משפטי– זאפ
משפטיאקטואליה משפטיתבעקבות הפריצה ל"שירביט": האם ניתן להגיש תביעה ייצוגית על אירוע סייבר?

בעקבות הפריצה ל"שירביט": האם ניתן להגיש תביעה ייצוגית על אירוע סייבר?

בישראל לא נדונו כמעט תביעות ייצוגיות נגד חברות שנפלו קורבן למתקפת סייבר. האם המקרה של חברת הביטוח שירביט יהיה שונה ומהו פוטנציאל הנזק?

מאת: מערכת זאפ משפטי
28.12.20
תאריך עדכון: 28.12.20
5 דק'
בעקבות הפריצה ל"שירביט": האם ניתן להגיש תביעה ייצוגית על אירוע סייבר?

זה נראה כמו חלום הבלהות של כל חברה: ב-3 בדצמבר בשעה 9:00 בבוקר פרצה קבוצת ההאקרים BlackShadow למאגר המידע של חברת הביטוח שירביט. הקבוצה החלה לפרסם מסמכים רגישים של החברה ובאופן מעורר אימה הציבה לחברה אולטימטום של 24 שעות.

"אם לא תשלמו לנו 50 ביטקוין (מיליון דולר) – זו הסוף שלכם!", איימו ההאקרים על החברה והביכו את "שירביט" על ידי פרסום צילומי תעודות זהות, דפי משכורות, כרטיסי אשראי ותיעוד רפואי. ככל שחלף הזמן, ההאקרים העלו את המחיר והדליפו עוד מידע רגיש.

האירוע גרם לנזק תדמיתי עצום ל"שירביט" אבל גרם גם לחשיפת מידע אישי של לקוחותיה, ביניהם עובדי מדינה בתפקידים רגישים ואף שופטים. זמן קצר לאחר התקיפה הוגשו לבתי המשפט בארץ מספר תביעות ייצוגיות נגד "שירביט" על ידי לקוחותיה של החברה.

בשתיים מהבקשות לאישור תובענה ייצוגית נגד "שירביט", על סך מאות מיליוני שקלים, נטען כי "שירביט" הפרה את חובותיה כלפי לקוחותיה, לא הגנה על הפרטים שלהם כנדרש ולא נקטה באמצעי הזהירות הדרושים

תביעות ייצוגיות במאות מיליונים

האם התביעות האלו יכולות לעמוד ומה בכלל כוחן של ייצוגיות על אירועי סייבר? בשתיים מהבקשות לאישור תובענה ייצוגית שהוגשו נגד "שירביט", על סך של מאות מיליוני שקלים, נטען כי "שירביט" הפרה את חובותיה כלפי לקוחותיה, לא הגנה על הפרטים שלהם כנדרש ולא נקטה באמצעי הזהירות הדרושים. עוד נטען כי "שירביט" לא דיווחה ללקוחותיה על תקלת אבטחת המידע בזמן, הסתירה מהם מידע בנושא ולא נקטה בצעדים הדרושים להקטנת הנזק שנגרם ללקוחותיה. 

מנגד הגישה "שירביט" לבית המשפט בקשה למחיקת הבקשות. חברת הביטוח טענה כי הבקשות הוגשו בשלב מוקדם מדי, עוד לפני שהתבררו כל הפרטים. לטענת החברה, אין במידע שנגנב כדי לגרום נזק ללקוחות והיא פעלה לפי הנחיית הרשויות כדי להגן על מאגרי המידע שלה.

כל חברה שנאלצת לחוות מתקפת סייבר היא בראש ובראשונה קורבן של האירוע. בישראל לא ידוע על נסיונות שצלחו להגיש תביעה ייצוגית נגד חברות אחרות שנפלו קורבן לפריצה

החברה המותקפת היא גם הקורבן

גם לאחר התביעות הייצוגיות, יש לזכור כי "שירביט", ולמעשה כל חברה אחרת שנאלצת לחוות מתקפת סייבר, היא בראש ובראשונה קורבן של האירוע. בישראל לא ידוע על נסיונות שצלחו להגיש תביעה ייצוגית נגד חברות אחרות שנפלו קורבן לפריצה.

בשנת 2017 נעשה ניסיון להגיש תביעה ייצוגית בעקבות פריצה לבנק ירושלים, שגרמה לחשיפת מידע של לקוחות, אך תוך זמן לא רב התובע חזר בו מהבקשה לאשר את התביעה כייצוגית, וכתוצאה מכך זו לא נדונה לבסוף לגופה. באופן עקרוני, כדי לבסס ייצוגית בעקבות מתקפת סייבר, על התובע להוכיח כי החברה גרמה לו לפגיעה בפרטיות, התרשלה בשמירה על מאגרי המידע שלה או הפרה חובות חקוקות.

באילו חובות מדובר? בראש ובראשונה, בתקנות הגנת הפרטיות, שנכנסו לתוקף במאי 2018 וקובעות, בין היתר, על אילו מאגרי מידע צריך להחיל רמת אבטחה גבוהה ואילו פעולות יש לנקוט כדי לאבטח את המידע. במקביל קיימות המלצות של מערך הסייבר הלאומי, שמיועדות לדירקטוריונים והנהלות ונועדו לשפר את דרכי ההתמודדות עם אירועי סייבר.

ב-2016 פרסם אגף שוק ההון, הביטוח והחיסכון במשרד חוזר תחת הכותרת "ניהול סיכוני סייבר בגופים מוסדיים", ובו קבע בצורה מפורטת כיצד על "שירביט" וגופים דומים להיערך למתקפת סייבר 

רגולציה מחמירה על גופים פיננסיים

במקרה של גופים פיננסיים כמו "שירביט" קיימת גם רגולציה מחמירה של האוצר. ב-2016 פרסם אגף שוק ההון, הביטוח והחיסכון במשרד חוזר תחת הכותרת "ניהול סיכוני סייבר בגופים מוסדיים", ובו קבע בצורה מפורטת כיצד על "שירביט" וגופים דומים להיערך למתקפת סייבר ולפעול.

ככל שתובע ייצוגי, במקרה של מתקפת סייבר, יצליח להוכיח כי הגוף הנתבע אכן התרשל, פגע בפרטיות של לקוחותיו או גרם להפרה של חובות חקוקות המוטלות עליו ויזכה לאהדת בית המשפט, הוא יידרש להראות מהו הנזק שנגרם באותו מקרה. האם נגרם נזק ממוני או נזק בלתי ממוני כתוצאה מהאירוע?

רשת הקמעונאות האמריקאית טארגט, שנפלה קורבן למתקפת סייבר ב-2013, נאלצה לשלם יותר מ-200 מיליון דולר במסגרת הסדרי פשרה בתביעות ייצוגיות ונגזרות שהוגשו נגדה

הסדרי פשרה מרחיקי לכת בעולם

על רקע היעדר תקדימים ברורים לייצוגיות דומות שנדונו בישראל, קשה להעריך לאן פני התביעות הייצוגיות שהוגשו נגד "שירביט" והאם למשל התובעים יצליחו להוכיח שהחברה התרשלה בצורה חמורה, לא יידעה את לקוחותיה כנדרש על האירוע והחמירה את הנזק.

על פוטנציאל הנזק שעלולות לגרום תביעות ייצוגיות בעקבות אירועי סייבר אפשר ללמוד בעיקר מהנעשה בעולם. בחו"ל הוגשו כבר לא מעט ייצוגיות על אירועי סייבר חמורים. ברבים מן המקרים נאלצו החברות הנפרצות לשלם פיצויים גבוהים מאוד במסגרת הסדרי פשרה.

בעקבות הפריצה ל"שירביט": האם ניתן להגיש תביעה ייצוגית על אירוע סייבר?(1)

כך למשל, רשת הקמעונאות האמריקאית טארגט, שנפלה קורבן למתקפת סייבר ב-2013, נאלצה לשלם יותר מ-200 מיליון דולר במסגרת הסדרי פשרה בתביעות ייצוגיות ונגזרות שהוגשו נגדה. במקרה אחר, ענקית הביטוח Anthem נאלצה לשלם 115 מיליון דולר בעקבות מתקפת ענק שנערכה עליה בשנת 2015 ובה נחשפו פרטים של מיליוני בני אדם.

גם חברת אשלי מדיסון, המעודדת בני זוג לקיים רומן מחוץ לנישואין, נאלצה לשלם יותר מ-11 מיליון דולר כחלק מהסדר פשרה בתביעה ייצוגית שהוגשה נגדה בעקבות מתקפת סייבר שבה נפלה קורבן ב-2015 ובעקבותיה נחשפו פרטים של מיליוני לקוחות. 

האם מאמר זה עזר לך?

רוצים להתייעץ עם עורך דין?