AI Literacy: אוריינות בינה מלאכותית ואבטחת מידע חובה בשנת 2026

שימוש בטוח ואחראי בבינה מלאכותית מתחיל לא בכלי, אלא באנשים שיודעים כיצד להפעיל אותו

בינה מלאכותית כבר אינה נחלתם של צוותי פיתוח או מומחי דאטה בלבד. עובדים משתמשים בכלי AI לכתיבה, ניתוח מידע, שירות לקוחות, גיוס, תכנות, מחקר, יצירת תמונות וקבלת החלטות. השימוש מתרחב במהירות, אך במקרים רבים הידע הארגוני אינו מתקדם באותו קצב.

כאן נכנס המושג AI Literacy, או בעברית: אוריינות בינה מלאכותית.

לא מדובר רק בהיכרות בסיסית עם ChatGPT או ביכולת לכתוב Prompt. אוריינות בינה מלאכותית או AI Literacy היא היכולת להבין כיצד מערכות AI פועלות, מה הן יכולות לעשות, היכן הן עלולות לטעות, אילו סיכונים הן יוצרות וכיצד להשתמש בהן באופן אחראי, מאובטח ומתועד.

הנושא קיבל גם משמעות רגולטורית. סעיף 4 ל-EU AI Act מחייב ספקים ומפעילים של מערכות AI לנקוט אמצעים שיבטיחו רמה מספקת של AI Literacy בקרב עובדים ואנשים אחרים הפועלים בשמם מול מערכות AI. החובה חלה מאז 2 בפברואר 2025.

מהי AI Literacy?

ה-EU AI Act מגדיר AI Literacy כמכלול של מיומנויות, ידע והבנה שמאפשרים לספקים, למפעילים ולאנשים המושפעים ממערכות AI להשתמש בהן באופן מושכל, ולהכיר את ההזדמנויות, הסיכונים והנזקים האפשריים הנובעים מהן.

בפועל, אוריינות AI כוללת כמה שכבות:

• הבנה בסיסית של אופן פעולת מערכות AI
• הכרת המגבלות והסיכון לטעויות או להזיות
• הבנת משמעות המידע שמוזן למערכת
• יכולת לבדוק ולאמת פלטים
• היכרות עם השלכות משפטיות ואתיות
• זיהוי מצבים שבהם נדרש פיקוח אנושי
• הבנת סיכוני פרטיות ואבטחת מידע
• ידיעה כיצד לדווח על שימוש חריג או אירוע

העומק הנדרש אינו אחיד. עובד שכותב טיוטות שיווקיות באמצעות AI אינו זקוק לאותה רמת ידע כמו מפתח שמשלב מודל במוצר, איש משאבי אנוש המשתמש בכלי לסינון מועמדים או מנהל המקבל החלטות על בסיס המלצה אוטומטית.

AI Literacy אינה הדרכת כלי חד-פעמית

אחת הטעויות הנפוצות היא להתייחס לאוריינות AI כהדרכה קצרה על שימוש בכלי מסוים.

הנציבות האירופית מבהירה שאין מתכונת אחידה אחת, אך הארגון נדרש להתאים את הפעילות לרמת הידע של המשתמשים, לתפקידם, לסוג המערכת, להקשר שבו היא מופעלת ולאנשים שעליהם היא משפיעה. הסתפקות בקריאת הוראות השימוש של המערכת עשויה להיות בלתי מספקת.

לכן תוכנית AI Literacy אפקטיבית צריכה להיות:

מבוססת תפקידים
כל קבוצה מקבלת ידע המתאים לאחריות ולשימושים שלה.

מבוססת סיכון
ככל שהשימוש משפיע יותר על אנשים, מידע או החלטות עסקיות, נדרש עומק רב יותר.

מעשית
ההדרכה צריכה לכלול דוגמאות, תרחישים וכללי פעולה ברורים.

מתמשכת
הכלים, הסיכונים והרגולציה משתנים במהירות. נדרש ריענון תקופתי.

מתועדת
הארגון צריך להיות מסוגל להציג למי ניתנה הדרכה, על אילו נושאים ומתי.

הקשר בין AI Literacy לאבטחת מידע

AI Literacy היא חלק ישיר ממערך אבטחת המידע הארגוני.

עובדים המשתמשים בכלי AI עשויים להזין אליהם מידע רגיש מבלי להבין שהמידע מועבר למערכת חיצונית, נשמר אצל ספק או משמש לשיפור השירות. הם עלולים להסתמך על קוד לא מאובטח, להעביר מסמכים פנימיים, לחשוף פרטי לקוחות או להשתמש בפלט שגוי בתהליך עסקי.

לכן, בדומה להדרכות פישינג וסיסמאות, גם הדרכת AI צריכה להפוך לחלק מתרבות האבטחה.

דליפת מידע לכלי AI

אחד הסיכונים המרכזיים הוא העלאת מידע שאינו מיועד לצאת מגבולות הארגון:

• מידע אישי
• נתוני לקוחות
• סודות מסחריים
• מסמכים משפטיים
• קוד מקור
• פרטי עסקאות
• מידע רפואי או פיננסי
• מסמכי מכרז או תכנון

העובד צריך לדעת אילו סוגי מידע אסור להזין, באילו כלים מותר להשתמש ומהו ההבדל בין כלי ציבורי לסביבה ארגונית מאושרת.

פלט שגוי והזיות

מערכות AI עשויות להציג תשובה שגויה בניסוח משכנע. הן יכולות להמציא מקורות, לייצר נתונים לא נכונים או להציע פעולה שאינה מתאימה להקשר.

AI Literacy מלמדת את המשתמש לא להתייחס לפלט כאל מקור אמת, אלא לבצע בדיקה אנושית ולהצליב מידע לפני שימוש.

קוד ותוכן לא מאובטחים

מפתחים המשתמשים ב-AI לכתיבת קוד עלולים לקבל קוד הכולל חולשות, ספריות בעייתיות או מנגנוני אימות לא תקינים. גם משתמשים עסקיים עלולים לקבל קבצים, קישורים או תוצרים שאינם בטוחים.

לכן נדרש לחבר את השימוש ב-AI לתהליכי Secure Development, בדיקות קוד, ניהול חולשות ואישור תוצרים.

Prompt Injection ומניפולציה של מערכות AI

מערכות AI המחוברות למידע ארגוני, לאתרים או לכלים חיצוניים עשויות להיות חשופות ל-Prompt Injection. תוקף יכול לשתול הוראות נסתרות שיגרמו למערכת לחשוף מידע, להתעלם מכללים או לבצע פעולה שאינה מתוכננת.

עובדים ומפתחים צריכים להכיר את הסיכון, במיוחד כאשר נעשה שימוש בסוכני AI, במערכות RAG או באוטומציה המחוברת למערכות ארגוניות.

התחזות, Deepfake ושכפול קול

כלי AI מאפשרים לייצר הודעות, תמונות, סרטונים וקולות משכנעים. הדבר מגדיל את הסיכון להונאות מנכ״ל, פישינג ממוקד, התחזות לספקים ומניפולציה של עובדים.

AI Literacy צריכה לכלול כללים לאימות בקשות חריגות, במיוחד בקשות להעברת כספים, שינוי פרטי חשבון או מסירת מידע רגיש.

למי AI Literacy רלוונטית?

החובה והצורך אינם מוגבלים לצוותי IT.

הנהלה ודירקטוריון

הנהלה צריכה להבין את ההזדמנויות והסיכונים, להגדיר מדיניות, לאשר תיאבון סיכון ולוודא שקיימת אחריות ברורה.

עובדים ומשתמשים עסקיים

עובדים צריכים לדעת באילו כלים מותר להשתמש, איזה מידע ניתן להזין וכיצד לבדוק פלטים.

צוותי פיתוח ודאטה

מפתחים זקוקים לידע מעמיק יותר בנוגע לאבטחה, איכות נתונים, הטיות, תיעוד, בדיקות וניהול מודלים.

משאבי אנוש

שימוש ב-AI בגיוס, דירוג מועמדים או הערכת עובדים עשוי להשפיע על זכויות ועל החלטות משמעותיות. נדרשת הבנה של הטיות, שקיפות ופיקוח אנושי.

משפטית, פרטיות ו־DPO

צוותים אלה צריכים לבחון בסיס חוקי, יידוע, הסכמים עם ספקים, שימוש במידע אישי, זכויות יוצרים וחובות רגולטוריות.

שיווק, מכירות ושירות

נדרש להכיר חובות שקיפות, סיכוני תוכן שגוי, שימוש בדמויות או קולות סינתטיים והשלכות על אמון הלקוחות.

ספקים, קבלנים ונותני שירות

ה-AI Act מתייחס גם לאנשים שאינם עובדים ישירים אך משתמשים במערכות AI בשם הארגון. לכן ייתכן שגם ספקים, קבלנים או שותפים יצטרכו לקבל הנחיה או הדרכה מתאימה.

למה זה רלוונטי גם לארגונים בישראל?

גם כאשר ארגון ישראלי אינו כפוף ישירות לכל הוראות ה-EU AI Act, AI Literacy רלוונטית עבורו מבחינה תפעולית, מסחרית ואבטחתית.

הנושא חשוב במיוחד לחברות ישראליות שמספקות שירותים או מוצרים לאירופה, מעסיקות עובדים באיחוד, מפתחות מערכות AI ללקוחות אירופיים או משתמשות ב-AI בתהליכים המשפיעים על אנשים באירופה.

בנוסף, לקוחות ושותפים בינלאומיים עשויים לבקש הוכחות לממשל AI, הדרכות, ניהול סיכונים ובקרות שימוש. במקרים רבים, AI Literacy עשויה להופיע בשאלוני ספקים, בהסכמים, במכרזים ובבדיקות Due Diligence.

מעבר לרגולציה, האיום קיים גם בישראל: דליפת מידע, קוד לא מאובטח, הסתמכות על פלט שגוי והונאות מבוססות Deepfake אינם תלויים בגבולות גאוגרפיים.

מה צריכה לכלול תוכנית AI Literacy?

תוכנית טובה אינה מתחילה במצגת. היא מתחילה במיפוי.

1. מיפוי שימושי AI

יש לזהות אילו כלים נמצאים בשימוש, מי משתמש בהם ולאילו מטרות.

2. חלוקת קהלי יעד

יש להגדיר מסלולי הדרכה שונים לעובדים, מנהלים, מפתחים, משאבי אנוש, משפטית וצוותי אבטחה.

3. כללי שימוש ברורים

הארגון צריך לקבוע:

• אילו כלים מאושרים
• איזה מידע מותר להזין
• מתי נדרש אישור
• אילו פלטים מחייבים בדיקה
• למי מדווחים על אירוע
• כיצד מתעדים שימושים רגישים

4. תרחישים מעשיים

יש לתרגל מצבים אמיתיים: דליפת מסמך, תשובה שגויה, קוד פגיע, Deepfake או ניסיון התחזות.

5. בדיקת הבנה

ה-AI Office אינו קובע חובה כללית לבצע מבחן ידע לעובדים, אך הארגון נדרש להבטיח רמה מספקת של אוריינות. לכן שאלון, סימולציה או אישור הבנה יכולים לסייע להוכיח אפקטיביות.

6. תיעוד וריענון

יש לשמור תיעוד של התכנים, הקהלים, המועדים והעדכונים. הדרכה צריכה להתחדש בהתאם לכלים, לאירועים ולרגולציה.

טעויות נפוצות ביישום AI Literacy

הדרכה אחת לכל הארגון
השימושים והסיכונים שונים מדי בין המחלקות.

התמקדות רק בפרטיות
פרטיות חשובה, אך נדרש להתייחס גם לאבטחה, דיוק, זכויות יוצרים, הטיות ושקיפות.

הסתפקות במדיניות כתובה
עובדים צריכים להבין כיצד לפעול בפועל.

התעלמות מכלים לא מאושרים
Shadow AI עלול להיות השימוש המרכזי בארגון, גם כאשר אינו מופיע ברשימת המערכות הרשמית.

הדרכה ללא Governance
ללא בעל תפקיד, מנגנון דיווח ואכיפה, ההדרכה נשארת המלצה.

AI Literacy כחלק מ- GRC

• AI Literacy אינה עומדת לבדה. היא רכיב בתוך מנגנון רחב יותר של AI Governance.
• Governance קובע מי מאשר שימושים, מי אחראי לכל מערכת, כיצד מסווגים סיכון ומתי נדרש פיקוח אנושי.
• AI Literacy מבטיחה שהאנשים שמפעילים את המערכות מבינים את הכללים ואת הסיכונים.
• Compliance מוודא שהמדיניות, ההדרכות והבקרות תואמות את הדרישות הרלוונטיות ומתועדות.

אבטחת מידע מספקת את המנגנונים הטכנולוגיים והתפעוליים שמגנים על המידע, המערכות והמשתמשים.

כאשר ארבעת הרכיבים עובדים יחד, הארגון יכול לקדם שימוש ב-AI בלי לאבד שליטה.

אנשים הם שכבת ההגנה הראשונה גם בעידן AI

ההצלחה של AI בארגון אינה נמדדת רק באיכות המודל או במהירות האוטומציה. היא תלויה ביכולת של האנשים להשתמש בטכנולוגיה בצורה אחראית.

AI Literacy מאפשרת לעובדים להפיק ערך מהכלים, לזהות מגבלות, להגן על מידע ולדעת מתי נדרשת בדיקה אנושית.

עבור ארגונים, זו אינה רק הדרכה רגולטורית. זהו כלי לניהול סיכונים, לחיזוק אבטחת המידע ולבניית תרבות ארגונית שמאפשרת חדשנות מבוקרת.

כיצד אנחנו באינפוגארד משתלבים?

אינפוגארד מסייעת לארגונים לבנות תוכניות AI Literacy המותאמות לאופי הפעילות, לקהלי היעד ולרמת הסיכון.

הליווי יכול לכלול מיפוי שימושים, הגדרת מדיניות AI, בניית מערכי הדרכה לפי תפקידים, תרגול תרחישים, שילוב הנושא בהדרכות אבטחת מידע וחיבור התוכנית למסגרת GRC בדגש על AI Governance ו-Compliance.

המטרה היא לא רק להזהיר עובדים, אלא לתת להם כלים ברורים לשימוש בטוח, אחראי ומועיל בבינה מלאכותית.

דברו איתנו לגבי הדרכות אבטחת מיידע לעובדים בדגש על התמודדות עם בינה מלאכותית

מאמרים ומידע נוסף בנושא ציות בארגונים

• שירותי CISO במיקור חוץ
• GRC – Governance, Risk & Compliance
• ISO 27001
• DPO – ממונה הגנת הפרטיות
• Governance ב־2026
• סקרי ציות
• תקינה ורגולציה
• תיקון 13 לחוק הגנת הפרטיות
• DORA

המידע המוצג במאמר זה נועד למטרות מידע והעשרה בלבד ואינו מהווה ייעוץ מקצועי, רגולטורי, משפטי או טכנולוגי. כל ארגון נדרש לבחון את צרכיו, הסיכונים והדרישות החלות עליו באמצעות אנשי מקצוע מתאימים.
המאמר נכתב בשיתוף מומחי אבטחת המידע והסייבר של Infoguard מקבוצת IDOR, ונערך על ידי Roy Kisch, חובב אבטחת מידע, סייבר ומנהל השיווק של קבוצת חברות עידור (Messagent, Infoguard, Idornext).