם צריכים ניהול זהויות הדוק: SSO, MFA וכללי גישה מותנית. ומה שבטוח: אלה לא שכבת הגנה אחת אלא חמש, שעובדות יחד.

חמש השכבות בפועל
- זהות — MFA על הכול, בלי יוצא מן הכלל. מייל, VPN, מערכת השכר, ה-CRM וחשבון הענן. מחקרי Microsoft מצאו שאימות רב-שלבי חוסם למעלה מ-99% מניסיונות ההשתלטות על חשבונות — ההשקעה המשתלמת ביותר ברשימה הזאת. המדריך המלא שלנו ל-MFA בעסק מסביר איך מטמיעים בלי מרד עובדים.
- מכשיר — הצפנה, נעילה, עדכונים. הצפנת דיסק מלאה (BitLocker ב-Windows, FileVault ב-Mac) הופכת לפטופ שנגנב מהרכב מאסון דליפת מידע לאובדן ציוד בלבד. נעילת מסך אוטומטית אחרי דקות ספורות, עדכוני מערכת אוטומטיים, והגנת תחנות קצה (EDR) במכשירים שניגשים למידע רגיש.
- חיבור — מנהרה או זהות, אף פעם לא דלת פתוחה. VPN עם MFA לשרתים מקומיים, גישה מבוססת זהות לענן, ואפס שירותים חשופים ישירות לאינטרנט.
- ענן ומידע — הרשאות מינימום. כל עובד ניגש רק למה שהוא צריך; קבצים עסקיים נשמרים בענן הארגוני ולא בכונן המקומי או בדרייב הפרטי; והפרדה בין פרופיל עבודה לפרופיל אישי בטלפון ובמחשב.
- אנשים — מדיניות, הדרכה, ונוהל דיווח. עובד שיודע לזהות דף התחברות מזויף ויודע למי מתקשרים כשמשהו נראה מוזר שווה יותר מעוד כלי. חשוב במיוחד: נוהל דיווח מיידי על מכשיר שאבד או נגנב.
הראוטר בסלון ופגישות הזום — ההיגיינה הקטנה שמצטברת
אי אפשר לנהל את הראוטר של כל עובד, אבל אפשר — ורצוי — לתת לעובדים דף הנחיות של חמש דקות: להחליף את סיסמת הניהול של הראוטר מברירת המחדל, לוודא שהקושחה מתעדכנת (בראוטרים חדשים זה אוטומטי — צריך רק לוודא שהאפשרות דולקת), להשתמש בהצפנת WPA2 או WPA3 עם סיסמת רשת חזקה, ולכבות ניהול מרחוק מהאינטרנט אם אינו נחוץ. מי שרוצה צעד אחד קדימה: רשת אורחים נפרדת למכשירים החכמים של הבית, כדי שהטלוויזיה והשואב לא יישבו על אותה רשת עם הלפטופ של העבודה.
ומילה על פגישות וידאו, שהפכו לחדר הישיבות הראשי: חדר המתנה (Waiting Room) בפגישות עם גורמים חיצוניים, בלי לפרסם קישורי פגישה קבועים בפומבי, משמעת שיתוף מסך — לשתף חלון ולא את כל המסך, אחרי שסגרתם את המייל ואת קובץ השכר — והקלטות רק בידיעת המשתתפים, עם שמירה בענן הארגוני בלבד. הקלטת פגישה שמתגלגלת בתיקייה פתוחה היא דליפת מידע לכל דבר.
לנטר בלי לרמוס: פיקוח, אמון ופרטיות עובדים
כשהעובדים רחוקים מהעין, מגיע הפיתוי להתקין ״כלי מעקב״ — צילומי מסך, מעקב הקלדות, מדידת דקות פעילות. עצרו. בדין הישראלי לפרטיות העובד יש מעמד חזק גם במחשב של המעסיק, וניטור נרחב — ודאי ניטור סמוי, ועל אחת כמה וכמה במכשיר פרטי — חושף את העסק לתביעות ולסיכון רגולטורי. העיקרון המנחה: מנטרים מערכות, לא אנשים — התראות על התחברות ממדינה זרה, על הורדה חריגה של קבצים או על כיבוי הצפנה הן ניטור אבטחה לגיטימי; מדידת קצב ההקלדות של העובדת בסלון ביתה היא סיפור אחר לגמרי. ומה שעושים — עושים בשקיפות מלאה ובמדיניות כתובה שהעובדים מכירים. הרחבנו על הגבולות המשפטיים במדריך פרטיות עובדים: מה מותר למעסיק.
נתקלנו לא פעם בעסקים שהתקינו תוכנת ניטור ״שקטה״ על מחשבים — כולל מחשבים פרטיים של עובדים — בלי מדיניות, בלי יידוע ובלי הגדרת מטרה. התוצאה הצפויה: משבר אמון מול הצוות וחשיפה משפטית שעולה הרבה יותר מכל נזק שהניטור נועד למנוע. ניטור אבטחה חייב לעמוד בשלושה מבחנים — מטרה לגיטימית, מידתיות, ושקיפות מלאה. אם אחד מהם חסר, אל תפעילו.
מדיניות עבודה מרחוק: עמוד אחד ששווה יותר מעשרה כלים
כל מה שתיארנו עד כאן מתנקז למסמך אחד קצר — מדיניות עבודה מרחוק. לא חוברת של עשרים עמודים שאיש לא יקרא, אלא עמוד או שניים שכל עובד חדש מקבל וחותם עליו. מדיניות טובה עונה על עשר שאלות: מי רשאי לעבוד מרחוק ומאילו מכשירים; מה חובה בכל מכשיר (הצפנה, נעילה, עדכונים); איך מתחברים (ואיך אסור); איפה שומרים קבצים; מה הכללים ברשתות ציבוריות; איך מפרידים בין עבודה לשימוש אישי; מה כללי פגישות הווידאו; מה מנוטר ולמה; ולמי מדווחים — ובאיזו מהירות — כשמכשיר אובד או משהו נראה חשוד.

צ׳קליסט: מה עושים כבר השבוע
- בדקו אם יש לכם RDP או שירות ניהול אחר חשוף ישירות לאינטרנט — ואם כן, סגרו אותו היום והעבירו את הגישה ל-VPN.
- הפעילו אימות רב-שלבי על כל שירות ארגוני: מייל, ענן, VPN, מערכות כספים.
- ודאו שהצפנת דיסק מלאה פעילה בכל מחשב נייד שנוגע במידע עסקי, ושנעילת מסך אוטומטית מוגדרת.
- מפו מי מהעובדים עובד ממכשיר פרטי, ומה בדיוק הוא עושה שם — זו התשתית להחלטת BYOD מסודרת.
- שלחו לעובדים דף הנחיות קצר לראוטר הביתי: החלפת סיסמת ניהול, עדכון קושחה, WPA2/WPA3.
- קבעו נוהל דיווח: מספר טלפון אחד שמתקשרים אליו מיד כשמכשיר אובד או כשמשהו נראה חשוד — בלי חשש מנזיפה.
- כתבו מדיניות עבודה מרחוק של עמוד אחד לפי עשרת הסעיפים שלמעלה, והחתימו עליה את כל העובדים.
- אם אתם מנטרים משהו — ודאו שזה כתוב, מידתי, ושכל עובד יודע בדיוק מה נאסף ולמה.
השורה התחתונה
עבודה מרחוק היא לא הבעיה — עבודה מרחוק שאף אחד לא תכנן היא הבעיה. התוקפים כבר הבינו שהדרך הקצרה לעסק לא עוברת דרך חומת האש במשרד אלא דרך הסלון של העובד, וסימנו את החיבורים מרחוק כאחת מדרכי הכניסה המועדפות. החדשות הטובות: עסק קטן לא צריך תקציב של בנק כדי לסגור את הדלתות האלה. זהות מאומתת, מכשיר מוצפן, חיבור מנוהל, הרשאות מינימום ומדיניות של עמוד אחד — חמש שכבות שאפשר להקים בשבועות ספורים, ושהופכות את העבודה מהבית ממקור החרדה של העסק לשגרה בטוחה.
לא בטוחים איפה העסק שלכם חשוף? Cybertis מלווה עסקים וארגונים כ-CISO חיצוני — ממיפוי נקודות התורפה בעבודה מרחוק, דרך בחירת הכלים הנכונים לגודל שלכם, ועד כתיבת מדיניות והטמעה מול העובדים. הפגישה הראשונה עלינו.
לשירות CISO כשירות*האמור במאמר זה הוא מידע כללי בלבד ואינו מהווה ייעוץ מקצועי או משפטי מחייב. יישום בפועל תלוי במאפייני הארגון, במערכות שבשימוש ובדרישות הדין החלות עליו, ומחייב בחינה פרטנית.*