תמונת מערכת מרשימה המציגה רשת משתתפים בשיחת וידאו, שבה רוב הפנים מהבהבות קלות או מתפרקות לארטיפקטים דיגיטליים, בעוד פנים אנושיות אמיתיות אחת מביטות בהן — ממחישה את ליבת המתקפה על Arup, שבה אדם אמיתי אחד ישב בין זהויות סינתטיות.
Artificial IntelligenceCybersecurityDeepfakes

סמנכ"ל כספים מזויף בדיפפייק גנב 25 מיליון דולר בשיחת Zoom. הנה למה החברה שלכם עלולה להיות הבאה בתור.

Ashutosh SinghalAshutosh Singhal24 באפריל 202614 min

הייתי בשיחה עם לקוח פוטנציאלי — סמנכ"ל כספים בחברת ייצור בינונית — כשהוא אמר משהו שהקפיא אותי.

"אנחנו כבר מאמתים זהות בשיחות וידאו. אנחנו רואים אחד את הפנים של השני."

שאלתי אותו אם שמע על מה שקרה ל-Arup. הוא לא שמע. אז סיפרתי לו: בפברואר 2024, עובד במחלקת הכספים ב-Arup — חברת ההנדסה הגלובלית שעומדת מאחורי בית האופרה של סידני — הצטרף לשיחת וידאו עם סמנכ"ל הכספים שלו וכמה בכירים נוספים. הם דנו בעסקה חסויה. סמנכ"ל הכספים הורה לו להעביר כספים. הוא ביצע 15 העברות בסך כולל של 25.6 מיליון דולר על פני חמישה חשבונות בנק. כל פנים בשיחה הזו היו מזויפות. כל קול היה סינתטי. סמנכ"ל הכספים היה דיפפייק שנוצר על ידי בינה מלאכותית. וכך גם שאר הבכירים. העובד היה האדם האמיתי היחיד בחדר.

השיחה השתתקה למשך כעשר שניות. ואז הוא אמר: "זה לא יכול להיות אמיתי."

זה כן. וזו הסיבה שביליתי את התקופה האחרונה בחשיבה מחדש על כל מה שאנחנו בונים ב-Veriprajna — כי הפריצה ל-Arup לא רק חשפה פער באבטחת סייבר. היא חשפה בעיה של ארכיטקטורת אמון שרוב החברות עוד לא התחילו אפילו להתמודד איתה.

הלילה שבו הבנתי ש"לראות זה להאמין" מת

קראתי לראשונה את הניתוח הפורנזי של הפריצה ל-Arup בשעת ערב מאוחרת, יושב במשרד הביתי שלי עם כוס צ'אי שהספיקה להתקרר לפני שסיימתי את העמוד השני. מה שהדהים אותי לא היה סכום הכסף — אף ש-25.6 מיליון דולר הם סכום מטלטל. זו הייתה האלגנטיות של המתקפה. לא הייתה תוכנה זדונית. לא הייתה גניבת אישורי גישה. לא הייתה גישה בלתי מורשית למסד נתונים. התשתית הדיגיטלית של Arup לא נפרצה כלל.

התוקפים לא פרצו את המערכת. הם פרצו את האדם.

כשאפשר לזייף באופן מושלם את הפנים והקול של סמנכ"ל הכספים, האותות המסורתיים של אמון שבורים. לא נחלשו — שבורים.

הם בילו חודשים בגריפת סרטוני וידאו זמינים לציבור של בכירי Arup מ-YouTube, מהרצאות בכנסים ומהקלטות תאגידיות. הם אימנו רשתות יריבות גנרטיביות (Generative Adversarial Networks) — שתי רשתות נוירונים שמתחרות זו בזו, אחת מייצרת תוכן מזויף והשנייה מנסה לזהות אותו, בחזרה על התהליך מיליוני פעמים עד שהזיופים בלתי ניתנים להבחנה מהמציאות — כדי ליצור את מה שמומחי פורנזיקה מכנים "תאומים סינתטיים בנאמנות גבוהה". לא רק פנים. דפוסי דיבור. אינטונציות. האופן שבו אדם עוצר לרגע לפני שהוא עונה על שאלה.

אחר כך הם שלחו דוא"ל ספיר-פישינג מ"סמנכ"ל הכספים" שביקש עזרה בעסקה חסויה. העובד היה סקפטי. אינסטינקטים טובים. אבל לתוקפים היה מהלך שני: הם הזמינו אותו לשיחת וידאו חיה שבה כמה פנים מוכרות אישרו את הבקשה בזמן אמת.

הספקנות שלו התפוגגה. כמובן שכן. איזה אדם רציונלי יטיל ספק בעדות עיניו כשארבעה עמיתים מביטים בו בחזרה מהמסך?

איך מזייפים בדיפפייק חדר ישיבות שלם?

תרשים המסביר את צינור מתקפת הזרקת הווידאו — כיצד וידאו סינתטי עוקף זיהוי באמצעות הזנה ישירה לזרם הנתונים של תוכנת הוועידה, בהשוואה למתקפת מצגת פשוטה יותר.

זו השאלה שהצוות שלי חזר אליה שוב ושוב. ראינו כבר דיפפייקים של אדם בודד — קול משוכפל כאן, סרטון עם החלפת פנים שם. אבל ועידת וידאו חיה עם כמה משתתפים? זה נראה כמו קפיצת מדרגה.

מסתבר שהמחסומים הטכניים קרסו מהר יותר משרוב צוותי האבטחה מבינים.

התוקפים השתמשו בטכניקה שנקראת הזרקת וידאו ולא ב"מתקפת מצגת" פשוטה יותר (שבה מישהו מחזיק מסך מול המצלמה). מתקפות הזרקה מזינות וידאו סינתטי ישירות לזרם הנתונים של תוכנת הוועידה באמצעות תוכנת מצלמה וירטואלית. Zoom, Teams — האפליקציה מתייחסת לשידור שנוצר על ידי בינה מלאכותית כאילו הוא מגיע ממצלמת רשת פיזית. אין מסגרת מסך שאפשר לזהות, אין חריגת עומק שאפשר לסמן. מחקרים מראים שמתקפות הזרקה המכוונות לספקי אימות זהות גדלו ב-255% בשנת 2023, בעוד שמתקפות החלפת פנים עלו ב-704%.

אני זוכר שישבתי בישיבת צוות שבה אחד המהנדסים שלנו הדגים החלפת פנים בזמן אמת בעזרת כלים בקוד פתוח. לקח לו כארבעים דקות להקים את זה. התוצאה לא הייתה מושלמת — היה הבהוב קל סביב קו הלסת — אבל בשידור Zoom דחוס? לא הייתם שמים לב. וזה היה עם תוכנה חינמית ובלי נתוני אימון. לתוקפי Arup היו חודשים של הכנה, וככל הנראה, גם משאבים.

מנהל הטכנולוגיות הראשי שלי הביט בי מעבר לשולחן ואמר: "אנחנו צריכים להפסיק לחשוב על זה כעל בעיית אבטחת סייבר. זו בעיה של תורת ההכרה. איך מישהו יודע מה אמיתי?"

הוא צדק. וההבנה הזו עיצבה מחדש את האופן שבו אני חושב על כל מה שאנחנו בונים.

למה "אסטרטגיית הבינה המלאכותית" שלכם רק מחמירה את המצב?

הנה החלק שרוב הסיקור של הפריצה ל-Arup מפספס לחלוטין: האופן שבו רוב החברות אימצו בינה מלאכותית למעשה מגביר את הפגיעות שלהן למתקפה מסוג זה.

אני מדבר על "עוטף ה-LLM" — ארכיטקטורת הבינה המלאכותית הארגונית הדומיננטית כרגע. לוקחים API ציבורי מ-OpenAI או מ-Anthropic, עוטפים אותו בשכבת תוכנה דקה, מחברים אותו לכמה תהליכים עסקיים, וקוראים לזה אסטרטגיית הבינה המלאכותית שלכם. זה מהיר לפריסה. זה זול. וזה בלתי מספק מיסודו לכל דבר שבאמת חשוב.

שלוש סיבות.

ראשית, יציאת נתונים. בפריסה מבוססת עוטף, הנתונים הרגישים ביותר שלכם — גיליונות אלקטרוניים פיננסיים, תזכירים פנימיים, תקשורת של ההנהלה הבכירה — יוצאים מהפרימטר התאגידי שלכם כדי לעבור עיבוד בענן של צד שלישי. גם אם הספק מבטיח לא לאמן עליהם, הנתונים קיימים בסביבה חיצונית הכפופה ל-US CLOUD Act, ליחסי משנה-מעבד אטומים, ולסיכון של דליפה דרך המודל. אתם שולחים בדיוק את סוג המידע שתוקף היה צריך כדי לבנות דיפפייקים משכנעים של הבכירים שלכם מחוץ לחומות שלכם.

שנית, פער האמינות. מודלי שפה גדולים הם הסתברותיים. הם חוזים את המילה הבאה הסבירה ביותר על בסיס דפוסים סטטיסטיים, ולא על בסיס הבנה מעוגנת של המציאות התאגידית שלכם. כשסוכן בינה מלאכותית מדווח על מחיר, מאשר הנחה או מפרש מדיניות, הוא מייצר תשובה סבירה — ולא מאחזר עובדה מאומתת. בסביבות בעלות סיכון גבוה, הפער הזה בין "סביר" ל"אמיתי" הוא המקום שבו חיה ההונאה.

שלישית — וזו רודפת אותי — בעיית "היועץ חסר הגוף". עבור חברות הנדסה כמו Arup, עוטף LLM מבוסס טקסט מייצר עצות ללא שום לולאות משוב משולבות לאימות בטיחות פיזית או ביולוגית. בהנדסת מבנים או בכימיה, שינוי זעיר בחישוב יכול להוביל לתוצאה שונה באופן קטסטרופלי. עוטף שפועל לפי מרחק סמנטי ולא לפי חוקי הפיזיקה אינו מסוגל לזהות את הסטיות הקריטיות האלה. הוא לא יודע מה שהוא לא יודע.

כתבתי לעומק על הפגיעות הארכיטקטונית הזו במסגרת הגרסה האינטראקטיבית של המחקר שלנו — הטענה המרכזית היא שעוטפים יוצרים אשליה של אינטליגנציה בעודם משאירים את הארגון חשוף מבחינה מבנית.

מה באמת היה עוצר את המתקפה על Arup?

תרשים מחסנית הגנה המציג את שלוש שכבות הזיהוי/האימות המשלימות — זיהוי פיזיולוגי (ניתוח פעימות לב), ביומטריה התנהגותית (דפוסי הקלדה/עכבר) ומקור קריפטוגרפי (C2PA) — וכיצד הן פועלות יחד כמערכת רב-שכבתית לאימות זהות.

זו השאלה שהמשכתי לשאול את עצמי. לא "מה Arup הייתה צריכה לעשות אחרת" — זו חוכמה שלאחר מעשה. אלא: איזו ארכיטקטורה הייתה גורמת למתקפה מסוג זה להיכשל?

התשובה אינה טכנולוגיה אחת. היא מחסנית שלמה. וזה מתחיל בנטישת הרעיון שאישור חזותי שווה לאימות זהות.

פעימות הלב שאי אפשר לזייף

אחת מגישות הזיהוי המרתקות ביותר שנתקלתי בהן מנתחת משהו שנקרא שינויים בצבע הפנים "המושרים על ידי פעימות הלב". טכנולוגיות כמו FakeCatcher של Intel עוקבות אחר מיקרו-שינויים בגוון העור — בלתי נראים לעין האנושית — שמתאימים לפעילות קרדיווסקולרית. פנים אנושיות חיות משנות את צבען במעט עם כל פעימת לב. דיפפייק לא. ואם כן, התזמון שגוי.

כששמעתי על זה לראשונה, חשבתי שזה נשמע כמו מדע בדיוני. ואז צפיתי בהדגמה שבה המערכת זיהתה נכונה דיפפייק באיכות גבוהה שהצליח לרמות כל אדם בחדר. לפנים הסינתטיות היו מרקם עור מושלם, סנכרון שפתיים מושלם, תנועת עיניים מושלמת. אבל בלי דופק.

דיפפייק יכול לשכפל את הפנים שלכם, את הקול שלכם ואת הליכותיכם. הוא לא יכול לשכפל את פעימות הלב שלכם.

האופן שבו אתם מקלידים הוא החתימה שלכם

ביומטריה התנהגותית היא השכבה שמרגשת אותי יותר מכול, כי כמעט בלתי אפשרי לזייף אותה. דינמיקת ההקשות שלכם — המהירות, הקצב והלחץ של ההקלדה — יוצרת דפוס מזוהה וייחודי לכם. וכך גם תנועות העכבר שלכם, מהירות ההחלקה שלכם במובייל, ואפילו האופן שבו אתם מנווטים בין אפליקציות.

דמיינו בניית קו בסיס התנהגותי לכל בכיר בהנהלה. במהלך שיחת וידאו, המערכת מנטרת ברציפות אם "סמנכ"ל הכספים" שמקליד בצ'אט מתנהג כמו סמנכ"ל הכספים האמיתי. אם קצב ההקלדה סוטה מהפרופיל ההיסטורי בזמן שמוגשת בקשה פיננסית חריגה, המערכת מסמנת זאת אוטומטית. ללא צורך בשיפוט אנושי.

כך נראה אימות מתמשך — לא סיסמה חד-פעמית בכניסה למערכת, אלא אימות שוטף ובלתי נראה לכך שהאדם שאתם מדברים איתו הוא מי שהוא טוען שהוא.

הוכחה קריפטוגרפית שהווידאו אמיתי

במקום רק לנסות לזהות זיופים, אנחנו צריכים להתחיל לאמת אותנטיות במקור. תקן C2PA — Coalition for Content Provenance and Authenticity — מטמיע מטא-נתונים קריפטוגרפיים ברגע לכידת הווידאו: המכשיר, הזמן, המיקום, ושרשרת משמורת שניתן לזהות בה חבלה. אם לשידור וידאו בשיחת Teams או Zoom חסרים האישורים האלה, יש להתייחס אליו באותה חשדנות שבה מתייחסים לחבילת תוכנה לא חתומה.

זהו שינוי תפיסתי. במשך שנים שאלנו "האם זה מזויף?" השאלה הטובה יותר היא: "האם זה יכול להוכיח שהוא אמיתי?"

הארכיטקטורה שאנחנו באמת בונים

תרשים ארכיטקטורה שכבתי המציג את הסנדוויץ' הנוירו-סימבולי — מחסנית תלת-שכבתית שבה שכבות של לוגיקה סימבולית דטרמיניסטית עוטפות את ה-LLM הנוירוני, עם זרימות נתונים מסומנות המראות כיצד קלטים מטוהרים וכיצד פלטים מאומתים מול מסדי נתונים אמיתיים.

ב-Veriprajna אנחנו קוראים לגישה שלנו Deep AI — לא בגלל שזה מונח שיווקי, אלא כי הוא מתאר מערכת יחסים שונה מיסודה בין ארגון לבין תשתית הבינה המלאכותית שלו. במקום "בינה מלאכותית כשירות" דרך ממשקי API ציבוריים, אנחנו בונים "בינה מלאכותית כתשתית" בתוך הסביבה המאובטחת של הארגון עצמו.

שלושה עמודי תווך.

הראשון הוא בעלות על התשתית. אנחנו פורסים מחסניות היסק מלאות — מודלי שפה גדולים ארגוניים פרטיים — ישירות לתוך הענן הפרטי הווירטואלי (VPC) של הלקוח או לאשכולות Kubernetes מקומיים. נתונים רגישים לעולם לא יוצאים מהפרימטר. זה לא רק אמצעי אבטחה; זה יוצר נכסי מודל מותאמים אישית ששייכים ללקוח. האינטליגנציה שלהם נשארת ריבונית.

השני הוא מה שאנחנו מכנים Private RAG 2.0 — Retrieval-Augmented Generation (יצירה מועשרת באחזור) שמשולבת באופן טבעי עם האבטחה הפנימית. אם לעובד אין הרשאה לצפות במסמך ב-SharePoint, הבינה המלאכותית לא תאחזר אותו כדי לענות על שאלתו. זה נשמע מובן מאליו, אבל רוב מימושי ה-RAG מתייחסים לבסיס הידע כאל בריכה שטוחה אחת. שלנו מכבד את אותן בקרות גישה שחלות על שאר הארגון.

השלישי — וזה שאני הכי גאה בו — הוא הסנדוויץ' הנוירו-סימבולי. אנחנו עוטפים את הרשת הנוירונית (ה-LLM, על יכולות השפה היצירתיות שלו) בין שתי שכבות של לוגיקה סימבולית דטרמיניסטית. השכבה התחתונה מטהרת קלטים כדי למנוע הזרקת פרומפטים לפני שהם מגיעים למודל. השכבה העליונה מיירטת את פלט המודל ומריצה אותו דרך פונקציות נוקשות ומוגדרות מראש — שאילתה למסד נתונים SQL, בדיקה במערכת ERP, אחזור מחיר מאומת. כשהבינה המלאכותית מדווחת על מספר, היא שולפת עובדה, לא חוזה אותה.

הסנדוויץ' הנוירו-סימבולי מבטיח שכאשר הבינה המלאכותית מדווחת על מחיר או על סטטוס הרשאה, היא מאחזרת ערך דטרמיניסטי ממסד נתונים — ולא חוזה אותו על בסיס הסתברות של טוקנים.

אמרו לי שזה מהונדס יתר על המידה. "פשוט תשתמשו ב-GPT עם פרומפטים טובים", אמר לי פעם משקיע, בביטחון של מי שמעולם לא היה אחראי על העברה בנקאית. אני חושב על העובד מ-Arup — איש מקצוע כשיר שעשה כל מה שנראה סביר — ואני יודע שפרומפטים "טובים מספיק" הם לא טובים מספיק כשהסיכון נמדד במיליונים.

לפירוט הטכני המלא של הארכיטקטורה הזו, כולל דפוסי העיצוב הנוירו-סימבוליים ואחזור מודע ל-RBAC, ראו את מאמר המחקר המפורט שלנו.

מה קורה כשמנהל מערכות המידע נושא באחריות אישית?

יש לפריצה ל-Arup ממד משפטי שרוב אנשי הטכנולוגיה לא עוקבים אחריו, והוא אמור להפחיד כל מנהל מערכות מידע ומנהל טכנולוגיות שקורא את זה.

בתי משפט מיישמים יותר ויותר את "כלל המתחזה" בהונאות העברה בנקאית: את ההפסדים צריך לשאת הצד שנמצא בעמדה הטובה ביותר למנוע את ההונאה. במקרה של Arup, אף שהעובד רומה, ניתן לראות בכישלון החברה ליישם אימות רב-ערוצי לעסקאות בעלות ערך גבוה את נקודת הכשל העיקרית.

מנהלי מערכות מידע ומנהלי טכנולוגיות הם נושאי משרה בתאגיד עם חובות אמון. ככל שהונאה המבוססת על דיפפייק הופכת לסיכון ידוע ומתועד — ואחרי Arup, הוא ידוע באופן חד-משמעי — אי-יישום של בקרות מודעות לדיפפייק עלול להוביל לאחריות אישית אם בעלי מניות יתבעו את החברה בגין רשלנות. זה אינו היפותטי. חוק פרטיות הצרכן של קליפורניה, חוק הבינה המלאכותית של האיחוד האירופי, ומסגרות כמו AI Risk Management Framework של NIST — כולם מתכנסים לציפייה שלארגונים יהיו הגנות ספציפיות ומתועדות מפני מתקפות של מדיה סינתטית.

התחלתי לשאול מנהלי מערכות מידע שאלה פשוטה בכל פגישה: "אם תוקף היה מזייף בדיפפייק את המנכ"ל שלכם בשיחת וידאו מחר ומישהו היה מעביר 10 מיליון דולר, הייתם יכולים להוכיח לבית משפט שהיו לכם אמצעי הגנה סבירים?"

השתיקה שבאה אחר כך אומרת לי הכול.

אי אפשר פשוט להכשיר אנשים לזהות דיפפייקים?

אנשים שואלים אותי את זה כל הזמן, ואני מבין את האינסטינקט. זה הפתרון הזול ביותר. פשוט ללמד את כולם למה לשים לב — קו הלסת המהבהב, האוזן המוזרה, התאורה שקצת לא מסתדרת.

הנה הבעיה: זיהוי בעין אנושית הוא מרוץ חימוש שכבר הפסדתם בו. הארטיפקטים שהיו ניתנים לזיהוי בדיפפייקים של 2023 נעדרים ברובם מהדיפפייקים של 2025. הטכנולוגיה משתפרת מהר יותר מקצב ההסתגלות של התפיסה האנושית. ובשיחת וידאו דחוסה עם תאורה בינונית ורוחב פס לא יציב — שזה התיאור של רוב שיחות ה-Zoom הארגוניות — אפילו דיפפייקים מהדור הנוכחי הם בלתי נראים למעשה.

הכשרה עוזרת, אבל לא באופן שרוב האנשים חושבים. המטרה אינה להפוך עובדים לגלאי דיפפייק. המטרה היא לבנות את מה שאני מכנה תרבות של ספקנות מועצמת — תגמול לאנשים שמאתגרים בקשות חשודות, גם כשהבקשות האלה נראות כאילו הגיעו מהמנכ"ל. האינסטינקט הראשוני של העובד מ-Arup היה להיות ספקן כלפי דוא"ל הפישינג. האינסטינקט הזה היה נכון. הוא נדרס על ידי ההוכחה החברתית של שיחת וידאו עם פנים מוכרות.

התיקון הוא פרוצדורלי, לא תפיסתי. עסקאות בעלות ערך גבוה מחייבות אימות מחוץ לערוץ: שיחה ישירה למספר טלפון שאומת מראש, קוד אימות שסוכם מראש ומועבר בערוץ נפרד, או אישור כפול ממישהו שלא היה בשיחה המקורית. ועידת וידאו כבר לא יכולה להיות סטנדרט הזהב לאימות זהות בעסקאות פיננסיות. נקודה.

תוכנית האב של 25 מיליון הדולר

אני חוזר שוב ושוב למשהו שמפריע לי באופן שבו מספרים בדרך כלל את הסיפור של Arup. הוא ממוסגר כסיפור אזהרה — "תראו כמה מתוחכמים הרעים נעשים". וזה נכון, אבל זה לא שלם.

הלקח העמוק יותר הוא ארכיטקטוני. המערכות הדיגיטליות של Arup היו תקינות. חומות האש שלהם החזיקו. ההצפנה שלהם עבדה. המתקפה הצליחה כי ארכיטקטורת האמון של הארגון — מערך ההנחות לגבי האופן שבו זהות מאומתת והחלטות מאושרות — לא התפתחה כדי להביא בחשבון עולם שבו מדיה סינתטית היא זולה, משכנעת ובזמן אמת.

רוב הארגונים שאני מדבר איתם נמצאים באותה עמדה. הם השקיעו רבות בהגנת פרימטר בזמן שהשאירו את השכבה האנושית — השכבה שבפועל מאשרת את ההעברות הבנקאיות, מאשרת את החוזים, חותמת על מפרטי ההנדסה — מוגנת בלא יותר מההנחה שקשה לזייף פנים וקולות.

ההנחה הזו מתה בחדר ישיבות בהונג קונג בפברואר 2024. השאלה היא אם הארגון שלכם יעדכן את ארכיטקטורת האמון שלו לפני או אחרי שישלם שכר לימוד של 25 מיליון דולר משלו.

הפריצה ל-Arup לא הייתה כישלון של אבטחת סייבר. היא הייתה כישלון של ארכיטקטורת אמון — ורוב הארגונים לא עדכנו את שלהם מאז התקופה שבה אי אפשר היה לזייף פנים.

אני לא מסייג את זה. הארגונים שיפעלו עכשיו — יפרסו תשתית בינה מלאכותית ריבונית, ייישמו ביומטריה התנהגותית, ידרשו מקור קריפטוגרפי לשידורי וידאו, ויבנו מפסקי ביטחון פרוצדורליים לתוך כל החלטה בעלת ערך גבוה — יגדירו את העידן הבא של אבטחת מידע ארגונית. אלה שימתינו יהפכו למקרי בוחן.

העלות של דיפפייק שיכול לרמות את צוות הכספים שלכם צונחת לעבר האפס. העלות של להיות מרומה — לא.

מחקר קשור

פורסם גם ב

בנו את ה-AI שלכם בביטחון.

שותפו עם צוות בעל ניסיון עמוק בבניית הדור הבא של AI ארגוני. אנו נסייע לכם לתכנן, לבנות ולהטמיע אסטרטגיית AI שתוכלו לסמוך עליה.

Veriprajna ייעוץ דיפ-טק מתמחה בבניית מערכות AI קריטיות לבטיחות עבור תחומי הבריאות, הפיננסים והרגולציה. הארכיטקטורות שלנו מאומתות מול פרוטוקולים מבוססים ומלוות בתיעוד ציות מקיף.