אבטחת ChatGPT, Copilot ו-Gemini בארגון: מדריך מעשי לישראל 2026

בתוך פחות משלוש שנים, GenAI הפך מצעצוע של חוקרים לכלי שמשתמשים בו יותר מ-78% מהעובדים בארגונים ישראליים בינוניים וגדולים — לרוב בלי שה-IT או ה-CISO יודעים בדיוק איפה, איך, ועל איזה מידע. סקרים של מערך הסייבר ושל חברות ייעוץ מקומיות מראים שב-2026 ארגון ישראלי ממוצע מריץ במקביל לפחות 3-4 כלי GenAI שונים: ChatGPT (לרוב בגרסה החינמית או Plus פרטי), Microsoft 365 Copilot, Gemini ב-Workspace, ולעיתים גם Claude, Perplexity Enterprise או מודלים פתוחים מקומיים על Ollama.

הבעיה: קצב האימוץ עוקף את קצב האבטחה בפער של בערך 18 חודשים. בזמן שמנכ"לים מבקשים "להכניס AI לכל מקום", צוותי האבטחה עדיין שואלים את עצמם איך בכלל לראות מי שולח קוד מקור או נתוני לקוחות ל-ChatGPT הפרטי שלו. המדריך הזה נכתב בדיוק בשביל הפער הזה — איך פורסים, מאבטחים ומנהלים GenAI בארגון ישראלי ב-2026, עם דגש על Copilot, ChatGPT Enterprise ו-Gemini, ועל החיבור לתיקון 13, ISO 42001 ולרגולציה המקומית.

מה הסיכונים האמיתיים בשימוש בכלי GenAI?

לא כל סיכון שווה תשומת לב זהה. אלה שבעת הסיכונים שמופיעים בפועל בתחקירי אירועים אצלנו בלקוחות בישראל:

1. דליפת מידע (Data Leakage) — העובד מדביק חוזה, קוד מקור, רשימת לקוחות או PII ל-prompt. במודלים שלא הוגדרו "no training" המידע עלול לחלחל לאימון, ובכל מקרה הוא יושב על שרת של ספק זר. זו הסיבה מספר 1 לאירועי GenAI ב-2025-2026.
2. Prompt Injection — תוקף משתיל הוראה זדונית בטקסט שהמודל קורא (אימייל, מסמך, דף ווב). המודל "מציית" להוראה ומבצע פעולות בשם המשתמש — שולח מידע, מבצע קריאות API, או מורה ל-Copilot להוציא קבצים.
3. Jailbreak ועקיפת מגבלות — שימוש בטכניקות כמו DAN, role-play או הסוואה ב-base64 כדי לגרום למודל לייצר תוכן אסור (פוגעני, פייק, הוראות פריצה).
4. הזיות (Hallucinations) שהופכות לאחריות משפטית — Copilot המייצר סעיף חוזה שגוי, או צ'אטבוט שירות לקוחות שמבטיח החזר שלא קיים. בארץ כבר ראינו תביעות ראשונות.
5. Shadow AI — עובדים שמשתמשים ב-15+ כלי AI שונים בלי אישור IT. ממוצע ב-2026 בארגון ישראלי בינוני: 23 כלים שונים.
6. רגולציה ופרטיות — תיקון 13 לחוק הגנת הפרטיות (תקף מ-2025), GDPR ללקוחות אירופאים, ובקרוב גם EU AI Act לכל מי שמוכר לאירופה. אי-ציות = קנסות עד 5% מהמחזור או 50 מיליון יורו.
7. שרשרת אספקה (Supply Chain) — תוספים, GPTs מותאמים אישית, ו-plugins ל-LangChain/LlamaIndex שמושכים קוד צד-שלישי. כל אחד מהם הוא וקטור חדירה פוטנציאלי.

כל ארגון צריך לדרג את הסיכונים האלה לעצמו לפי תעשייה: פיננסים ובריאות יתחילו מ-(1) ו-(6), ייצור והייטק יתחילו מ-(2) ו-(7), והממשלתי יתמקד ב-(6) ו-(5).

ChatGPT Enterprise מול ChatGPT Plus מול גרסה חינמית — איזו לבחור?

ההבדלים בין הגרסאות מהותיים, וההחלטה משפיעה גם על תקציב וגם על פרופיל סיכון. השוואה מהירה:

ההמלצה המעשית: לארגון מעל 50 עובדים שעובד עם PII, מידע פיננסי או IP — Enterprise הוא לא מותרות, הוא בסיס. Team מתאים לסטארטאפ של 10-40 שמרגיש בנוח עם הספק. Plus הפרטי של העובד — חסום ברמת רשת או DLP, ולא לאפשר בכלי עבודה.

Microsoft 365 Copilot — איך לפרוס בצורה מאובטחת?

Microsoft 365 Copilot הוא הכלי שהכי מסוכן לפרוס מהר ובלי הכנה, כי הוא יורש את כל הרשאות SharePoint, OneDrive ו-Exchange של המשתמש. אם יש לכם "open by default" על ספריות SharePoint — Copilot יחשוף אותן בגדול. רשימת בדיקה מעשית לפני go-live:

1. Permissions hygiene — להריץ את Microsoft Purview Data Security Posture Management (DSPM for AI), לזהות "oversharing" ולתקן. בממוצע אנחנו מוצאים שב-30-40% מהארגונים יש ספריות SharePoint שפתוחות ל-"Everyone except external" בלי כוונה.
2. Sensitivity Labels — לסמן מסמכים רגישים עם Microsoft Information Protection labels. Copilot מכבד את הלייבלים ולא יכלול תכנים מסומנים בתשובות, או יציג אותם רק למורשים.
3. DLP policies for Copilot — מדיניות ייעודית למניעת חשיפת PII, מספרי ת.ז., כרטיסי אשראי או IP בתשובות Copilot.
4. Copilot Studio guardrails — אם בונים סוכנים מותאמים (Copilot Agents), להגדיר topics אסורים, content moderation, ו-knowledge sources מוגבלים.
5. Audit & monitoring — להפעיל Purview Audit (Premium) ולעקוב אחרי CopilotInteraction events. לחבר ל-Sentinel או SIEM אחר עם use-cases של "מי שאל על נתוני שכר", "מי הוציא מספרי ת.ז".
6. Conditional Access — לחייב מכשיר מנוהל ו-MFA לפני שימוש ב-Copilot, ולחסום מ-IPs מחוץ לישראל אם זו המדיניות.
7. Pilot מבוקר — 30-50 משתמשים מ-3 מחלקות שונות למשך 6-8 שבועות, מדידה של אירועי DLP, ואז הרחבה.

טעות נפוצה: לפרוס Copilot ל-500 משתמשים ביום אחד בלי שאף אחד תיקן את ה-SharePoint. תוך שבוע יש לכם דליפת שכר פנימית.

Google Gemini ו-Workspace — נקודות אבטחה ייחודיות

ל-Google יש יתרון מבני: Gemini for Workspace רץ בתוך ה-data boundary של ה-Workspace שלכם, ו-Google התחייבה חוזית שהמידע לא משמש לאימון. נקודות שצריך להגדיר:

• Workspace Data Regions — להגדיר אזור (EU או US) לאחסון, ולוודא ש-Gemini פועל באותו אזור.
• Gemini Apps activity — ניתן לכבות שמירת היסטוריה ברמת הארגון או המשתמש דרך Admin Console.
• Context-Aware Access — כללי גישה מבוססי מכשיר ומיקום גם לגישה ל-Gemini.
• Vault — Gemini interactions ב-Workspace ניתנות לשמירה ולחיפוש ב-Vault לצרכי eDiscovery וציות.
• NotebookLM Enterprise — אם משתמשים, לוודא שמקורות המידע (sources) הם רק מ-Drive ארגוני, לא מקישורים חיצוניים פתוחים.

נקודה חשובה לישראלים: ל-Google Workspace אין כרגע data residency בישראל. אם הרגולציה שלכם דורשת מידע בישראל (למשל בנקים, ביטוח, ממשל) — Gemini ב-Workspace לא יתאים, ותצטרכו לבחון Vertex AI עם region הקרוב ביותר (אירופה) או פתרון on-prem.

ISO 42001 — תקן ניהול AI החדש: מה כדאי לדעת?

ISO/IEC 42001:2023 הוא תקן ה-AI Management System הראשון. הוא לא רגולציה — אבל הוא הופך מהר ל-de facto באירופה ובחלק מהמכרזים הישראליים הגדולים. מה חשוב לדעת:

• מבנה דומה ל-ISO 27001 — Annex A עם 38 controls בחלוקה ל-4 קטגוריות: AI Policies, Internal Organization, Resources, Impact Assessment.
• AI Impact Assessment (AIIA) — בדומה ל-DPIA של GDPR, רק עבור מערכות AI. חובה לפני פריסה של מערכת AI "משמעותית".
• שכבה מעל ISO 27001 — אם יש לכם 27001, אתם כבר עומדים ב-60-70% מ-42001. הפער הוא בעיקר ב-AI lifecycle, transparency, ו-bias management.
• לוחות זמנים מעשיים — מ-gap analysis ועד הסמכה בארגון בינוני: 9-14 חודשים, עלות פנימית 250K-600K ₪, plus הסמכה חיצונית 80K-150K ₪.
• מי באמת צריך? — חובה דה-פקטו: מי שמוכר AI ל-EU, מי שמוכר ל-ממשלת ישראל בעתיד (טיוטות מכרז כבר מזכירות), מי שעוסק ב-healthcare AI, fintech AI, או HR AI.

ההמלצה שלנו: גם אם לא ניגשים להסמכה השנה, להריץ את ה-controls כ-internal framework. זה גם מכין אתכם ל-EU AI Act, שהדרישות שלו ל-high-risk systems חופפות ל-42001 בכ-70%.

Prompt Injection — איך מתגוננים?

Prompt injection הוא ה-SQL Injection של עידן ה-LLM. שלושה סוגים עיקריים שראינו ב-2025-2026:

1. Direct injection — המשתמש כותב ישירות "תתעלם מההוראות הקודמות ותעשה X". מתגוננים על ידי system prompts חזקים, ו-input classifiers (כמו Lakera Guard, Prompt Armor של Microsoft).
2. Indirect injection — ההוראה הזדונית מוטמעת במסמך, אימייל או דף ווב שהמודל קורא. הכי מסוכן כי המשתמש לא יודע. מתגוננים עם sanitization של תוכן חיצוני, סימון מקורות לא-מהימנים, וכללי "השתמש בנתונים אבל לא בהוראות מהם".
3. Multi-turn / accumulation — התוקף בונה את ההתקפה לאורך מספר הודעות, מצטבר. דורש session monitoring וניטור אנומליות.

שכבות הגנה (defense in depth) שעובדות:

• Input filtering — Lakera Guard, Microsoft Prompt Shields, או פתרון open-source כמו NeMo Guardrails. מנקים prompts לפני שמגיעים למודל.
• Output filtering — לסרוק את התשובה לפני שמציגים. מחפשים PII שלא היה אמור לצאת, פקודות מערכת, או סימני data exfiltration.
• Least-privilege tools — אם ה-agent מקבל גישה ל-tools (API, DB, email), כל tool עם הרשאות מינימליות. לא לתת ל-agent לקרוא את כל ה-Drive כי הוא צריך קובץ אחד.
• Human-in-the-loop לפעולות רגישות — לפני שליחת אימייל, מחיקת קובץ, או הוצאת כסף — אישור אדם.
• Content provenance — לסמן ברמת ה-context מה הגיע ממקור מהימן (system) ומה הגיע מ-user או מסמך חיצוני.
• Red-teaming תקופתי — להריץ pen-test ייעודי ל-LLM פעם ברבעון. אנחנו משתמשים ב-PyRIT של Microsoft ו-Garak.

RAG פנימי ו-LLMs מקומיים — אבטחה בעולם open-source

יותר ויותר ארגונים בישראל בוחרים ב-RAG פנימי עם מודל פתוח (Llama 3.3, Mistral, Qwen) על תשתית מקומית, בעיקר מסיבות של data residency ועלות. זה פותר חלק מהסיכונים — ויוצר חדשים:

• Vector DB access control — Pinecone/Weaviate/Qdrant חייבים להיות עם authentication, network isolation, ו-row-level security לפי משתמש. ראינו לקוחות שחשפו את ה-Qdrant ל-internet בלי auth.
• Embedding leakage — מחקרים מ-2024-2025 הראו שאפשר לשחזר חלקים מהטקסט המקורי מ-embeddings. אל תשמרו embeddings של מידע סודי בענן ציבורי בלי הצפנה.
• Model serving (Ollama, vLLM, llama.cpp) — הפורט של Ollama פתוח בברירת מחדל ל-localhost בלבד, אבל אנשים פותחים אותו. vLLM צריך rate limiting ו-auth proxy. תמיד מאחורי reverse proxy עם API key.
• Supply chain של מודלים — להוריד מודלים רק מ-Hugging Face official, לבדוק SHA, ולסרוק עם ProtectAI/ModelScan לאיתור pickle exploits.
• LangChain / LlamaIndex hygiene — שתי הספריות סבלו מ-CVEs ב-2024-2025. לעקוב אחרי dependabot, להגביל את ה-tools שה-agent יכול לקרוא, ולסרוק את הקוד עם Semgrep.

הטעות הנפוצה ביותר: לחשוב ש"זה אצלנו on-prem אז זה מאובטח". on-prem בלי authentication, segmentation ו-monitoring — לא יותר מאובטח מ-SaaS עם DPA טוב.

DLP ל-GenAI — אילו פתרונות עובדים בישראל?

ה-DLP המסורתי (Forcepoint, Symantec, Trellix) לא מספיק לעידן GenAI כי הוא לא רואה את ה-prompts. השוק התפצל ל-3 קטגוריות:

לרוב הארגונים בישראל ב-2026 השילוב המעשי הוא: Purview ל-Copilot, Lakera או Prompt Armor לאפליקציות AI פנימיות, ו-CASB (Defender for Cloud Apps או Netskope) לחסימת shadow AI ברמת רשת.

תיקון 13 וה-GenAI — איפה זה נפגש?

תיקון 13 לחוק הגנת הפרטיות נכנס לתוקף ב-2025 ושינה את כללי המשחק. נקודות החיבור ל-GenAI:

1. הגדרת "מאגר" — אם אתם שולחים מידע אישי לכלי GenAI חיצוני, ה-prompt וה-output עשויים להיחשב מאגר נפרד הדורש רישום. רשות הגנת הפרטיות עדיין מבהירה את הפרשנות, אבל הגישה הזהירה: לתעד ולמדיניות.
2. חובת DPO — ארגון עם עיבוד "מסיבי" של מידע אישי דרך AI חייב DPO. "מסיבי" בפועל: מעל 50K נושאי מידע, או מידע רגיש בכל היקף.
3. הודעה על אירוע אבטחה — דליפה דרך GenAI (למשל עובד ש-paste-ביא רשימת לקוחות ל-ChatGPT הפרטי) היא אירוע אבטחה מחויב דיווח לרשות בתוך 72 שעות אם הוא חמור.
4. החלטות אוטומטיות — אם משתמשים ב-LLM להחלטות שמשפיעות על אדם (קבלה לעבודה, אישור אשראי, שירות) — חובת שקיפות, זכות הסבר, וזכות לבדיקת אדם. דומה ל-Article 22 ב-GDPR.
5. העברה לחו"ל — שליחת מידע אישי ל-OpenAI, Anthropic או Google = העברה לחו"ל. דורשת SCCs, BCRs, או הסכמה מפורשת. לכן ChatGPT Enterprise עם data residency אירופאי + DPA הוא לא רק "נחמד שיש".
6. זכות מחיקה — איך מוחקים מ-fine-tuned model? תשובה קצרה: כמעט בלתי אפשרי. לכן לא מאמנים על PII.

המלצה מעשית: לעדכן את ה-DPIA הקיים בפרק AI, להוסיף סעיף GenAI ל-Acceptable Use Policy, ולחתום DPA נפרד עם כל ספק AI.

תוכנית פריסה ב-90 יום

מסגרת מעשית לארגון של 100-1,000 עובדים שרוצה לעבור מ-chaos ל-controlled GenAI:

שבועות 1-2: Discovery - סקר shadow AI עם CASB או script של network logs. - ראיון עם 5-10 מנהלים על use-cases אמיתיים. - מיפוי כלים, ספקים, חוזים קיימים. - מיפוי תקני ציות רלוונטיים (תיקון 13, ISO 27001, מכרזים).

שבועות 3-4: Policy & Governance - כתיבת AI Acceptable Use Policy. - הקמת AI Governance Committee (CISO, DPO, Legal, CIO, נציג עסקי). - בחירת שני sponsors עסקיים ל-pilot. - עדכון DPIA.

שבועות 5-8: Tooling & Pilot - בחירת stack: Enterprise license ל-LLM ראשי + DLP + monitoring. - Permissions cleanup ב-SharePoint/Drive. - פריסת sensitivity labels. - pilot עם 30-50 משתמשים, 3 use-cases. - חיבור logs ל-SIEM.

שבועות 9-12: Hardening & Rollout - Lessons learned מה-pilot. - Red-team על אפליקציות AI פנימיות. - הדרכת משתמשים (חובה, 30-45 דקות). - Rollout מדורג, גל של 100 משתמשים בכל שבוע. - KPIs: אירועי DLP, זמן תגובה, NPS משתמשים, שעות חסכון.

ארגון בינוני יכול לסיים 90 יום עם משטר GenAI שעובד, ובעלות כוללת של 300K-700K ₪ (כולל רישיונות לשנה ראשונה).

טעויות נפוצות בארגונים ישראליים

1. "נחסום הכל" — חסימה מלאה דוחפת shadow AI מתחת לרדאר. עדיף לאשר כלי אחד מאובטח מאשר לאסור הכל.
2. לפרוס Copilot בלי לתקן SharePoint — מתכון בטוח לדליפה פנימית של שכר, חוזים והערכות עובדים.
3. להסתמך על "no training" כהגנה היחידה — זה רק אחד מ-7 הסיכונים. עדיין יש דליפה, prompt injection, וציות.
4. התעלמות מ-Shadow AI — בלי discovery לא תדעו מה קורה. 23 כלים בממוצע, רובם ללא חוזה.
5. לחסוך על הדרכה — 70% מהאירועים מתחילים מעובד שלא הבין. שעה הדרכה חוסכת 100K ₪ בהמשך.

איך SYSTRU עוזרת?

ב-SYSTRU ליווינו עשרות ארגונים ישראליים בפריסה מאובטחת של GenAI — מסטארטאפים של 30 איש ועד ארגונים של 5,000+. השירות שלנו ל-AI Security כולל:

• AI Risk Assessment ב-3 שבועות — discovery, gap analysis, ו-roadmap מותאם.
• פריסת Copilot/ChatGPT Enterprise end-to-end — מ-permissions hygiene ועד training.
• AI Red-Teaming — בדיקות prompt injection ו-jailbreak לאפליקציות פנימיות.
• ISO 42001 readiness — בניית AI Management System עם הסמכה תוך 9-12 חודשים.
• vCISO ייעודי ל-AI — דרך שירות ה-vCISO שלנו, ליווי חודשי לוועדת AI Governance.

מוזמנים לשיחת היכרות של 30 דקות ללא עלות לבדוק איפה אתם עומדים.

שאלות נפוצות

כמה עולה לפרוס GenAI מאובטח בארגון של 200 עובדים?

טווח אמיתי ב-2026: 250K-550K ₪ בשנה הראשונה. מתחלק בערך: רישיונות Copilot/ChatGPT Enterprise 180K-350K, רישיונות Purview/DLP 40K-80K, ייעוץ ופריסה 80K-150K, הדרכות 20K-40K. שנה שנייה ואילך — בערך 60% מהעלות הראשונה.

האם כדאי לחסום ChatGPT לעובדים לגמרי?

כמעט תמיד לא. חסימה מלאה דוחפת ל-shadow AI דרך נייד אישי, ואתם מאבדים נראות. הגישה הנכונה: לחסום את הגרסה החינמית/Plus ברמת רשת ו-DLP, ולספק חלופה מאובטחת (ChatGPT Enterprise או Copilot) עם הדרכה. אחוז ה-shadow AI יורד מ-60% ל-8% בממוצע אצל לקוחותינו אחרי המעבר.

האם Microsoft 365 Copilot מאחסן את הנתונים שלנו לאימון?

לא. Microsoft מתחייבת חוזית (תנאי Commercial Data Protection) ש-prompts, responses, ו-Microsoft Graph data של Copilot ב-M365 לא משמשים לאימון מודלי בסיס. הנתונים נשארים ב-tenant שלכם, באזור הגיאוגרפי שהגדרתם. עם זאת — זה לא פותר את שאלת ה-oversharing הפנימי.

האם צריך CISO לפני שמכניסים Copilot?

לא חייבים CISO במשרה מלאה — אבל חייבים אחריות מוגדרת. אצל לקוחות עד 300 עובדים, vCISO במשרה חלקית (6-12 שעות בחודש) מספיק לליווי פריסת GenAI. מעל 500 עובדים — כדאי CISO ייעודי, או לפחות AI Security Lead במשרה מלאה תחת ה-CIO.

האם ISO 42001 חובה בישראל?

לא בחוק, נכון ל-2026. אבל היא הופכת מהר לדרישה דה-פקטו במכרזים ממשלתיים גדולים (טיוטות ראשונות כבר מזכירות), בעבודה עם לקוחות אירופאים שיכפיפו אתכם ל-EU AI Act, ובסקטור הפיננסי. ארגון שרוצה למכור AI ל-enterprise ב-2027-2028 כדאי שיתחיל את התהליך עכשיו.

איך מתחילים בלי תקציב גדול?

3 צעדים בלי עלות חיצונית: (1) לכתוב AI Acceptable Use Policy של עמוד אחד ולהפיץ — חוסם 40% מהסיכון מיידית. (2) להפעיל את ה-built-in audit logging שכבר יש לכם ב-M365 או Workspace, ולקרוא דוחות שבועיים. (3) להדריך את ה-20 משתמשים הכבדים ביותר ב-GenAI בשעה מרוכזת. אחרי 3 חודשים עם הבסיסים האלה, יהיה לכם מקרה ברור להשקעה הגדולה יותר.

סיכום

• GenAI נמצא בארגון שלכם כבר היום, גם אם לא אישרתם — discovery הוא הצעד הראשון.
• שבעה סיכונים עיקריים: דליפה, prompt injection, jailbreak, הזיות, shadow AI, רגולציה, supply chain.
• ChatGPT Enterprise / Copilot / Gemini for Workspace הם הבסיס המאובטח — לא הגרסאות החינמיות.
• Copilot ב-M365 דורש permissions hygiene ב-SharePoint לפני go-live, ללא יוצא מן הכלל.
• ISO 42001 הופך לסטנדרט; תיקון 13 חל על כל עיבוד PII דרך AI.
• DLP מסורתי לא מספיק — צריך שכבת LLM ייעודית (Purview, Lakera, Nightfall).
• 90 יום ו-300K-700K ₪ מספיקים לארגון בינוני לעבור ל-controlled GenAI.
• הטעות הגרועה ביותר: לחסום הכל. עדיף לאשר טוב מ-1 כלי, להדריך, ולפקח.