חטיבת מצודה במערך הסייבר: יעדי ההגנה לשנת 2026
הגנת הסייבר הלאומית אינה מסתכמת בזיהוי מתקפות ובתגובה לאירועים לאחר שכבר התרחשו. חלק משמעותי ממנה מתמקד בבניית חוסן מוקדם, בהנחיית ארגונים, בשיפור רמת המוכנות ובחיזוק היכולת של המשק להמשיך לפעול גם במהלך מתקפת סייבר.
במרכז פעילות זו נמצאת חטיבת מצודה במערך הסייבר הלאומי. החטיבה עוסקת בחיזוק החוסן של המרחב האזרחי, בהגנה סקטוריאלית ובהכוונת ארגונים ותשתיות החיוניים לתפקוד המדינה.
בכנס InfoSec | AI & Security 2026, שנערך ב־12 ביולי 2026, הציג יעקב אוזוחובסקי, ראש אגף הגנה סקטוריאלית ותמ"ק, מספר תחומים שצפויים לקבל דגש בפעילות ההגנה. בין הנושאים שהעלה: איומי CAN, תקיפות נגד חברות הנדסה ואדריכלות, חולשות באתרי WordPress, סיכוני שרשרת האספקה, תרגילי אבטחה ואתגרי הבינה המלאכותית.
המסר העולה מנושאים אלו ברור:
ההגנה הלאומית בסייבר מתרחבת מעבר לתשתיות הקריטיות המסורתיות. היא נוגעת כיום כמעט בכל ארגון שמחזיק מידע רגיש, מחובר לספקים, מפעיל אתר אינטרנט, משתמש במערכות ענן או משלב כלי AI בתהליכי העבודה.

מהו מערך הסייבר הלאומי?
מערך הסייבר הלאומי הוא הגוף הממלכתי האחראי על הגנת מרחב הסייבר האזרחי של מדינת ישראל. פעילותו כוללת חיזוק רמת ההגנה של ארגונים ואזרחים, טיפול בתקיפות סייבר, היערכות למצבי חירום, שיתוף מידע והפצת התרעות למשק.
המערך פועל מול משרדי ממשלה, רגולטורים, רשויות מקומיות, תשתיות חיוניות, חברות עסקיות וגופים ציבוריים. הוא מספק הנחיות מקצועיות, מקדם מתודולוגיות הגנה ומסייע ביצירת תמונת מצב לאומית של איומי הסייבר.
המרכז הארצי לניהול אירועי סייבר, CERT-IL, פועל כחלק מהמערך ומקבל דיווחים על מתקפות, חולשות וחשדות לאירועי סייבר. לצד התגובה המבצעית, מתקיימת פעילות ארוכת טווח שמטרתה למנוע אירועים, לצמצם סיכונים ולשפר את יכולת ההתאוששות של המשק.
מהי חטיבת מצודה?
חטיבת מצודה היא החטיבה במערך הסייבר הלאומי המובילה את תחום החוסן הלאומי וההגנה הסקטוריאלית. תפקידה הוא לחזק את רמת ההגנה של מגזרים, ארגונים ותהליכים שעליהם נשענת הפעילות האזרחית והכלכלית בישראל.
החטיבה פועלת מתוך הבנה שאירוע סייבר בארגון אחד עלול להשפיע על ארגונים רבים נוספים. ספק תוכנה, חברת הנדסה, מערכת עירונית, חברת תחבורה או שירות ענן יכולים להפוך לנקודת כניסה אל לקוחות, שותפים ותשתיות רחבות יותר.
פעילותה כוללת בין היתר:
- מיפוי סיכונים ברמה המגזרית והלאומית.
- הנחיה מקצועית של ארגונים וגופים חיוניים.
- חיזוק הקשר בין רגולטורים, משרדי ממשלה וארגונים במשק.
- קידום תוכניות עבודה להפחתת סיכוני סייבר.
- בחינת מוכנות ארגונים להתמודדות עם אירועים.
- קיום תרגילים והיערכות למצבי חירום.
- חיזוק ההגנה על שרשראות אספקה וספקים.
- שיפור היכולת לשמור על רציפות תפקודית.
במילים פשוטות, חטיבת מצודה אינה עוסקת רק בשאלה כיצד עוצרים תקיפה. היא עוסקת גם בשאלה כיצד גורמים לכך שהארגון יהיה מוכן לפני התקיפה, יתפקד במהלכה ויתאושש ממנה במהירות.

הגנה סקטוריאלית: לא כל המגזרים מתמודדים עם אותם איומים
אחד מעקרונות הפעילות המרכזיים הוא התאמת ההגנה למאפייני כל מגזר.
בית חולים אינו פועל כמו רשות מקומית. חברת תשתיות אינה מתמודדת עם אותם תהליכים כמו משרד אדריכלים. גוף פיננסי אינו מחזיק באותם סוגי מידע כמו חברת תחבורה או מפעל תעשייתי.
לכל סקטור יש מערכות שונות, ספקים שונים, תהליכים עסקיים אחרים ורמת תלות שונה בטכנולוגיה. לכן, גם תרחישי האיום והבקרות הנדרשות משתנים.
הגנה סקטוריאלית אפקטיבית דורשת היכרות עם הפעילות העסקית, עם הנכסים הקריטיים ועם התרחישים שעלולים להשבית שירותים או לחשוף מידע. היא מחייבת שיתוף פעולה בין אנשי אבטחת מידע, הנהלה, תפעול, רכש, יועצים משפטיים וספקים חיצוניים.

הדגשים שעלו בכנס INFOSEC 2026
בהרצאת מערך הסייבר בכנס InfoSec | AI & Security 2026 הציג יעקב אוזוחובסקי, ראש אגף הגנה סקטוריאלית ותמ"ק, מספר תחומים מרכזיים שאליהם יופנה דגש במסגרת פעילות ההגנה.
איומי CAN וסביבות מחוברות
אחד הנושאים שהוזכרו הוא איומי CAN. עצם ההתייחסות לנושא מדגישה את הצורך להגן לא רק על תחנות עבודה ושרתים רגילים, אלא גם על רשתות, רכיבים וסביבות תפעוליות המחברות בין מערכות פיזיות ודיגיטליות.
במערכות מחוברות, חולשה ברכיב אחד עלולה לאפשר לתוקף להשפיע על תהליך רחב יותר. לכן נדרשים מיפוי של כלל הרכיבים, הפרדה בין רשתות, ניטור חריגות, בקרת גישה והקשחת ממשקים.
ארגונים המפעילים מערכות תפעוליות, מערכות בקרה, ציוד חכם או רכיבים מקושרים צריכים לבחון האם סביבת ה־IT וסביבת התפעול מופרדות באופן מספק, מי רשאי להתחבר אליהן וכיצד מזוהים שינויים חריגים.
תקיפות נגד חברות הנדסה ואדריכלות
הדגש על חברות הנדסה ואדריכלות אינו מקרי. ארגונים אלו מחזיקים לעיתים קרובות תוכניות בנייה, שרטוטים, מודלים הנדסיים, פרטי תשתיות, מסמכי מכרזים ומידע על מתקנים רגישים.
חלק מהחברות עובדות במקביל עם רשויות מקומיות, משרדי ממשלה, חברות תשתית, קבלנים וגופים ביטחוניים. כתוצאה מכך הן עשויות להפוך ליעד בפני עצמן, או לשמש נתיב עקיף אל לקוח גדול ורגיש יותר.
הסיכונים המרכזיים כוללים:
- גניבת תוכניות ומידע הנדסי.
- הצפנת שרתי קבצים ומערכות תכנון.
- התחזות לספקים ולמנהלי פרויקטים.
- שינוי פרטי תשלום וחשבונות בנק.
- חדירה באמצעות חיבורי גישה מרחוק.
- ניצול קבצים המועברים בין גורמים רבים.
- שימוש בחברה כחוליה בשרשרת אספקה.
עבור חברות אלו, גיבוי בלבד אינו מספיק. נדרשים ניהול הרשאות, אימות רב־שלבי, סיווג מידע, שיתוף קבצים מאובטח, בקרה על ספקים ונוהל מסודר לטיפול באירוע.
חולשות באתרי WordPress
WordPress משמשת ארגונים רבים להקמת אתרי אינטרנט, פורטלים ודפי נחיתה. היתרון שלה הוא גמישות ונוחות, אך ריבוי תוספים, תבניות וממשקי ניהול עלול להרחיב את שטח התקיפה.
במקרים רבים, האתר אינו מנוהל ישירות על ידי צוות ה־IT אלא על ידי חברת בניית אתרים, משרד פרסום או ספק שיווק דיגיטלי. מצב זה עלול ליצור פערי אחריות: הארגון מניח שהספק מטפל באבטחה, והספק מניח שהארגון אחראי על התשתית.
הסיכונים הנפוצים כוללים תוספים לא מעודכנים, סיסמאות חלשות, חשבונות מנהל מיותרים, תבניות ממקור לא אמין, היעדר גיבוי ושרת שאינו מוקשח.
על ארגונים לוודא שקיים גורם אחראי לעדכונים, להסיר רכיבים שאינם בשימוש, להפעיל אימות רב־שלבי, להגביל גישה לממשק הניהול ולבצע סריקות חולשות תקופתיות.
אתר תדמית שנפרץ עלול לשמש:
- הפצת נוזקה
- גניבת פרטי לקוחות
- הקמת דפי פישינג
- התחזות
- פגיעה באמון הציבור, הלקוחות והספקים
- פגיעה במוניטין החברה
- משאבי שיקום ושיחזור
לכן אין להתייחס לאתר האינטרנט כאל נכס שיווקי בלבד.
למאמר העוסק בתחום אבטחת מידע לאתרי WordPress
שרשרת האספקה
ספקים חיצוניים הפכו לחלק בלתי נפרד מסביבת המחשוב הארגונית. הם מספקים תוכנה, שירותי ענן, תחזוקה, תמיכה, פיתוח, שיווק, סליקה, שיתוף קבצים ושירותים מנוהלים.
כל ספק שמחזיק מידע, מקבל הרשאות או מתחבר למערכות הארגון עשוי להשפיע על רמת הסיכון שלו.
ניהול שרשרת אספקה דורש יותר משאלון אבטחה חד־פעמי. הוא צריך לכלול:
- סיווג ספקים בהתאם לרמת הסיכון.
- בדיקת בקרות לפני תחילת ההתקשרות.
- הגדרה חוזית של דרישות אבטחה ודיווח.
- הגבלת הרשאות וגישה למינימום הנדרש.
- מעקב אחר שינויים ברמת הסיכון.
- בחינת ספקי משנה ותלות בשירותים נוספים.
- נוהל סיום התקשרות והסרת הרשאות.
- תרגול אירועים שבהם מקור התקיפה הוא ספק.
שרשרת האספקה היא אחת הדוגמאות הבולטות לכך שהגנת הארגון אינה נעצרת בגבולות הרשת שלו.
תרגילי אבטחה ומוכנות לאירוע
ארגון אינו יכול לדעת אם תוכנית התגובה שלו עובדת עד שהוא בוחן אותה בתנאים המדמים אירוע אמיתי.
תרגיל סייבר מאפשר לבדוק מי מקבל החלטות, כיצד מועבר מידע, מתי מערבים את ההנהלה, מי מתקשר עם לקוחות ורגולטורים וכיצד ממשיכים להפעיל שירותים קריטיים.
תרגיל איכותי אינו מיועד רק לצוות הטכני. עליו לכלול הנהלה, מערכות מידע, אבטחת מידע, משפטים, משאבי אנוש, דוברות, תפעול וספקים רלוונטיים.
במהלך התרגיל ניתן לבחון תרחישים כגון:
- מתקפת כופרה.
- דליפת מידע אישי.
- פגיעה בספק מרכזי.
- השבתת שירות ענן.
- חדירה דרך אתר האינטרנט.
- התחזות למנהל בכיר.
- תקיפה המשלבת מידע כוזב או תוכן שנוצר באמצעות AI.
המטרה אינה להוכיח שהארגון מושלם. המטרה היא לזהות פערים לפני שהתוקף מזהה אותם.

אתגרי הבינה המלאכותית
AI משנה את שני צדי המערכה. ארגונים משתמשים בו כדי לייעל תהליכים, לנתח מידע ולבצע אוטומציה. במקביל, תוקפים משתמשים בו כדי לייצר הודעות פישינג משכנעות, להתחזות לבעלי תפקידים, לאתר חולשות ולבצע פעולות בקצב גבוה יותר.
גם השימוש הפנימי ב-AI יוצר סיכונים חדשים. עובדים עלולים להזין מידע עסקי, קוד מקור, נתונים אישיים או מסמכים רגישים לכלים שלא אושרו על ידי הארגון. מערכות AI עשויות להיות מחוברות למאגרי מידע ולהפעיל פעולות באמצעות הרשאות רחבות.
האתגרים המרכזיים כוללים:
- דליפת מידע באמצעות כלי AI ציבוריים.
- הרשאות עודפות של מערכות וסוכני AI.
- הסתמכות על תשובות שגויות או מוטות.
- שימוש במודלים ובספקים חיצוניים ללא בדיקה.
- הרעלת נתונים ומאגרי ידע.
- Prompt Injection ומניפולציה של הוראות.
- התחזות קולית וחזותית.
- היעדר תיעוד של החלטות אוטומטיות.
ארגונים צריכים לגבש מדיניות שימוש ב־AI, להגדיר אילו כלים מותרים, למפות מידע רגיש, לבקר הרשאות ולוודא שקיימת אחריות אנושית על החלטות מהותיות.

מה ארגונים צריכים לעשות כבר עכשיו?
הנושאים שהוצגו בכנס משקפים מעבר מהגנה נקודתית לניהול סיכונים מתמשך. לא מספיק לרכוש מוצר אבטחה או לבצע סקר חד־פעמי.
אנחנו ממליצים להתחיל בשישה צעדים מרכזיים:
- למפות את הנכסים, המערכות והמידע הקריטיים.
- לזהות ספקים וחיבורים שעשויים ליצור סיכון.
- לבצע סקר סיכונים וסקר פערים תקופתי.
- לבדוק את רמת ההקשחה של אתרים ומערכות חשופות.
- לגבש תוכנית תגובה ולבצע תרגיל הנהלה.
- להסדיר את השימוש הארגוני בכלי AI.
יש לבנות תוכנית עבודה שמתעדפת סיכונים לפי ההשפעה האפשרית על הפעילות, ולא רק לפי חומרתה הטכנית של כל חולשה.
חוסן סייבר מתחיל בהנהלה
הפעילות של חטיבת מצודה והדגשים שעלו בכנס INFOSEC מבהירים שהגנת סייבר היא אחריות ארגונית רחבה.
הנהלה צריכה לדעת מהו המידע הרגיש של הארגון, אילו שירותים חיוניים לפעילותו, מי הספקים הקריטיים ומה יקרה אם אחת המערכות המרכזיות תושבת.
ארגון בעל חוסן אינו ארגון שאינו מותקף. זהו ארגון שיודע לזהות תקיפה, להגיב אליה, לשמור על תפקוד ולהתאושש באופן מבוקר.

כיצד אינפוגארד מסייעת?
אנחנו באינפוגארד מסייעים לארגונים לבנות תוכנית הגנה מעשית המשלבת טכנולוגיה, אנשים, תהליכים וממשל תאגידי.
השירותים שלנו כוללים סקרי סיכונים, מבדקי פערים, ניהול סיכוני ספקים, בדיקות חדירות, ניהול חולשות, תרגילי סייבר, בניית תוכניות תגובה לאירועים, CISO as a Service, GRC as a Service וליווי בתחומי רגולציה ותקינה.
עם מעל 13 שנות ניסיון וצוות מומחים מנוסה, אנחנו מסייעים לארגונים להפוך את דרישות ההגנה לתוכנית עבודה ברורה, מדידה ומותאמת לסיכונים שלהם.
רוצים לבדוק עד כמה הארגון שלכם מוכן לאיומי הסייבר העדכניים?
דברו איתנו על סקר סיכונים, תרגיל סייבר, בחינת שרשרת האספקה או בניית תוכנית הגנה ארגונית.

המידע המוצג במאמר זה נועד למטרות מידע והעשרה בלבד ואינו מהווה ייעוץ מקצועי, רגולטורי, משפטי או טכנולוגי. כל ארגון נדרש לבחון את צרכיו, הסיכונים והדרישות החלות עליו באמצעות אנשי מקצוע מתאימים.
המאמר נכתב בשיתוף מומחי אבטחת המידע והסייבר של Infoguard מקבוצת IDOR, ונערך על ידי ROY KISCH, חובב אבטחת מידע, סייבר ומנהל השיווק של קבוצת חברות עידור (Messagent, Infoguard, Idornext).


