התקיפה של מערכות המחשב של חברת הביטוח שירביט על ידי האקרים והתובענות הייצוגיות שכבר הוגשו בעקבותיה, מעוררות סוגיות אשר כנראה ייבחנו בקרוב בבתי המשפט.
עד היום לא נדרש בית המשפט לדיון מהותי בתביעה ייצוגית בהקשר של אירוע סייבר. בנובמבר 2017 הוגשה לבית-המשפט המחוזי בירושלים תביעה ובקשה להכיר בה כתובענה ייצוגית, נגד בנק ירושלים, בגין פגיעה חמורה, לכאורה, בפרטיות הלקוחות. היא כללה חשיפת מידע רגיש שלהם בפני צדדים שלישיים עוינים ב- Darknet, אולם התביעה לא נידונה לגופו של עניין, מאחר שהתובע חזר בו מן הבקשה לאישור התביעה הייצוגית.
לקוחות שתובעים חברה במקרה כזה, יידרשו להוכיח כי אירוע האבטחה החמור נגרם עקב התרשלותה של החברה, או עקב הפרת חובותיה החקוקות.
במקביל לכניסתן לתוקף של תקנות ה- GDPRבאיחוד האירופי, נכנסו לתוקף בישראל תקנות הגנת הפרטיות (אבטחת מידע), אשר קובעות מסגרת יישומית ברורה ומפורטת בתחום הגנת המידע האישי. זאת, על ידי קביעת מנגנונים מפורטים לניהול סוגי מאגרי המידע השונים. התקנות קובעות, בין היתר, חובת מינוי ממונה על אבטחת מידע בארגון, חובת ביצוע מיפוי וסקר סיכונים לכל מאגר מידע באופן שוטף. בתקנות נקבע בנוסף אופן אבטחת מאגר המידע וחיבורו לתקשורת חיצונית, אופן מתן הרשאות גישה, אופן תיעוד אירועי אבטחה ועוד. נקבעו רמות אבטחה בינונית וגבוהה, בהתאם לרגישות המידע וכמות האנשים לגביהם נאסף המידע. שירביט היא חברת ביטוח שמחזיקה במידע אישי רגיש, ביחס למספר רב של מבוטחים, וחלה עליה חובת אבטחה ברמה הגבוהה ביותר.
בעקבות התקיפה, הרשות להגנת הפרטיות פרסמה השבוע דגשים לאבטחת מידע בחברות וארגונים המהווים חידוד לתקנות הקיימות. המדובר למעשה בהנחיות לניהול הרשאות גישה וסיסמאות, חיבור מרחוק למאגר המידע, הקפדה על קיום מערכות ותוכנות מעודכנות בגרסאותיהם ובעדכוני האבטחה ועוד. הכול בהתאם לרמת הסיכון הרלבנטית לארגון.
פעילותה של שירביט כפופה אף להוראות חוק הפיקוח על שירותים פיננסיים (ביטוח) ותקנותיו ולהנחיות אגף שוק ההון, ביטוח וחסכון במשרד האוצר. חלק מההוראות נכללות בחוזר משרד האוצר לגבי ניהול סיכוני סייבר בגופים מוסדיים, שפורסם באוגוסט 2016. החוזר מגדיר עקרונות לניהול סיכוני סייבר בגוף מוסדי ומחייב את הגוף המוסדי לנהל סיכונים אלו באופן אפקטיבי, עדכני ושוטף ולהטמיע בארגון אמצעים ושיטות אבטחה המפורטים בחוזר. הוא קובע כי לאור מרכזיות גופים מוסדיים בשוק ההון הישראלי ולאור הסיכון הגבוה בתחום הגנת הסייבר, מצופה מגוף מוסדי לאמץ סטנדרטים גבוהים בתחום זה.
אם התובעים יצליחו להוכיח כי שירביט הפרה את החובות החלות עליה או התרשלה באופן אשר גרם לאירוע האבטחה החמור, יידרש בית המשפט לשאלת הנזק שנגרם. במקרה הנדון, פרט לנזקים ממוניים שעלולים להיגרם למבוטחים עקב דליפת המידע (לדוגמא, גניבה תוך שימוש במידע אישי שדלף), חשיפת מידע אישי רגיש עלולה לגרום אף לנזקים שאינם נזקים ממוניים, כמו פגיעה בשם טוב או כאב וסבל עקב עוגמת הנפש הנובעת מחשיפת המידע באינטרנט.
בעבר, במסגרת הליכי אישור תביעה ייצוגית כנגד תנובה בפרשה הזכורה כ"פרשת הסיליקון", קבע בית המשפט העליון כי נזק בר-פיצוי (במסגרת התביעה הייצוגית) אינו רק נזק ממוני, ויכול לכלול אף נזק מוראלי ועוגמת נפש. לדוגמא: תחושות שליליות ופגיעה באוטונומיה של הפרט, אשר זכאי לקבוע מה יכנס לפיו ולגופו וממה יימנע.
במקרה הפריצה למערכות שירביט עשויים להיות מעורבים גורמים נוספים, כדוגמת ספקי תוכנה, שירותי מחשוב או איחסון מידע בענן, אשר העניקו לחברה שירותים ולצורך כך ניתנה להם גישה למאגרי המידע של שירביט. אף אם הסיבה לפריצה נעוצה במחדלי הספקים, אין בכך כדי להסיר את האחריות של שרביט מול התובעים, אולם ייתכן שלשירביט תהיה עילת תביעה כנגד ספקיה, בהתאם לתנאי ההתקשרות עמם.
עו"ד עידו גביש הוא עורך דין מסחרי המתמחה בטכנולוגיה ומחשוב. יועץ חיצוני במשרד .Bfp&Co.