דלגו לתוכן
אבטחה לעסק11 בינואר 202610 דק׳ קריאה

הספק שלכם הוא הפרצה שלכם: ניהול סיכוני צד ג׳ לעסק קטן

לפי Verizon DBIR 2026, כמעט מחצית מהפריצות בעולם עוברות דרך צד שלישי — ובישראל פריצה אחת ל-Signature-IT הדליפה מידע מעשרות ארגונים, מאיקאה ישראל ועד משרדי ממשלה. מה תקנה 15 דורשת מכם בהתקשרות עם ספקים, ותוכנית חמישה שלבים במידות של עסק קטן: מיפוי, תיעדוף, שאלון עשר שאלות, חוזה ומעקב.

ר.ש
רותם שיינס · מנכ״ל ובעלים
מומחה אבטחת מידע ופרטיות · Cybertis · מעל 10 שנות ניסיון

עשיתם את העבודה: אימות רב-שלבי על המייל, גיבויים מסודרים, עובדים שכבר יודעים לזהות פישינג. ואז, בוקר אחד, האתר לא עולה, מערכת החשבוניות לא מגיבה — ובערוץ טלגרם עוין מתפרסם קובץ עם פרטי הלקוחות שלכם. לא אתם נפרצתם. חברת האחסון שלכם נפרצה. אבל מבחינת הלקוחות שלכם, הרשות להגנת הפרטיות והעיתונות — אין הבדל: המידע שנמסר לכם נמצא בחוץ, והשם שמופיע בכותרת הוא שלכם.

זה לא תרחיש קצה, וזו כבר לא בעיה שולית. דוח חקירות הפריצות של Verizon‏ (DBIR) לשנת 2025 מצא שמעורבות של צד שלישי בפריצות הוכפלה בתוך שנה — ל-30% מכלל הפריצות. בדוח 2026 המספר קפץ שוב: 48% מהפריצות בעולם ערבו צד שלישי — עלייה של 60% בשנה אחת. במילים פשוטות: כמעט מחצית מהפריצות היום לא מתחילות אצל הקורבן, אלא אצל מישהו שהקורבן סומך עליו. גם מערך הסייבר הלאומי מנה חולשות בשרשרת האספקה בין שיטות התקיפה המרכזיות נגד ארגונים ישראליים ב-2025.

מה זה בכלל ״צד שלישי״?

כל גורם חיצוני שנוגע במידע, במערכות או במשרד שלכם: ספק ה-IT, תוכנת הנהלת החשבונות בענן, חברת אחסון האתר, לשכת השכר, רואה החשבון — וגם חברת הניקיון עם המפתח הפיזי. בשפת חוק הגנת הפרטיות, ספק שמעבד עבורכם מידע אישי נקרא ״מחזיק״ — ואתם, כ״בעל השליטה במאגר״, נשארים אחראים למה שקורה למידע גם כשהוא אצלו.

פריצה אחת, עשרות קורבנות: השיעור הישראלי

ישראל סיפקה בעשור האחרון שניים מהשיעורים הממחישים ביותר בעולם לסיכון צד ג׳. הראשון: באוקטובר–נובמבר 2021 פרצה קבוצת Black Shadow, המזוהה עם איראן, לחברת האחסון הישראלית Cyberserve. תוצאת הפריצה לחברה אחת: אתרי דן, קווים וארגונים רבים נוספים הושבתו — ומאגר המשתמשים של אפליקציית ההיכרויות אטרף, על המידע האינטימי שבו, הודלף לרשת לאחר שדרישת כופר של כמיליון דולר לא נענתה. אף אחד מהארגונים האלה לא ״נפרץ״ בעצמו. הם רק בחרו ספק אחסון.

השיעור השני גדול עוד יותר: בנובמבר–דצמבר 2023 פרצה קבוצת Cyber Toufan לחברת האחסון והמסחר האלקטרוני Signature-IT. לפי דיווחי The Record ו-Dark Reading, מפריצה אחת זו דלף מידע של עשרות ארגונים ישראליים — בהם איקאה ישראל, טויוטה ישראל, רשות החדשנות ומשרד הרווחה — בהדלפות יומיות בטלגרם, ובסך הכול נפגעו לפי ההערכות עשרות עד למעלה ממאה ארגונים בתוך כחודש. שוב: ארגונים גדולים ומקצועיים, שההגנה שלהם עצמם לא נפרצה כלל. הצטרפו לספק הלא נכון — וזה הספיק.

המסקנה המעשית לעסק קטן חדה: רמת האבטחה שלכם היא רמת האבטחה של הספק החלש ביותר שלכם. אפשר להשקיע כל שקל נכון בתוך העסק — ולהישאר חשופים לגמרי דרך מי שמחזיק לכם את הדאטה.

״לעסק שלי אין שרשרת אספקה״? בואו נבדוק

בעלי עסקים קטנים שומעים ״ניהול סיכוני צד שלישי״ וחושבים על תאגידים עם אלפי ספקים. בפועל, גם לעסק של 15 עובדים יש בדרך כלל 10–20 גורמים חיצוניים עם גישה למידע או למערכות — ולרובם גישה רחבה בהרבה משנדמה:

  • ספק ה-IT (״המחשבים שלנו״). בדרך כלל עם הרשאות אדמין מלאות לכל תחנה ושרת, ולעיתים גישה מרחוק קבועה. פריצה אליו = פריצה אליכם, בלי שלב ביניים.
  • תוכנת הנהלת החשבונות והחשבוניות בענן. כל הנתונים הפיננסיים: לקוחות, ספקים, מחירים, חשבונות בנק.
  • אחסון האתר וספק הדומיין. האתר עצמו, טפסי הלידים, ולפעמים גם פרטי לקוחות — כפי שהוכיחו Cyberserve ו-Signature-IT.
  • לשכת השכר או תוכנת השכר. תעודות זהות, שכר וחשבונות בנק של כל העובדים.
  • רואה החשבון. מרכז אצלו את המידע הרגיש ביותר של העסק — ושל עוד מאות עסקים כמוכם, מה שהופך אותו למטרה מועדפת. הרחבנו על זה במדריך אבטחת מידע לרואי חשבון.
  • ספקים ״לא דיגיטליים״. חברת ניקיון עם מפתח פיזי, טכנאי מיזוג עם גישה לחדר התקשורת, מאבטח עם קוד אזעקה. גישה פיזית היא וקטור תקיפה לכל דבר.
מפת שטח התקיפה של הספקים בעסק קטן: ספק IT, הנהלת חשבונות בענן, אחסון אתר, לשכת שכר, רואה חשבון וספקים פיזיים — לצד נתוני DBIR על מעורבות צד שלישי בפריצות
שטח התקיפה האמיתי של עסק קטן. נתונים: Verizon DBIR 2025–2026

השכבה המשפטית: זה לא רק סיכון — זו חובה

רבים לא מודעים לכך, אבל ניהול ספקים הוא דרישה רגולטורית מפורשת בישראל. תקנה 15 לתקנות הגנת הפרטיות (אבטחת מידע), התשע״ז-2017 — תקנת ״מיקור החוץ״ — קובעת שבעל מאגר חייב לבחון את סיכוני אבטחת המידע לפני ההתקשרות עם ספק חיצוני שמעבד עבורו מידע אישי, ולעגן בהסכם כתוב, בין היתר:

  • איזה מידע מותר לספק לעבד, לאיזו מטרה ולאילו מערכות מותר לו לגשת;
  • מה קורה למידע בתום ההתקשרות — השבה או השמדה, עם דיווח חזרה לבעל המאגר;
  • איך הספק מיישם את חובות אבטחת המידע שחלות עליו לפי התקנות;
  • חובת סודיות של עובדי הספק, והחלת אותן דרישות על קבלני משנה שלו;
  • דיווח מיידי לבעל המאגר על כל אירוע אבטחה, ודיווח לפחות אחת לשנה על אופן קיום החובות.

התקנות גם מחייבות אתכם לקיים בקרה ופיקוח שוטפים על הספק, בהיקף שמותאם לסיכון. ומאז שתיקון 13 לחוק הגנת הפרטיות נכנס לתוקף ב-14.8.2025, להפרות יש תג מחיר מנהלי: הפרות של תקנות אבטחת מידע גוררות עיצומים כספיים של עד 80,000 ₪ למאגר ברמת אבטחה בינונית ועד 320,000 ₪ ברמה הגבוהה (כפול — במאגרים עם יותר ממיליון נושאי מידע), ואפילו במאגרים ברמה הבסיסית, הפרה בפיקוח על מיקור חוץ מדורגת בסכום מוגבה. חשוב להבין גם את מנגנון האחריות הכפולה: אם הוטל עיצום על הספק (ה״מחזיק״) והפרה נמשכת — ניתן להטיל את אותו עיצום גם עליכם, בעל השליטה במאגר. לא בטוחים לאיזו רמת אבטחה המאגר שלכם שייך? הסברנו את זה במדריך רמות האבטחה.

תוכנית ניהול ספקים במידות של עסק קטן

לא צריך מחלקת רכש ולא פלטפורמת GRC. תוכנית אפקטיבית לעסק קטן היא חמישה שלבים, שאת רובם עושים פעם אחת ומתחזקים פעם בשנה.

שלב 1: מיפוי — מי ניגש למה

טבלת אקסל אחת: שם הספק, איזה מידע או מערכת הוא נוגע בהם, סוג הגישה (אדמין / משתמש / פיזית), ומי אצלכם אחראי על הקשר. שעה-שעתיים של עבודה, וכבר יש לכם את המסמך שרוב העסקים בישראל לא מחזיקים — ושהוא בפועל הבסיס לעמידה בתקנה 15.

שלב 2: תיעדוף — לא כל הספקים שווים

דרגהמי נכנס אליהמה עושים
קריטיגישת אדמין או ריכוז מידע רגיש: ספק IT, תוכנת הנה״ח, לשכת שכר, אחסון האתרשאלון מלא, נספח אבטחה בחוזה, בדיקה שנתית מחודשת
גבוהגישה למידע מוגבל או גישה פיזית: רו״ח, CRM, חברת ניקיון, טכנאיםשאלון מקוצר, סעיפי סודיות ואבטחה בחוזה
נמוךבלי גישה למידע אישי או למערכות: ספקי סחורה, שירותים חד-פעמייםרישום במיפוי בלבד

שלב 3: שאלון עשר השאלות

לספקים בדרגות קריטי וגבוה שולחים שאלון קצר — לא 300 שאלות של תאגיד, אלא עשר שאלות שמכסות את עיקר הסיכון. התשובות מעניינות, אבל לא פחות מהן — איך הספק עונה: ספק רציני משיב תוך ימים ובכתב; ספק שמתחמק כבר ענה לכם.

שאלון ספק בן עשר שאלות לעסק קטן: MFA, גישה אישית, גיבויים, הצפנה, התחייבות דיווח על אירוע, הסמכות, קבלני משנה, מחיקת מידע, עזיבת עובדים ועדכוני אבטחה
שאלון הספק המלא — מבוסס על דרישות תקנה 15 לתקנות אבטחת מידע

שלב 4: החוזה — שלושה סעיפים שאסור לוותר עליהם

  • נספח אבטחת מידע שמעגן את דרישות תקנה 15: מה מותר לעבד, מי ניגש, אילו אמצעי הגנה מיושמים.
  • SLA לדיווח על אירוע אבטחה — התחייבות בשעות (למשל: יידוע תוך 24 שעות מגילוי), לא ״בהקדם האפשרי״. בלי זה תגלו על הפריצה מהעיתון, בזמן שחובת הדיווח שלכם לרשות להגנת הפרטיות כבר רצה.
  • סעיף סיום התקשרות — מחיקה או השבה מתועדת של כל המידע כשנפרדים, כולל מגיבויים, עם אישור בכתב.

שלב 5: מעקב שוטף

פעם בשנה: לרענן את המיפוי, לשלוח שוב את השאלון לספקים הקריטיים ולוודא שההסכמים עדכניים — זו גם בדיוק הזדמנות לדרוש את הדיווח השנתי שתקנה 15 מחייבת את הספק למסור. ובין לבין: התראת גוגל על שם הספק + ״פריצה״ או ״סייבר״ עולה דקה ושווה זהב. ספק שנפרץ אצל לקוח אחר — זו אזהרה מוקדמת בשבילכם.

דגלים אדומים אצל ספק

ספק שמתחמק משאלות אבטחה או נעלב מהן; טכנאים שמתחברים עם סיסמה משותפת אחת לכל הצוות; גישה מרחוק בלי MFA; ״אין לנו צורך בגיבויים, הכול בענן״; אין איש קשר מוגדר לאירוע אבטחה; והדגל הבוהק מכולם — סירוב לחתום על נספח אבטחה או על התחייבות לדיווח על אירוע. כל אחד מאלה הוא סיבה לשיחה קשה; שניים ומעלה — סיבה לחפש ספק אחר.

מהשטח: תתחילו מהאדמין המשותף

כמעט בכל עסק קטן שאנחנו ממפים, הממצא הראשון זהה: לספק ה-IT יש חשבון אדמין אחד, משותף לכל הטכנאים, בלי MFA, ואף אחד בעסק לא יודע מי התחבר ומתי. זו נקודת התורפה מספר אחת של סיכון צד ג׳ ב-SMB — ותיקון שלה (חשבון אישי לכל טכנאי + MFA + תיעוד התחברויות) הוא שיחה אחת עם הספק, בעלות אפס.

צ׳קליסט לשבוע הקרוב

  1. בנו את טבלת המיפוי: כל ספק, מה הגישה שלו, מי אחראי עליו אצלכם.
  2. סמנו את הספקים הקריטיים — בדרך כלל 3–5: ספק IT, הנה״ח, שכר, אחסון האתר.
  3. בטלו כל חשבון אדמין משותף של ספק, ודרשו MFA וחשבון אישי לכל טכנאי.
  4. שלחו לספקים הקריטיים את שאלון עשר השאלות (האינפוגרפיקה למעלה — מוכנה לשליחה).
  5. בדקו אם יש בחוזים נספח אבטחה והתחייבות דיווח על אירוע; אם אין — בקשו תוספת חתומה.
  6. הגדירו התראת חדשות על שמות הספקים הקריטיים שלכם.
  7. קבעו תזכורת שנתית ביומן: רענון מיפוי, שאלון חוזר ודרישת הדיווח השנתי מהספקים.

השורה התחתונה: אי אפשר להוריד את סיכון הספקים לאפס — אבל ההבדל בין עסק שמופתע מפריצת ספק לבין עסק ששולט בה הוא כמה שעות עבודה בשנה. את המספרים כבר ראיתם: כמעט מחצית מהפריצות מגיעות היום דרך צד שלישי. השאלה היא לא אם ספק שלכם ייפרץ מתישהו — אלא אם תדעו על זה מהספק, בזמן, עם חוזה שמגן עליכם, או מערוץ טלגרם.

לא בטוחים אילו ספקים חושפים אתכם ומה לדרוש מהם? שירות ה-CISO החיצוני של Cybertis כולל מיפוי ספקים, שאלוני צד ג׳ מותאמים, נספחי אבטחה לחוזים ובקרה שוטפת — בהיקף שמתאים לעסק קטן. הפגישה הראשונה עלינו.

לשירות CISO חיצוני לעסק

*האמור במאמר זה הוא מידע כללי בלבד ואינו מהווה ייעוץ משפטי או מקצועי מחייב. יישום הדרישות בפועל תלוי במאפייני העסק, בסוגי המידע וברמת האבטחה החלה על המאגרים, ומחייב בחינה פרטנית.*

תכנון מראש, לא תגובה בדיעבד

בואו נדבר על חוסן הסייבר של הארגון שלכם.

שיחת היכרות של 30 דקות עם בכיר/ה מהצוות שלנו. ללא מצגות מכירה וללא לחץ — רק תמונת מצב אמיתית של היכן אתם נמצאים ולאן כדאי להמשיך.

תגובה ראשוניתתוך 4 שעות
פגישת היכרותללא עלות וללא התחייבות
אופן ההתקשרותפרויקט נקודתי או התקשרות שוטפת
כתובת לאירוע פעילsoc@cybertis.co.il