אבטחת AI ארגונית
הארגון שלכם כבר משתמש ב-AI — בידיעתכם או בלעדיה. אנחנו עוזרים להנהלה לאמץ LLM, צ׳אטבוטים ו-RAG בלי לדלוף מידע רגיש ובלי להסתבך מול רגולציה: מדיניות שימוש, בקרות טכניות, בדיקת ספקי AI והיערכות ל-ISO 42001 ולרגולציית ה-AI האירופית.
מה אתם מקבלים בסוף.
מדיניות שימוש ב-AI שמאזנת בין פרודוקטיביות לסיכון — ונאכפת בפועל
מיפוי כל נקודות ה-AI בארגון: כלים מאושרים, Shadow AI וספקים
בקרות טכניות למניעת דליפת מידע רגיש למודלים חיצוניים
בדיקת אבטחה ליישומי LLM/RAG פנימיים — כולל Prompt Injection
מוכנות ל-ISO 42001 ולדרישות AI של לקוחות ורגולטורים
מה נמסר לכם בפועל.
- 01מיפוי שימושי AI וסיכונים (AI Risk Assessment)
- 02מדיניות AI ארגונית + נוהל אישור כלים חדשים
- 03מסמך בקרות ליישומי LLM/RAG — הרשאות, סינון, ניטור
- 04בדיקת אבטחה יישומית ל-AI (כולל תרחישי Prompt Injection)
- 05סקירת ספקי AI והסכמי עיבוד מידע (DPA)
- 06מפת דרכים ל-ISO 42001 לפי הצורך
המצבים שבהם חברות פונות אלינו.
סימנים שמהם רוב הלקוחות שלנו מזהים שהגיע הזמן לפנות.
העובדים כבר מדביקים מידע ל-ChatGPT
אין מדיניות, אין רשימת כלים מאושרים, ואף אחד לא יודע איזה מידע רגיש כבר יצא החוצה.
אתם משלבים LLM במוצר
צ׳אטבוט, RAG על דאטה של לקוחות או Agent — ולקוח גדול שואל בשאלון האבטחה מה עשיתם בנושא.
רגולציה או לקוח דורשים מסגרת AI
ISO 42001, ה-AI Act האירופי או מדיניות רכש של אנטרפרייז — צריך תוכנית מסודרת, לא מצגת.
מעבדים מידע אישי במערכות AI
שילוב של תיקון 13 ו-AI מייצר שאלות חדשות: בסיס חוקי, שקיפות, וספקי משנה — וצריך תשובות מתועדות.
מה קורה אם דוחים את ההחלטה
אימוץ AI בלי בקרות הוא ערוץ דליפה חדש: מידע לקוחות שמודבק במודלים ציבוריים, יישומי LLM שפגיעים ל-Prompt Injection, וספקי AI שלא נבדקו מקבלים גישה לדאטה. במקביל, לקוחות אנטרפרייז כבר מוסיפים פרקי AI לשאלוני האבטחה — ומי שאין לו תשובות מפסיד עסקאות.
ההבדל בינינו לבין יועץ סייבר רגיל
אנחנו לא מוכרים כלי AI ולא פלטפורמה — אנחנו מאבטחים את מה שבחרתם. הליווי משלב את הצד הניהולי (מדיניות, ממשל, רגולציה) עם בדיקות טכניות בפועל על היישומים שלכם, ומתחבר ישירות לעבודת הפרטיות שלנו סביב תיקון 13 ו-GDPR — כי ב-AI, אבטחה ופרטיות הן אותה שאלה.
30–45 דקות, ללא עלות. נמפה יחד איפה AI כבר חי אצלכם — כלים, מוצר, ספקים — ותקבלו תמונת סיכון ראשונית ושלושה צעדים מיידיים, בלי קשר להמשך.
אבטחת AI ארגונית — ממיפוי ועד בקרות שעובדות
רוב הארגונים שפונים אלינו לא מתחילים מאפס — הם מתחילים ממינוס. כלי AI כבר בשימוש יומיומי אצל העובדים, יוזמת LLM כבר רצה במוצר, ואף אחד לא יודע להגיד אילו כלים בשימוש, איזה מידע זורם אליהם ומה הספקים עושים איתו. לתופעה הזו קוראים Shadow AI, והיא נקודת הפתיחה של כמעט כל תהליך: אי אפשר לאבטח את מה שלא מיפית. חשוב להבין ש-Shadow AI איננו בעיית משמעת אלא בעיית היצע — עובדים פונים לכלים חיצוניים כשאין להם חלופה מאושרת שעונה על הצורך. לכן התגובה הנכונה איננה חסימה גורפת (שרק דוחפת את השימוש למכשירים פרטיים, הרחק מכל נראוּת) אלא תהליך מסודר שמחזיר את השליטה בלי לוותר על הערך. הליווי שלנו בנוי כתהליך מדורג בחמישה שלבים — כל שלב מקטין סיכון אמיתי ומייצר את התשתית לשלב הבא, וכל שלב מסתיים בתוצר מוחשי שההנהלה יכולה לראות, לא במצגת.
איך נראה תהליך הליווי
- מיפוי. תמונת מצב מלאה של נקודות ה-AI בארגון: כלים שבשימוש העובדים (כולל Shadow AI), יישומי LLM/RAG במוצר ובמערכות פנימיות, ספקים והזרמות מידע. התוצר — AI Risk Assessment עם דירוג סיכונים וסדר עדיפויות.
- מדיניות וממשל. מדיניות שימוש קצרה שנכתבת כדי להיקרא, רשימת כלים מאושרים עם חלופה ארגונית לצרכים הנפוצים, נוהל אישור מהיר לכלים חדשים והגדרת אחריות — מי מחליט, מי בודק, מי מעדכן.
- בקרות טכניות. תרגום המדיניות לשטח: הגדרות אבטחה בכלים המאושרים, בקרות למניעת דליפת מידע רגיש, ועיצוב בקרות ליישומי LLM/RAG — הרשאות, סינון וניטור בשכבות הנכונות.
- בדיקות. בדיקת אבטחה יישומית ל-AI שלכם, כולל תרחישי Prompt Injection ישיר ועקיף, ניסיונות חילוץ מידע דרך ההקשר ובחינת הרשאות בפועל. ממצאים עם תיקונים מוגדרים — לא דוח גנרי.
- ליווי שוטף. הכלים משתנים כל רבעון, וכך גם הסיכונים. עדכון רשימת הכלים והמדיניות, בדיקת ספקים חדשים, בדיקות חוזרות אחרי שינויים מהותיים ומענה לשאלוני אבטחה של לקוחות.
שני עקרונות מלווים את כל השלבים. הראשון — פרופורציה: סטארטאפ של עשרים עובדים לא צריך את אותה מסגרת כמו ארגון בריאות עם מאגרי מטופלים, והתהליך מכויל לגודל, לרגישות המידע ולבשלות הארגון. השני — בעלות בתוך הארגון: אנחנו בונים את המסגרת יחד עם האנשים שלכם ומגדירים מי מחזיק כל חלק ממנה בהמשך, כך שביום שהליווי מסתיים המסגרת לא מתפרקת. את הצד הטכני אנחנו עושים על המערכות האמיתיות שלכם — לא על סביבת דמו — כי ההבדל בין בקרה שנראית טוב במסמך לבקרה שמחזיקה מול קלט עוין מתגלה רק שם.
עקרונות בקרה ליישומי RAG
מערכות RAG הן המקום שבו רוב הארגונים טועים, כי הן נראות כמו פיצ׳ר חיפוש ומתנהגות כמו ערוץ גישה למידע. הדפוס שחוזר על עצמו: מאגר הידע נבנה מכל המסמכים הזמינים — מסמכי HR, סיכומי הנהלה, חוזי לקוחות — והמודל מגיש מהם תשובות לכל מי ששואל. התוצאה היא עקיפה שקטה של כל מערך ההרשאות שהארגון בנה במשך שנים, בלי שאף בקרה קיימת התריעה. שלושה עקרונות עומדים בבסיס הבקרה:
| עיקרון | מה זה אומר בפועל |
|---|---|
| הרשאות בשכבת האחזור | אכיפת ההרשאות חייבת לקרות לפני שהמסמך מגיע למודל — המנוע שולף עבור המשתמש רק מסמכים שהוא מורשה להם. סינון בתשובה עצמה הוא מאוחר מדי. |
| סינון קלט ופלט | בדיקת קלט נכנס (כולל תוכן ממסמכים ומקורות חיצוניים — ערוץ ה-Prompt Injection העקיף) וסינון פלט יוצא לפני שהוא מגיע למשתמש. |
| לוגים וניטור | תיעוד מלא של שאילתות, מסמכים שאוחזרו ותשובות — גם לחקירת אירועים וגם לזיהוי דפוסי שימוש חריגים לפני שהם הופכים לאירוע. |
מוכנות ל-ISO 42001
ISO/IEC 42001 — תקן מערכת ניהול ה-AI הבינלאומי — הופך בהדרגה לדרישה בשאלוני אבטחה של לקוחות אנטרפרייז, במכרזים ובביקורות ספקים. היתרון של התהליך שלנו הוא שהוא בנוי מראש לפי הלוגיקה של התקן: מיפוי הסיכונים, המדיניות, הבקרות והתיעוד שנוצרים בליווי הם בדיוק אבני הבניין של מערכת ניהול AI (AIMS). ארגון שסיים את התהליך יכול להחליט אם להמשיך להסמכה מלאה מול גוף מסמיך או להסתפק במוכנות מוכחת — ובשני המקרים יש לו תשובות מתועדות לכל מי ששואל, במקום להתחיל פרויקט חדש בכל פעם ששאלון נוחת. ולמי שמעבד מידע אישי במערכות AI, המסגרת מתחברת ישירות לעבודת הציות סביב תיקון 13: הסכמי עיבוד מול ספקי AI, שקיפות כלפי נושאי המידע ואבטחת מידע לפי התקנות — אבטחה ופרטיות ב-AI הן אותה שאלה, ואנחנו מטפלים בהן כמקשה אחת.
חצי שעה עם יועץ, שבסופה תקבלו תמונה ראשונית של נקודות ה-AI בארגון, הסיכונים הדחופים ושלושת הצעדים הראשונים. תיאום שיחת מיפוי חינם.
שאלות שלקוחות שואלים לפני שמתחילים.
לא מצאתם את התשובה? פגישת היכרות של 30 דקות, ללא עלות.
האם עדיף פשוט לחסום AI לגמרי?
מה זה Prompt Injection, בשפה פשוטה?
האם מותר לעובדים להשתמש ב-ChatGPT לפי תיקון 13?
מה זה ISO 42001 והאם אנחנו צריכים אותו?
האם ה-AI Act האירופי חל על חברה ישראלית?
כמה זמן לוקח לבנות מסגרת אבטחת AI?
לקבלת הצעה והערכת זמנים — שיחת היכרות תוך 48 שעות.
ללא עלות, ללא התחייבות. תקבלו תמונת מצב מקצועית והמלצות מעשיות לצעדים הבאים.
מאמרים בנושא.
בואו נדבר על חוסן הסייבר של הארגון שלכם.
שיחת היכרות של 30 דקות עם בכיר/ה מהצוות שלנו. ללא מצגות מכירה וללא לחץ — רק תמונת מצב אמיתית של היכן אתם נמצאים ולאן כדאי להמשיך.