על פי דו"ח שפורסם מטעם מערך הסייבר הלאומי ביום 4 באפריל 2020, סקירת איומי הסייבר בשנת 2019 העלתה מספר אירועים משמעותיים אשר התרחשו בארץ ובעולם, ביניהם תקיפות כנגד תשתיות נפט, תשתיות אינטרנט וטלוויזיה, ניסיון פגיעה במרחב האינטרנט הישראלי וכן מתקפות כופר אשר הביאו לנזק רב. לאחרונה, אנו עדים למספר רב של תקיפות סייבר אשר שמות להן כמטרה חברות ישראליות במגוון תחומים, לרבות שרשראות אספקה, בתי תוכנה, משרדי עורכי דין, תעשיות ביטחוניות, רשתות חברתיות ואף חברות המחזיקות במידע אישי רגיש השייך ללקוחות פרטיים.
על פי המלצות מערך הסייבר הלאומי אשר פורסמו ביום 26 לנובמבר 2020, קיימות מספר נקודות תורפה אשר תוקפים ("Threat Actors") מנסים לנצל לצורך ביצוע מתקפת סייבר. מבדיקה שנעשתה על ידי מערך הסייבר הלאומי עלה, כי כ-2,000 ארגונים בישראל חשופים כיום לתקיפה בשל חולשות שונות במערכותיהם. נוכח המגמה הרגולטורית בשנים האחרונות בדבר הגנה על מידע אישי רגיש של צרכנים, לרבות תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017, תקנות ה- GDPR וכן חוק הגנת פרטיות הצרכן בקליפורניה (CCPA), יעילותה של הרגולציה כאמור נמצאת ב"שעת מבחן" אל מול התנהלותן של חברות המחזיקות במידע אישי מזהה. בעידן הטכנולוגי של ימינו, ובעיקר בתקופה אחרונה, אותן חברות חשופות למתקפות סייבר אשר במסגרתן תוקפים מבצעים חדירה בלתי מורשית, בווקטורים שונים, למערכות המחשוב של החברות, לרבות למאגרי המידע שלהן.
ביום 1 בדצמבר 2020, מערך הסייבר הלאומי, יחד עם רשות שוק ההון, הביטוח והחיסכון, פרסמו הודעה דחופה על אירוע דלף מידע מחברת הביטוח שירביט חברה לביטוח בע"מ, במסגרתו דלפו פרטי ביטוח של לקוחות פרטיים של שירביט, לרבות גורמים מתעשיית הביטחון. בימים שלאחר ההודעה כאמור, פורסמו עשרות כתבות אשר תיארו כי מערכותיה של שירביט נפרצו, מידע אישי רגיש חולץ והועלתה דרישת כופר תמורת מסירת המידע כאמור ומחיקתו על ידי התוקפים. בשונה מאירועים רבים אשר התרחשו עד לחודש דצמבר 2020, התוקפים בחרו לנהל את המשא ומתן באופן גלוי מבחינה תקשורתית, לרבות פרסום תצלומי מסך מתוך המשא ומתן, הדלפת מידע ועוד.
ביחס לאירוע שבנדון, הוגשו, בתחילת חודש דצמבר, מספר בקשות לאישור תובענה ייצוגית, בסך כולל של מאות מיליוני שקלים [תצ (מרכז) 2339-12-20 עלמה דולב נ' שירביט חברה לביטוח בע"מ (פורסם בנבו, 1.12.2020); תצ (מרכז) 5077-12-20 יהודה חכם יצחק נ' שירביט חברה לביטוח בע"מ (פוררסם בנבו, 2.12.2020); תצ (ת"א) 6615-12-20 גיא שור נ' שירביט חברה לביטוח בע"מ (פורסם בנבו, 3.12.2020); וכן תצ (מרכז) 5943-12-20 אילהו גואטה נ' שירביט חברה לביטוח בע"מ (פורסם בנבו, 3.12.2020)].
ככלל, הבקשות לאישור גורסות כי בעקבות הפריצה למערכותיה של חברת שירביט, פרטים רבים של לקוחות החברה הועברו לידי התוקפים ואף פורסמו ברשת האינטרנט, לרבות רישיונות נהיגה, תעודות זהות, תביעות ביטוח, תלושי שכר, קרנות השתלמות, קרנות פנסיה ועוד. לטענת המבקשים, שירביט הפרה את חוק הגנת הפרטיות, התשמ"א-1981 ואת התקנות אשר הותקנו מכוחו, ואף את חוק חוזה ביטוח, התשמ"א-1981, בכך שהתרשלה והפרה חובותיה לשמירה על פרטי לקוחותיה. עוד צוין, כי פירצת האבטחה החמורה אשר נוצלה על ידי התוקפים הינה באחריותה של חברת שירביט בלבד, שכן זו התעלמה מסיכון זליגת המידע והשימוש בו מעבר למטרות שלשמן נשמר המידע, ובדרך של מחדל אפשרה, הלכה למעשה, את נפילתו ל"ידיים הלא נכונות".
המקרה של שירביט אינו האירוע הראשון בישראל בו נפרצות מערכות מידע אשר מכילות מידע אישי רגיש של צרכנים. במקרה אחר שפורסם ביום 29 בינואר 2020, אפליקציית התשלומים פייבוקס (אשר נרכשה על ידי קבוצת דיסקונט), חוותה אירוע זליגת מידע במסגרתו פרטים אישיים של לקוחות דלפו, לרבות כינויי משתמש, תאריכי לידה, מספרי טלפון, שמות של קבוצות, סכומים שהועברו, זהות נמענים וארבע ספרות אחרונות של כרטיס האשראי. גם במקרה זה, הוגשו מספר בקשות לאישור תובענה ייצוגי [תצ (ת"א) 71275-01-20 סנדי אלכסנדר פרנג'י נ' בנק דיסקונט לישראל, יהודה הלוי 27, תל אביב 65136 (פורסם בנבו, 30.1.2020); ת"צ 73072-01-20 מי-דן ואח' נ' פייבוקס פתרונות תשלום בע"מ ואח' (ניתן למצוא תחת פנקס התובענות הייצוגיות); וגם תצ (ת"א) 71271-01-20 יששכר כרמלי נ' בנק דיסקונט לישראל בעמ (פורסם בנבו, 30.1.2020)]. גם בבקשות אלו, נטען להפרה של חובות הגנת הפרטיות על ידי פייבוקס בדרך של מחדל, וכן לרשלנותה של החברה נוכח פרצת האבטחה שנתגלה במערכותיה ואפשרה זליגה של מידע אישי, בין היתר ל"רשת האפלה".
באשר לבקשות המצוינות בעניין שירביט וכן בפייבוקס, על בית המשפט להכריע, על פי סעיף 7 לחוק תובענות ייצוגיות, התשס"ו-2006, איזו בקשה תיבחר כבקשה שתידון בפני בית המשפט. נוכח השלכות נגיף הקורונה, הדיונים בעניין זה נדחו לאמצע שנת 2021.
עניין נוסף שהגיע לכותרות הינו החלטתה של חברת שירביט שלא לשלם את הכופר אשר דרשו התוקפים בעבור שחרור המידע. בהקשר זה, בדרך כלל תוקפים אשר "מדביקים" מערכות מחשוב בתוכנת כופרה, דורשים תשלום של כופר במטבע קריפטוגרפי, לרבות ביטקוין. ישנה שאלה באשר לחוקיות תשלום כופר כאמור, וזאת לאור הוראות חוק איסור הלבנת הון, התש"ס-2000, חוק המאבק בטרור, התשע"ו-2016, חוקי הבנקאות השונים וכן חוק ניירות ערך, התשכ"ח-1968. בהתאם לחוקים אלו, נראה כי תשלום כופר במהלך מתקפות סייבר עלול להוות כעבירה על החוק, נוכח הגדרתם הפוטנציאלית של תוקפים כארגוני טרור והלבנת כספי הכופר. עם זאת, המצב המשפטי בישראל נותר עמום. ניתן לראות בשוק הביטוח פוליסות סייבר מיוחדות, אשר לא נאסרו לשימוש על ידי המפקח על הביטוח, המכילות סעיף שיפוי בגין תשלום כופרת סייבר. סנונית ראשונה בקשר עם חוקיותו של תשלום כופר לתוקפים עקב מתקפות סייבר, ניתן לראות ברגולציה חדשנית מטעם OFAC, המשרד לבקרת נכסים זרים בארה"ב. על פי הנחיות OFAC, קיים איסור בארה"ב על תשלום כופר לתוקפי סייבר, טרוריסטים וישויות נוספות אשר נכללות תחת "רשימת הסנקציות". על פניו, נראה כי הדבר "הולך יד ביד" עם המדיניות האמריקאית לפיה אין לנהל משא ומתן עם טרוריסטים. יחד עם זאת, את השפעות רגולציית OFAC ניתן לחוש גם בישראל, כאשר חברות רבות רוכשות פוליסות סייבר מיוחדות, אשר מונפקות על ידי חברות ביטוח זרות (מבטחי משנה בדרך כלל) הנמצאות בשליטת יחידים ו/או גופים אמריקאים. כך, על אף שפוליסות הסייבר מכילות סעיפי שיפוי בגין אירוע כופרה, ייתכן שבפועל חברות הביטוח לא יוכלו לבצע את תשלום השיפוי נוכח היותן נשלטות בידי יחידים או גופים אמריקאים בצורה עקיפה, כאשר הכופר נדרש על ידי תוקפים המצויים ב"רשימה השחורה".
לאור האמור לעיל, נשאלות שאלות בדבר מדיניותה של מדינת ישראל ב"מתחם הסייבר", לרבות יעילותה של הרגולציה הקיימת, השפעותיו של כלי התובענה הייצוגית על דרך פעולתן של חברות המחזיקות במידע אישי רגיש וכן חוקיותו של תשלום כופר בישראל ובעולם. יש לקוות כי תזכיר חוק הגנת הסייבר אשר פורסם כבר בשנת 2018 ומוגש כעת מחדש, ייתן מענה הולם לסוגיות אלו, במידה ויאושר כמובן.
להמלצות מערך הסייבר לחצו כאן.
לתזכיר חוק הגנת הסייבר לחצו כאן.
