דלגו לתוכן
ליווי מאומץ AI בטוח — ממדיניות ועד בדיקות

אבטחת AI ארגונית

הארגון שלכם כבר משתמש ב-AI — בידיעתכם או בלעדיה. אנחנו עוזרים להנהלה לאמץ LLM, צ׳אטבוטים ו-RAG בלי לדלוף מידע רגיש ובלי להסתבך מול רגולציה: מדיניות שימוש, בקרות טכניות, בדיקת ספקי AI והיערכות ל-ISO 42001 ולרגולציית ה-AI האירופית.

תוצאות עיקריות

מה אתם מקבלים בסוף.

  • מדיניות שימוש ב-AI שמאזנת בין פרודוקטיביות לסיכון — ונאכפת בפועל

  • מיפוי כל נקודות ה-AI בארגון: כלים מאושרים, Shadow AI וספקים

  • בקרות טכניות למניעת דליפת מידע רגיש למודלים חיצוניים

  • בדיקת אבטחה ליישומי LLM/RAG פנימיים — כולל Prompt Injection

  • מוכנות ל-ISO 42001 ולדרישות AI של לקוחות ורגולטורים

תוצרים

מה נמסר לכם בפועל.

  • 01מיפוי שימושי AI וסיכונים (AI Risk Assessment)
  • 02מדיניות AI ארגונית + נוהל אישור כלים חדשים
  • 03מסמך בקרות ליישומי LLM/RAG — הרשאות, סינון, ניטור
  • 04בדיקת אבטחה יישומית ל-AI (כולל תרחישי Prompt Injection)
  • 05סקירת ספקי AI והסכמי עיבוד מידע (DPA)
  • 06מפת דרכים ל-ISO 42001 לפי הצורך
למי זה מתאים

המצבים שבהם חברות פונות אלינו.

סימנים שמהם רוב הלקוחות שלנו מזהים שהגיע הזמן לפנות.

העובדים כבר מדביקים מידע ל-ChatGPT

אין מדיניות, אין רשימת כלים מאושרים, ואף אחד לא יודע איזה מידע רגיש כבר יצא החוצה.

אתם משלבים LLM במוצר

צ׳אטבוט, RAG על דאטה של לקוחות או Agent — ולקוח גדול שואל בשאלון האבטחה מה עשיתם בנושא.

רגולציה או לקוח דורשים מסגרת AI

ISO 42001, ה-AI Act האירופי או מדיניות רכש של אנטרפרייז — צריך תוכנית מסודרת, לא מצגת.

מעבדים מידע אישי במערכות AI

שילוב של תיקון 13 ו-AI מייצר שאלות חדשות: בסיס חוקי, שקיפות, וספקי משנה — וצריך תשובות מתועדות.

העלות של חוסר פעולה

מה קורה אם דוחים את ההחלטה

אימוץ AI בלי בקרות הוא ערוץ דליפה חדש: מידע לקוחות שמודבק במודלים ציבוריים, יישומי LLM שפגיעים ל-Prompt Injection, וספקי AI שלא נבדקו מקבלים גישה לדאטה. במקביל, לקוחות אנטרפרייז כבר מוסיפים פרקי AI לשאלוני האבטחה — ומי שאין לו תשובות מפסיד עסקאות.

מה שונה אצלנו

ההבדל בינינו לבין יועץ סייבר רגיל

אנחנו לא מוכרים כלי AI ולא פלטפורמה — אנחנו מאבטחים את מה שבחרתם. הליווי משלב את הצד הניהולי (מדיניות, ממשל, רגולציה) עם בדיקות טכניות בפועל על היישומים שלכם, ומתחבר ישירות לעבודת הפרטיות שלנו סביב תיקון 13 ו-GDPR — כי ב-AI, אבטחה ופרטיות הן אותה שאלה.

מה קורה בפגישה הראשונה

30–45 דקות, ללא עלות. נמפה יחד איפה AI כבר חי אצלכם — כלים, מוצר, ספקים — ותקבלו תמונת סיכון ראשונית ושלושה צעדים מיידיים, בלי קשר להמשך.

תיאום פגישה
מדריך מעמיק

אבטחת AI ארגונית — ממיפוי ועד בקרות שעובדות

רוב הארגונים שפונים אלינו לא מתחילים מאפס — הם מתחילים ממינוס. כלי AI כבר בשימוש יומיומי אצל העובדים, יוזמת LLM כבר רצה במוצר, ואף אחד לא יודע להגיד אילו כלים בשימוש, איזה מידע זורם אליהם ומה הספקים עושים איתו. לתופעה הזו קוראים Shadow AI, והיא נקודת הפתיחה של כמעט כל תהליך: אי אפשר לאבטח את מה שלא מיפית. חשוב להבין ש-Shadow AI איננו בעיית משמעת אלא בעיית היצע — עובדים פונים לכלים חיצוניים כשאין להם חלופה מאושרת שעונה על הצורך. לכן התגובה הנכונה איננה חסימה גורפת (שרק דוחפת את השימוש למכשירים פרטיים, הרחק מכל נראוּת) אלא תהליך מסודר שמחזיר את השליטה בלי לוותר על הערך. הליווי שלנו בנוי כתהליך מדורג בחמישה שלבים — כל שלב מקטין סיכון אמיתי ומייצר את התשתית לשלב הבא, וכל שלב מסתיים בתוצר מוחשי שההנהלה יכולה לראות, לא במצגת.

איך נראה תהליך הליווי

  1. מיפוי. תמונת מצב מלאה של נקודות ה-AI בארגון: כלים שבשימוש העובדים (כולל Shadow AI), יישומי LLM/RAG במוצר ובמערכות פנימיות, ספקים והזרמות מידע. התוצר — AI Risk Assessment עם דירוג סיכונים וסדר עדיפויות.
  2. מדיניות וממשל. מדיניות שימוש קצרה שנכתבת כדי להיקרא, רשימת כלים מאושרים עם חלופה ארגונית לצרכים הנפוצים, נוהל אישור מהיר לכלים חדשים והגדרת אחריות — מי מחליט, מי בודק, מי מעדכן.
  3. בקרות טכניות. תרגום המדיניות לשטח: הגדרות אבטחה בכלים המאושרים, בקרות למניעת דליפת מידע רגיש, ועיצוב בקרות ליישומי LLM/RAG — הרשאות, סינון וניטור בשכבות הנכונות.
  4. בדיקות. בדיקת אבטחה יישומית ל-AI שלכם, כולל תרחישי Prompt Injection ישיר ועקיף, ניסיונות חילוץ מידע דרך ההקשר ובחינת הרשאות בפועל. ממצאים עם תיקונים מוגדרים — לא דוח גנרי.
  5. ליווי שוטף. הכלים משתנים כל רבעון, וכך גם הסיכונים. עדכון רשימת הכלים והמדיניות, בדיקת ספקים חדשים, בדיקות חוזרות אחרי שינויים מהותיים ומענה לשאלוני אבטחה של לקוחות.

שני עקרונות מלווים את כל השלבים. הראשון — פרופורציה: סטארטאפ של עשרים עובדים לא צריך את אותה מסגרת כמו ארגון בריאות עם מאגרי מטופלים, והתהליך מכויל לגודל, לרגישות המידע ולבשלות הארגון. השני — בעלות בתוך הארגון: אנחנו בונים את המסגרת יחד עם האנשים שלכם ומגדירים מי מחזיק כל חלק ממנה בהמשך, כך שביום שהליווי מסתיים המסגרת לא מתפרקת. את הצד הטכני אנחנו עושים על המערכות האמיתיות שלכם — לא על סביבת דמו — כי ההבדל בין בקרה שנראית טוב במסמך לבקרה שמחזיקה מול קלט עוין מתגלה רק שם.

עקרונות בקרה ליישומי RAG

מערכות RAG הן המקום שבו רוב הארגונים טועים, כי הן נראות כמו פיצ׳ר חיפוש ומתנהגות כמו ערוץ גישה למידע. הדפוס שחוזר על עצמו: מאגר הידע נבנה מכל המסמכים הזמינים — מסמכי HR, סיכומי הנהלה, חוזי לקוחות — והמודל מגיש מהם תשובות לכל מי ששואל. התוצאה היא עקיפה שקטה של כל מערך ההרשאות שהארגון בנה במשך שנים, בלי שאף בקרה קיימת התריעה. שלושה עקרונות עומדים בבסיס הבקרה:

עיקרוןמה זה אומר בפועל
הרשאות בשכבת האחזוראכיפת ההרשאות חייבת לקרות לפני שהמסמך מגיע למודל — המנוע שולף עבור המשתמש רק מסמכים שהוא מורשה להם. סינון בתשובה עצמה הוא מאוחר מדי.
סינון קלט ופלטבדיקת קלט נכנס (כולל תוכן ממסמכים ומקורות חיצוניים — ערוץ ה-Prompt Injection העקיף) וסינון פלט יוצא לפני שהוא מגיע למשתמש.
לוגים וניטורתיעוד מלא של שאילתות, מסמכים שאוחזרו ותשובות — גם לחקירת אירועים וגם לזיהוי דפוסי שימוש חריגים לפני שהם הופכים לאירוע.

מוכנות ל-ISO 42001

ISO/IEC 42001 — תקן מערכת ניהול ה-AI הבינלאומי — הופך בהדרגה לדרישה בשאלוני אבטחה של לקוחות אנטרפרייז, במכרזים ובביקורות ספקים. היתרון של התהליך שלנו הוא שהוא בנוי מראש לפי הלוגיקה של התקן: מיפוי הסיכונים, המדיניות, הבקרות והתיעוד שנוצרים בליווי הם בדיוק אבני הבניין של מערכת ניהול AI (AIMS). ארגון שסיים את התהליך יכול להחליט אם להמשיך להסמכה מלאה מול גוף מסמיך או להסתפק במוכנות מוכחת — ובשני המקרים יש לו תשובות מתועדות לכל מי ששואל, במקום להתחיל פרויקט חדש בכל פעם ששאלון נוחת. ולמי שמעבד מידע אישי במערכות AI, המסגרת מתחברת ישירות לעבודת הציות סביב תיקון 13: הסכמי עיבוד מול ספקי AI, שקיפות כלפי נושאי המידע ואבטחת מידע לפי התקנות — אבטחה ופרטיות ב-AI הן אותה שאלה, ואנחנו מטפלים בהן כמקשה אחת.

מתחילים משיחת מיפוי — עלינו

חצי שעה עם יועץ, שבסופה תקבלו תמונה ראשונית של נקודות ה-AI בארגון, הסיכונים הדחופים ושלושת הצעדים הראשונים. תיאום שיחת מיפוי חינם.

שאלות נפוצות

שאלות שלקוחות שואלים לפני שמתחילים.

לא מצאתם את התשובה? פגישת היכרות של 30 דקות, ללא עלות.

האם עדיף פשוט לחסום AI לגמרי?
כמעט תמיד לא. חסימה גורפת דוחפת את השימוש לטלפונים ולחשבונות פרטיים — הארגון מאבד גם את הפרודוקטיביות וגם את הנראוּת. הגישה שעובדת היא חלופה מאושרת ומאובטחת לצרכים הנפוצים, לצד מדיניות ברורה על מה אסור.
מה זה Prompt Injection, בשפה פשוטה?
זו דרך לגרום למודל שפה לבצע הוראות של תוקף במקום את ההוראות שקיבל מהמערכת. ההוראה יכולה להגיע ישירות מהמשתמש, או להיות מוסתרת בתוכן שהמודל קורא — מסמך, דף אינטרנט או מייל. במערכות שמחוברות לדאטה או מבצעות פעולות, זה הסיכון המרכזי שצריך לבדוק.
האם מותר לעובדים להשתמש ב-ChatGPT לפי תיקון 13?
השימוש עצמו אינו אסור, אבל ברגע שמוזן לכלי מידע אישי — של לקוחות, עובדים או מטופלים — חלות חובות תיקון 13: הסכם עיבוד מול הספק, בחינת העברת מידע לחו״ל ואבטחת מידע לפי התקנות. שימוש בחשבון חינמי פרטי עם מידע אישי הוא כמעט תמיד פער ציות. הפתרון: תצורה ארגונית מוסדרת וכללים ברורים לגבי מה מותר להזין.
מה זה ISO 42001 והאם אנחנו צריכים אותו?
זהו התקן הבינלאומי הראשון למערכת ניהול AI — מקביל ל-ISO 27001, אבל לממשל בינה מלאכותית. הסמכה מלאה נדרשת בעיקר כשלקוחות או מכרזים דורשים אותה; לרוב הארגונים ההשקעה הנכונה היא בניית המסגרת לפי עקרונות התקן, כך שהסמכה עתידית תהיה צעד קצר ולא פרויקט חדש.
האם ה-AI Act האירופי חל על חברה ישראלית?
הוא עשוי לחול — למשל כשמערכת ה-AI שלכם משווקת באיחוד האירופי או שהפלט שלה משמש משתמשים שם. התחולה תלויה באופי המערכת ובסיווג הסיכון שלה, ולכן הצעד הראשון הוא מיפוי: איפה אתם נוגעים באירופה ובאיזו רמת סיכון. אנחנו מלווים בהיערכות — לא מבטיחים ״עמידה מלאה״, כי זו קביעה שדורשת בחינה משפטית פרטנית.
כמה זמן לוקח לבנות מסגרת אבטחת AI?
בסיס עובד — מיפוי, מדיניות, רשימת כלים מאושרים והדרכה — נבנה בדרך כלל תוך 3–6 שבועות. בדיקות עומק ליישומי LLM/RAG ומוכנות ל-ISO 42001 מתווספות לפי הצורך, והליווי השוטף שומר על המסגרת עדכנית כשהכלים והסיכונים משתנים.
אבטחת AI ארגונית

לקבלת הצעה והערכת זמנים — שיחת היכרות תוך 48 שעות.

ללא עלות, ללא התחייבות. תקבלו תמונת מצב מקצועית והמלצות מעשיות לצעדים הבאים.

תכנון מראש, לא תגובה בדיעבד

בואו נדבר על חוסן הסייבר של הארגון שלכם.

שיחת היכרות של 30 דקות עם בכיר/ה מהצוות שלנו. ללא מצגות מכירה וללא לחץ — רק תמונת מצב אמיתית של היכן אתם נמצאים ולאן כדאי להמשיך.

תגובה ראשוניתתוך 4 שעות
פגישת היכרותללא עלות וללא התחייבות
אופן ההתקשרותפרויקט נקודתי או התקשרות שוטפת
כתובת לאירוע פעילsoc@cybertis.co.il