top image

תביעות נזקי סייבר – הנזק הרבה יותר גדול מהנראה

איור של תביעות נזקי סייבר עם פטיש שופט ומנעול דיגיטלי

בעידן בו תשתיות דיגיטליות הן בסיס לפעילות העסקית, הציבורית והארגונית – נזקי סייבר הם איום ממשי וסיכון משפטי וכלכלי חמור. פרצות אבטחה, דליפות מידע, מתקפות כופר ונזקים כתוצאה מחשיפת מידע רגיש, הפכו לשכיחים יותר – ומשמעותיים פי כמה. חברות הביטוח מצביעות על גידול חד בהפעלת תביעות ביטוחי סייבר, בשנים האחרונות: בעוד שבשנת 2016 היו שבע תביעות ביטוחי סייבר בלבד, הרי שבשנת 2020, הגיע מספרן ל־105. אולם הדו”ח מצביע על מגמה נוספת בתחום: סכום הפיצוי הסופי בתביעות נזקי סייבר, גבוה פי שלושה מסכום התביעה המקורי. מה ההשלכות והמשמעויות?

משרד עורכי דין וולר ושות’ מתמחה בליווי משפטי כולל לתביעות סייבר, רגולציה בתחום הגנת הפרטיות, ביטוחי סייבר וניהול משברים משפטיים וטכנולוגיים.

 

מהן תביעות נזקי סייבר?

תביעות נזקי סייבר הן תביעות משפטיות הנובעות מנזקים ישירים או עקיפים שנגרמו עקב מתקפות סייבר – דוגמת מתקפת כופר, פריצת מאגרי מידע, חשיפת מידע אישי או רגיש, השחתת מערכות, או הפסקת שירותים דיגיטליים. תחום זה מתפתח במהירות, ובתי המשפט בישראל, וברחבי העולם, בוחנים את גבולות האחריות הנזיקית, החוזית והרגולטורית.

 

סוגי תביעות נזקי סייבר

דו”ח חברת מארש, ברוקר הביטוח הגדול בעולם, קובע כי היקף הנזקים, וסוגי הנזקים כתוצאה מאירועי סייבר, מביאים בשנים האחרונות להתרחבות תחום ביטוחי סייבר: פוליסה המכסה את אחריות המבוטח בגין נזק פיננסי הנגרם על ידו לצד ג’, כתוצאה מכשלים באבטחת המידע ו/או הגנת הפרטיות. בנוסף, הפוליסה מכסה את הנזק הפיננסי לחברה עצמה כתוצאה מאירוע סייבר, הכולל פיצוי כספי בגין אבדן הכנסה, הוצאות ניהול אירוע הסייבר, הוצאות דמי כופר וקנסות רגולטורים. הגנות והרחבות נוספות הן ביטוחי סייבר לדירקטורים ולנושאי משרה. תביעות נזקי סייבר יכולות להתחלק למספר קטגוריות עיקריות:

תביעות ייצוגיות – הגנה על פרטיות הצרכן

נפגעתם מדליפת מידע אישי? תביעה ייצוגית עשויה להיות הפתרון. צרכנים רבים פונים לערכאות בעקבות פרצות אבטחה, תוך הסתמכות על תקנות הגנת הפרטיות בישראל, חוק הגנת הצרכן, ולעיתים אף על הוראות ה-GDPR האירופי. התובעים טוענים לרוב כי הארגון הנתבע לא הפעיל אמצעי אבטחה סבירים כדי להגן על המידע שלהם, נכשל בהגנה על המידע האישי שלהם וכתוצאה נגרם נזק. עקרונית, על מנת לבסס ייצוגית, על התובע להוכיח כי הארגון גרם לו לפגיעה בפרטיות, התרשל בשמירה על מאגרי המידע שלו או הפר חובות חקוקות (בראש ובראשונה תקנות הגנת הפרטיות, אך גם הוראות של מערך הסייבר הלאומי, הנחיות רשות שוק ההון ורגולטורים אחרים).

תביעות של שותפים עסקיים

חברות עסקיות עשויות לתבוע ספקים או שותפים שנפגעו מתקיפת סייבר, בטענה שהפרצה גרמה להן נזקים עקיפים כמו הפסקת פעילות, אובדן מידע עסקי רגיש, או פגיעה במוניטין.

תביעות של בעלי מניות

במקרים של חברות ציבוריות, בעלי מניות עשויים להגיש תביעות נגד הנהלת החברה וכנגד הדירקטורים, בטענה שכשלו  בהגנה על נכסי החברה ובניהול סיכוני הסייבר באופן נאות.

אכיפה רגולטורית ותביעות מטעם המדינה

רשויות רגולטוריות בישראל – כמו רשות הגנת הפרטיות, רשות שוק ההון, רשות ניירות ערך וכיוצ”ב – מחזיקות בסמכויות נרחבות להטלת עיצומים כספיים והגשת כתבי אישום מנהליים ופליליים. על כן, אירוע סייבר מחייב תגובה משפטית זהירה ומנוהלת היטב.

תביעות של חברות ביטוח

במקרים מסוימים, חברות ביטוח עשויות לסרב לשלם תביעות הקשורות לנזקי סייבר, ולהתדיין משפטית עם הארגונים המבוטחים על פרשנות פוליסות הביטוח.

 

סוגי נזקי סייבר

נזק פיננסי

נזקים פיננסיים עשויים לכלול אובדן הכנסות, הוצאות על תיקון הנזקים והוצאות על חקירות פנימיות. התקפות כמו כופר (Ransomware) עשויות להוביל לתשלום סכומים משמעותיים כדי לשחזר מידע חשוב. נזק נוסף הוא אבדן הכנסות בשל אי יכולת גישה למאגרי המידע, במקרה של השבתת מערכות המחשוב. תביעות המכוונות לנזקים אלה דורשות הוכחה וקשר סיבתי-משפטי לאובדן ישיר ומשמעותי (דבר המתאגר בפני עצמו).

נזק לרכוש

נזק לרכוש יכול להתבטא בהשחתת מערכות מחשוב, אובדן מלא או חלקי של מידע רגיש, ופרצות במערכות אבטחה. הרחבה אפשרית היא שירות ניהול אירוע סייבר ע”י חברת הביטוח. כאשר רכוש פיזי או דיגיטלי נפגע, יש לבחון את ההסכמים הקיימים ואת חובות הצדדים לפי הדין הקיים.

נזק למוניטין

נזקי מוניטין עשויים להיות ההשלכה הקשה ביותר, ובטווח הזמן הבינוני-ארוך, של התקפות סייבר. חברות עלולות לאבד לקוחות, ירידה בנאמנות, ירידה באחוזי המכירות וירידה ברווחים, בעקבות דליפות מידע. נזק למוניטין עלול להשפיע גם על גורמים בשרשרת האספקה של הארגון, דוגמת ספקים, שותפים לעסקים, משקיעים וצדדי ג’ אחרים.

נזקי פרטיות

פגיעות בפרטיות, דוגמת חטיפת מידע אישי או מידע רגיש אחר, מחייבות תשומת לב מיוחדת. דיני הגנת המידע, כמו GDPR באירופה, מקנים זכויות מסוימות לאנשים במקרה של פגיעות בפרטיותם.

 

התנהלות חברות הביטוח: ביטוחי סייבר

מנגד, חברות הביטוח המבטחות סיכוני סייבר, החלו לשנות מגמה, באופן מהותי, מהותי ביחס לעלויות, היקף ודרישות ביטוח הסייבר. מגמה זו מתבטאת בעלייה משמעותית בפרמיות הביטוח, צמצום היקף הכיסוי הביטוחי בפוליסות, עליה בסכומי ההשתתפות העצמית בפוליסות, ודרישה ממבוטחים ליתן גילוי מפורט ומקיף בטופס ההצעה לרכישת הביטוח. חברות שאינן עומדות בדרישות רמת האבטחה המינימאליות, עלולות להתקשות למצוא כיסוי ביטוחי, שייתן מענה בזמן אמת.

 

נזקי סייבר – בין סכום התביעה לסכום הפיצוי

הנתון המפתיע ביותר בדו”ח, הוא השוני בתביעות הסייבר, מיתר התביעות התאגידיות. בביטוחי הסייבר, סכום הפיצוי הסופי שמשולם למבוטח גבוה פי שלושה מסכום התביעה המקורית. זאת לעומת תביעות “רגילות” שבהן סכום התשלום הסופי נע בין 56% ל־87% מהתביעה עצמה.  ההסבר לכך הוא שרוב המותקפים, אינם יודעים לכמת את היקף הנזק שנגרם להם, בכל המישורים. על פי חברת מארש, ועל פי ניסיוננו, היקף נזקי הסייבר שנאמדים, באופן ראשוני, רחוקים מלשקף את היקף הפגיעה האמיתית שנגרמת לארגון. כך, סופג הארגון נזקים, בתחומים שונים:

נזקים בגין שיבוש בפעילות השוטפת; תשלום נזקים לצד ג’ (בגין אבדן מידע אישי, מידע תאגידי והפרת אבטחת מידע); תשלום קנסות ברי ביטוח (בעקבות הפרת הפרטיות ופגיעה בחופש המידע); תשלום הוצאות מומחי סייבר, יועצי מדיה וניהול משברים; כיסוי לסחיטה (פיצוי בגין כספים ששלומו בעקבות סחיטה ונזקים הנלווים לה לרבות תשלום כופר); תשלומים לשחזור מידע ותיקון המערכות; תשלום אובדן רווחים בעקבות פגיעה מתמשכת ברשת כתוצאה ישירה מכשל באבטחת מידע; מניעת רווחים פוטנציאליים; אבדן הכנסות עתידיות; נזקים תדמיתיים ופגיעה במוניטין הארגון; הוצאות משפטיות; ועוד.

 

משמעויות ללקוחותינו – רשויות מקומיות ותאגידים עירוניים

פגיעה במערכות הממוחשבות ובמאגרי המידע של הרשויות המקומיות עלולה לגרום לנזקים כבדים. לא בכדי הצביעו מבקר המדינה, והרשות להגנת המידע והפרטיות במשרד המשפטים, מספר פעמים, כי הרשויות המקומיות אינן ערוכות להתמודד עם איומי סייבר.

  • הדו”ח משקף תמונת מצב נכונה ואמיתית, עולמית. רמות הסיכון כתוצאה מתקיפות סייבר, הולכות ועולות, בכל העולם, ובמיוחד בישראל (המהווה יעד מועדף לתקיפה). אלא שהפגיעות הפוטנציאלית של רשויות מקומיות, גדולה במיוחד, לאור רמות ההגנה הנמוכות – ויעידו על כך דו”חות וביקורות גורמי הרגולציה בישראל.
  • רשויות מקומיות המיישמות תכנית לניהול סיכון הסייבר כחלק מאסטרטגיית ניהול הסיכונים שלהן (רישום מאגרי מידע, נהלים ותוכניות בתחומי אבטחת מידע, הגנת הפרטיות, המשכיות עסקית, שרשרת אספקה, התקשרויות עם צדדים שלישיים, ביטוח סייבר, הוראות במכרזים, הדרכות לעובדים וכיוצ”ב), משפרות משמעותית את הסיכוי להתמודד בהצלחה עם אירועי סייבר.
  • ההתייקרות בפרמיות ביטוחי הסייבר, איננה מקרית. בישראל, כמו בעולם כולו. הצפי הוא שפרמיות ביטוחי הסייבר, יתייקרו בשנים הקרובות. אנחנו ממליצים ללקוחותינו, לשוב ולבדוק את הפוליסה הקיימת להם בתחום הסייבר, ואת הכיסויים המופיעים בפוליסה. הפרמיה לא התייקרה? לפני שתברכו על כך, מומלץ לבדוק האם הכיסויים המופיעים בפוליסה, מכסים כיאות את האירועים השונים, זמינים ומציבים צוות יועצים בזמן אמת, מאפשרים רציפות תפקודית לצרכיכם, ומכסים את בעלי התפקיד ונושאי המשרה, בכל המתווים של תקיפות סייבר.
  • במקרה של תקיפת סייבר, הנזקים האמיתיים, הרחבים שייגרמו, גבוהים הרבה יותר, מההערכה הראשונית. יש לשים לב, כי הפוליסה תתייחס ותכסה גם את החקיקה (נכון להיום – הצעת חוק ממשלתית תיקון מס’ 14 לחוק הגנת הפרטיות), נזקים מתובענות ייצוגיות (לאור הצעות חוק פרטיות המקודמות בכנסת), שינויי רגולציה, פסקי דין, ועוד.
  • ביטוח סייבר אינו פתרון מלא. הוא מרכיב חשוב באסטרטגיה לניהול הסיכון של הארגון. על הארגון לנקוט בסדרת פעולות הנדרשות בתקנות הגנת הפרטיות, לנתח סיכונים, להשקיע משאבים כספיים בתשתיות, לתחזק אותן, להכשיר בעלי תפקידים, לנקוט בפעילויות הסברה, ועוד. להרחבה בתחום היערכות רשויות – מוזמנים לעיין במאמר פרטיות ואבטחת מידע ברשויות המקומיות.

 

עורך דין המתמחה באבטחת מידע

תביעות נזקי סייבר מהוות אתגר משפטי משמעותי בעידן הדיגיטלי. על עורכי הדין לענייני אבטחת מידע וסייבר להיות מוכנים להתמודד עם מגוון רחב של בעיות משפטיות וטכניות. באמצעות הבנת ההיבטים השונים של נזקי סייבר, ניתן להציע ללקוחות ייעוץ איכותי ולהשיג תוצאות מיטביות בתהליך המשפטי. ככל שהטכנולוגיה מתקדמת, כך גם עולם הסייבר דורש תשומת לב מיוחדת והבנה מעמיקה של כל היבטי הנזק והאחריות.

עורך דין רשויות מקומיות, המכיר את הוראות הדין, את מאגרי המידע שנמצאים ונאספים בידי הרשות, את הכלים בהם משתמשת הרשות, ואת האופן בו עובדת הרשות המקומית, ומתמחה בתחום דיני הגנת הפרטיות (P.P.O), יכול לסייע לרשות בתהליכי תהליך העבודה בתחומי אבטחת מידע והגנת הפרטיות. כך קטנים הסיכונים כתוצאה מאירועי אבטחת מידע. משרד עורכי דין וולר ושות’ מעניק לרשויות מקומיות ולתאגידים עירוניים, ליווי וייעוץ משפטי בתחומי אבטחת מידע והגנת הפרטיות. זאת, בשילוב הערך המוסף – ניסיון ארוך שנים והתמחות בעבודת הרשויות המקומיות, הבנה וידע מקצועי רב-תחומי.

עו”ד רועי וולר, מנהל התחום, הינו מומחה בדיני פרטיות, אבטחת מידע וניהול סיכונים, עם ניסיון רב בעבודה מול רשויות מקומיות, משרדי ממשלה ותאגידים. עו”ד וולר מכהן כ-P.P.O, מנהל סיכונים (C.R.O), ומביא עמו ניסיון ניהולי, מבצעי וארגוני עשיר. לכל שאלה בתחום, אתם מוזמנים ליצור עמנו קשר, כבר עכשיו.

שתפו עם חברים
צרו איתנו קשר

מאמרים נוספים

לייעוץ ומידע מלאו פרטים ונחזור אליכם

"*" אינדוקטור שדות חובה

הקפידו על פרטים ברורים ככל הניתן

כל הזכויות שמורות וולר ושות' ושות’ משרד עורכי דין
EkDesignEkDesign