CYBER AWARENESS | 9 דקות קריאה

כדאי שתכירו: ההאקר הטוב שיעזור לכם להתגונן מפני האקרים רעים

Marcotech Editorial Mar 2026

לאחר שחוותה בעצמה מתקפת סייבר, ליבה שם טוב חברה לגבריאל מרקוס — האקר אתי ובכיר אבטחת מידע — וביחד הקימו את Be Safe, מיזם שמבקש לעזור לארגונים ולעסקים להקדים תרופה למכה באמצעות ייעוץ, מודעות והדרכה מקצועית.

גבריאל מרקוס, סמנכ"ל אבטחת המידע והטכנולוגיות ב-Be Safe
גבריאל מרקוס, סמנכ"ל אבטחת המידע והטכנולוגיות ב-Be Safe. צילום: דורון ישינסקי

Be Safe, סטארט-אפ חדש פרי יוזמתם של ליבה שם טוב וגבריאל מרקוס, הוקם במטרה לסייע לארגונים ולחברות להתגונן מפני מתקפות סייבר והאקרים — דווקא מנקודת מבטו ובעזרת ניסיונו של האקר עצמו. הסיוע ניתן באמצעות ייעוץ והדרכות מקצועיות פרטניות.

מרקוס, המשמש כסמנכ"ל אבטחת המידע והטכנולוגיות בחברה, עסק בעברו כהאקר אתי. ליבה שם טוב משמשת כמנכ"לית החברה.

"מאז שהייתי ילד, אהבתי מחשבים ולמדתי איך לעשות דברים שהיו מוגדרים כבלתי אפשריים. תמיד אהבתי לחקור ולהיכנס לאן שאי אפשר היה להיכנס — והכול במטרה טובה", סיפר מרקוס.

לדבריו, לאורך השנים בכל פעם שאיתר פריצה או פגיעה, דאג להתריע על כך לגורמים הרלוונטיים. הוא הוסיף כי הוא מקדיש בכל יום זמן ללמידה על שיטות הפריצה החדשות, על איומים עדכניים ועל השינויים המהירים בעולם הסייבר.

עוד סיפר מרקוס כי אחד מתחביביו הוא יצירת ניתוחים לווירוסים ובניית סימולציות של מתקפות אמת — מתוך הבנה שהיכרות מעמיקה עם דרך החשיבה של התוקף היא מפתח מרכזי ליצירת הגנה טובה יותר.

ליבה שם טוב, מנכ"לית Be Safe
ליבה שם טוב, מנכ"לית Be Safe. צילום: דורון ישינסקי

לדברי שם טוב, Be Safe נולדה מתוך צורך ממשי להתמודד מול מתקפות סייבר ומתוך תחושת חוסר אונים לנוכח המענה החלקי של הרשויות במקרים מסוימים. הרעיון להקמת החברה עלה לאחר שחוותה בעצמה מתקפת סייבר ונתקלה בקושי לקבל סיוע מספק.

במהלך החקירה והלמידה שלה את התחום, פגשה את גבריאל מרקוס, שסייע לה באופן אישי. לדבריה, המפגש ביניהם חיבר בין תשוקה גדולה לסייע, ניסיון מעשי, ידע מקצועי והסמכות בינלאומיות — והפך לשותפות מקצועית עם מטרה משותפת.

שם טוב הסבירה כי מהר מאוד הבינה שהם יכולים וצריכים להשתמש בכישוריהם כדי לעזור לעסקים ולפרטים להתגונן בעולם מורכב, שבו מתקפות הסייבר הולכות ומתגברות עם ההתקדמות הטכנולוגית ועם הנגישות הגדלה לכלים התקפיים.

סוס טרויאני בקורות חיים

בין המקרים שהגיעו לטיפול החברה, סיפרה שם טוב על מקרה שבו במהלך גיוס של עובד חדש לארגון גדול בישראל, התקבלו עשרות קורות חיים מאנשים פרטיים. במהלך המעבר על הקבצים, התגלה כי באחד מהם נשתל סוס טרויאני שיצר שער אחורי ואפשר לתוקף להשתלט על עמדת המחשב.

לדבריה, מדובר בשיטה המכונה סטגנוגרפיה, שבמסגרתה ניתן להסתיר סוס טרויאני או קוד זדוני אחר בתוך קובץ או תמונה באופן שאינו בולט לעין. ההתקפה נבלמה באמצעות כלי ניטור והאיום הוסר בזמן.

במקרה אחר, מתחום ההנדסה החברתית, תיארה שם טוב תקיפה שאירעה בחברה פיננסית גדולה. מכשיר הסלולר של רעייתו של סמנכ"ל בכיר הותקף באמצעות פישינג, וכך השיגו התוקפים גישה גם למחשב של אותו סמנכ"ל, על רקע שהותם באותה רשת ביתית שלא הייתה מאובטחת כראוי. במקרה זה נגנב מידע רגיש, אך התוקף אותר בידי מערכות זיהוי סייבר.

אחת מדרכי ההתגוננות החשובות ביותר היא ביצוע בדיקות חדירה — Penetration Testing — המדמות מתקפה אמיתית דרך עיניו של ההאקר ומספקות לארגון תמונת מצב ברורה של פרצות האבטחה שלו.

שם טוב הדגישה כי בתום בדיקות כאלה, הארגון מקבל דו"ח הממפה במדויק את הכשלים ונקודות התורפה, כדי שיוכל לתקן אותן לפני שינוצלו בפועל. לדבריה, במקרים מסוימים בדיקות כאלה אף נדרשות על פי דין.

עוד ציינה כי חשוב שבדיקות חדירה יתבצעו על ידי גורם מוסמך ובעל הכשרה בינלאומית, וכי גם אופן ניסוח הדו"ח והסטנדרטים שעל פיהם הוא נערך משמעותיים לצורך עמידה בדרישות שוק, לקוחות ורגולציה.

"המודעות והערנות לנושא זה הם כלי הרתעה"

לדברי שם טוב, תחום אבטחת המידע הוא נדבך מרכזי גם בעולם הגנת הפרטיות, שקיבל ביטוי הן בחוק הגנת הפרטיות הישראלי והן ברגולציית ה-GDPR האירופית, שנכנסה לתוקף במאי 2018.

היא הסבירה כי חוקים ורגולציות אלו עוסקים באיסוף, שמירה ועיבוד של נתונים אישיים, תוך יצירת כללים מחייבים להגנה על פרטיות. במקרים מסוימים, גם ארגונים ישראליים שאינם פועלים פיזית בשטח האיחוד האירופי עשויים להיות כפופים ל-GDPR, אם הם מעבדים מידע של נושאי מידע הנמצאים באיחוד האירופי.

בהתייעצות שערכו עם עו"ד אלדר סיון, העוסק בתחום ההיי-טק והגנת הפרטיות, עלה כי כל עסק שמחזיק, אוסף או מעבד מידע צריך לבחון עם מומחים אם הוא כפוף לחוק הגנת הפרטיות או ל-GDPR. אם התשובה חיובית, ייתכן שיידרשו פעולות רבות, כגון בדיקת התאמה לעקרונות החוק, עדכון מסמכי מדיניות פרטיות, התאמת התקשרויות עם עובדים, ספקים ולקוחות, וכן עדכון נושאי המידע עצמם.

אי-ציות להוראות ה-GDPR עלול להוביל לאזהרות, ביקורות תקופתיות ואף לקנסות חמורים במיוחד — עד 4% מהמחזור השנתי של הארגון המפר או עד 20 מיליון אירו.

לסיום הודגש כי דו"ח חדירות שנחתם על ידי מומחה מוסמך הוא נדבך קריטי במערך הצעדים שכל ארגון המחזיק במידע צריך לשקול. מעבר להקטנת החשיפה המשפטית והטכנולוגית, חתימה כזו עשויה גם לחזק את תחושת הביטחון של מנהלים, בעלים ולקוחות.

בסופו של דבר, המודעות והערנות לנושא הן כלי הרתעה משמעותי. הן אלו שבונות את שכבות ההגנה של העסק, מגבירות את אמון הלקוחות ומקטינות את הסיכון להזנחה שתתגלה רק כאשר כבר מאוחר מדי.