תביעות נזקי סייבר

פגיעה במערכות הממוחשבות ובמאגרי המידע של הרשויות המקומיות עלולה לגרום לנזקים כבדים. לא בכדי הצביעו מבקר המדינה, והרשות להגנת המידע והפרטיות במשרד המשפטים, מספר פעמים, כי הרשויות המקומיות אינן ערוכות להתמודד עם איומי סייבר. דו”ח חברת מארש (Marsh), ברוקר הביטוח הגדול בעולם, מצביע על גידול חד בהפעלת תביעות ביטוחי סייבר, בשנים האחרונות: בעוד שבשנת 2016 היו שבע תביעות ביטוחי סייבר בלבד, הרי שבשנת 2020, הגיע מספרן ל־105. אולם הדו”ח מצביע על מגמה נוספת בתחום: סכום הפיצוי הסופי בתביעות נזקי סייבר, גבוה פי שלושה מסכום התביעה המקורי. מה ההשלכות והמשמעויות?

סוגי תביעות נזקי סייבר

היקף הנזקים, וסוגי הנזקים כתוצאה מאירועי סייבר, מביאה בשנים האחרונות להתרחבות תחום ביטוחי סייבר: פוליסת ביטוח המכסה את אחריות המבוטח בגין נזק פיננסי הנגרם על ידו לצד ג’, כתוצאה מכשלים באבטחת המידע ו/או הגנת הפרטיות. בנוסף, הפוליסה מכסה את הנזק הפיננסי לחברה עצמה כתוצאה מאירוע סייבר, הכולל פיצוי כספי בגין אבדן הכנסה, הוצאות ניהול אירוע הסייבר, הוצאות דמי כופר וקנסות רגולטורים. הגנות והרחבות נוספות הן ביטוחי סייבר לדירקטורים ולנושאי משרה. תביעות נזקי סייבר יכולות להתחלק למספר קטגוריות עיקריות:

תביעות ייצוגיות של צרכנים. תביעות המוגשות על ידי קבוצה של צרכנים שנפגעו מדליפת מידע או מפרצת אבטחה אחרת. התובעים טוענים לרוב כי הארגון הנתבע לא הפעיל אמצעי אבטחה סבירים כדי להגן על המידע שלהם, נכשל בהגנה על המידע האישי שלהם וכתוצאה נגרם נזק. עקרונית, על מנת לבסס ייצוגית, על התובע להוכיח כי הארגון גרם לו לפגיעה בפרטיות, התרשל בשמירה על מאגרי המידע שלו או הפר חובות חקוקות (בראש ובראשונה תקנות הגנת הפרטיות, אך גם הוראות של מערך הסייבר הלאומי, הנחיות רשות שוק ההון ורגולטורים אחרים).
תביעות של שותפים עסקיים. חברות עסקיות עשויות לתבוע ספקים או שותפים שנפגעו מתקיפת סייבר, בטענה שהפרצה גרמה להן נזקים עקיפים כמו הפסקת פעילות, אובדן מידע עסקי רגיש, או פגיעה במוניטין.
תביעות של בעלי מניות. במקרים של חברות ציבוריות, בעלי מניות עשויים להגיש תביעות נגד הנהלת החברה בטענה שכשלה בהגנה על נכסי החברה ובניהול סיכוני הסייבר באופן נאות.
תביעות רגולטוריות. רשויות אכיפה ורגולטורים עשויים להטיל קנסות כבדים ולנקוט בהליכים משפטיים נגד ארגונים שנכשלו בעמידה בדרישות החוק והרגולציה בתחום אבטחת המידע והגנת הפרטיות.
תביעות של חברות ביטוח. במקרים מסוימים, חברות ביטוח עשויות לסרב לשלם תביעות הקשורות לנזקי סייבר, ולהתדיין משפטית עם הארגונים המבוטחים על פרשנות פוליסות הביטוח.

התנהלות חברות הביטוח: ביטוחי סייבר

מנגד, חברות הביטוח המבטחות סיכוני סייבר, החלו לשנות מגמה, באופן מהותי, מהותי ביחס לעלויות, היקף ודרישות ביטוח הסייבר. מגמה זו מתבטאת בעלייה משמעותית בפרמיות הביטוח, צמצום היקף הכיסוי הביטוחי בפוליסות, עליה בסכומי ההשתתפות העצמית בפוליסות, ודרישה ממבוטחים ליתן גילוי מפורט ומקיף בטופס ההצעה לרכישת הביטוח. חברות שאינן עומדות בדרישות רמת האבטחה המינימאליות, עלולות להתקשות למצוא כיסוי ביטוחי, שייתן מענה בזמן אמת.

סוגי נזקי סייבר

נזק פיננסי

נזקים פיננסיים עשויים לכלול אובדן הכנסות, הוצאות על תיקון הנזקים והוצאות על חקירות פנימיות. התקפות כמו כופר (Ransomware) עשויות להוביל לתשלום סכומים משמעותיים כדי לשחזר מידע חשוב. נזק נוסף הוא אבדן הכנסות בשל אי יכולת גישה למאגרי המידע, במקרה של השבתת מערכות המחשוב. תביעות המכוונות לנזקים אלה דורשות הוכחה וקשר סיבתי-משפטי לאובדן ישיר ומשמעותי (דבר המתאגר בפני עצמו).

נזק לרכוש

נזק לרכוש יכול להתבטא בהשחתת מערכות מחשוב, אובדן מלא או חלקי של מידע רגיש, ופרצות במערכות אבטחה. הרחבה אפשרית היא שירות ניהול אירוע סייבר ע”י חברת הביטוח. כאשר רכוש פיזי או דיגיטלי נפגע, יש לבחון את ההסכמים הקיימים ואת חובות הצדדים לפי הדין הקיים.

נזק למוניטין

נזקי מוניטין עשויים להיות ההשלכה הקשה ביותר, ובטווח הזמן הבינוני-ארוך, של התקפות סייבר. חברות עלולות לאבד לקוחות, ירידה בנאמנות, ירידה באחוזי המכירות וירידה ברווחים, בעקבות דליפות מידע. נזק למוניטין עלול להשפיע גם על גורמים בשרשרת האספקה של הארגון, דוגמת ספקים, שותפים לעסקים, משקיעים וצדדי ג’ אחרים.

נזקי פרטיות

פגיעות בפרטיות, דוגמת חטיפת מידע אישי או מידע רגיש אחר, מחייבות תשומת לב מיוחדת. דיני הגנת המידע, כמו GDPR באירופה, מקנים זכויות מסוימות לאנשים במקרה של פגיעות בפרטיותם.

נזקי סייבר – בין סכום התביעה לסכום הפיצוי

הנתון המפתיע ביותר בדו”ח, הוא השוני בתביעות הסייבר, מיתר התביעות התאגידיות. בביטוחי הסייבר, סכום הפיצוי הסופי שמשולם למבוטח גבוה פי שלושה מסכום התביעה המקורית. זאת לעומת תביעות “רגילות” שבהן סכום התשלום הסופי נע בין 56% ל־87% מהתביעה עצמה. ההסבר לכך הוא שרוב המותקפים, אינם יודעים לכמת את היקף הנזק שנגרם להם, בכל המישורים. על פי חברת מארש, ועל פי ניסיוננו, היקף נזקי הסייבר שנאמדים, באופן ראשוני, רחוקים מלשקף את היקף הפגיעה האמיתית שנגרמת לארגון. כך, סופג הארגון נזקים, בתחומים שונים:

נזקים בגין שיבוש בפעילות השוטפת; תשלום נזקים לצד ג’ (בגין אבדן מידע אישי, מידע תאגידי והפרת אבטחת מידע); תשלום קנסות ברי ביטוח (בעקבות הפרת הפרטיות ופגיעה בחופש המידע); תשלום הוצאות מומחי סייבר, יועצי מדיה וניהול משברים; כיסוי לסחיטה (פיצוי בגין כספים ששלומו בעקבות סחיטה ונזקים הנלווים לה לרבות תשלום כופר); תשלומים לשחזור מידע ותיקון המערכות; תשלום אובדן רווחים בעקבות פגיעה מתמשכת ברשת כתוצאה ישירה מכשל באבטחת מידע; מניעת רווחים פוטנציאליים; אבדן הכנסות עתידיות; נזקים תדמיתיים ופגיעה במוניטין הארגון; הוצאות משפטיות; ועוד.

משמעויות ללקוחותינו – רשויות מקומיות ותאגידים עירוניים

הדו”ח משקף תמונת מצב נכונה ואמיתית, עולמית. רמות הסיכון כתוצאה מתקיפות סייבר, הולכות ועולות, בכל העולם, ובמיוחד בישראל (המהווה יעד מועדף לתקיפה). אלא שהפגיעות הפוטנציאלית של רשויות מקומיות, גדולה במיוחד, לאור רמות ההגנה הנמוכות – ויעידו על כך דו”חות וביקורות גורמי הרגולציה בישראל.
רשויות מקומיות המיישמות תכנית לניהול סיכון הסייבר כחלק מאסטרטגיית ניהול הסיכונים שלהן (רישום מאגרי מידע, נהלים ותוכניות בתחומי אבטחת מידע, הגנת הפרטיות, המשכיות עסקית, שרשרת אספקה, התקשרויות עם צדדים שלישיים, ביטוח סייבר, הוראות במכרזים, הדרכות לעובדים וכיוצ”ב), משפרות משמעותית את הסיכוי להתמודד בהצלחה עם אירועי סייבר.
ההתייקרות בפרמיות ביטוחי הסייבר, איננה מקרית. בישראל, כמו בעולם כולו. הצפי הוא שפרמיות ביטוחי הסייבר, יתייקרו בשנים הקרובות. אנחנו ממליצים ללקוחותינו, לשוב ולבדוק את הפוליסה הקיימת להם בתחום הסייבר, ואת הכיסויים המופיעים בפוליסה. הפרמיה לא התייקרה? לפני שתברכו על כך, מומלץ לבדוק האם הכיסויים המופיעים בפוליסה, מכסים כיאות את האירועים השונים, זמינים ומציבים צוות יועצים בזמן אמת, מאפשרים רציפות תפקודית לצרכיכם, ומכסים את בעלי התפקיד ונושאי המשרה, בכל המתווים של תקיפות סייבר.
במקרה של תקיפת סייבר, הנזקים האמיתיים, הרחבים שייגרמו, גבוהים הרבה יותר, מההערכה הראשונית. יש לשים לב, כי הפוליסה תתייחס ותכסה גם את החקיקה (נכון להיום – הצעת חוק ממשלתית תיקון מס’ 14 לחוק הגנת הפרטיות), נזקים מתובענות ייצוגיות (לאור הצעות חוק פרטיות המקודמות בכנסת), שינויי רגולציה, פסקי דין, ועוד.
ביטוח סייבר אינו פתרון מלא. הוא מרכיב חשוב באסטרטגיה לניהול הסיכון של הארגון. על הארגון לנקוט בסדרת פעולות הנדרשות בתקנות הגנת הפרטיות, לנתח סיכונים, להשקיע משאבים כספיים בתשתיות, לתחזק אותן, להכשיר בעלי תפקידים, לנקוט בפעילויות הסברה, ועוד. להרחבה בתחום היערכות רשויות – מוזמנים לעיין בפרטיות ואבטחת מידע ברשויות המקומיות.

עורך דין המתמחה באבטחת מידע

תביעות נזקי סייבר מהוות אתגר משפטי משמעותי בעידן הדיגיטלי. על עורכי הדין לענייני אבטחת מידע וסייבר להיות מוכנים להתמודד עם מגוון רחב של בעיות משפטיות וטכניות. באמצעות הבנת ההיבטים השונים של נזקי סייבר, ניתן להציע ללקוחות ייעוץ איכותי ולהשיג תוצאות מיטביות בתהליך המשפטי. ככל שהטכנולוגיה מתקדמת, כך גם עולם הסייבר דורש תשומת לב מיוחדת והבנה מעמיקה של כל היבטי הנזק והאחריות.

עורך דין רשויות מקומיות, המכיר את הוראות הדין, את מאגרי המידע שנמצאים ונאספים בידי הרשות, את הכלים בהם משתמשת הרשות, ואת האופן בו עובדת הרשות המקומית, ומתמחה בתחום דיני הגנת הפרטיות (P.P.O), יכול לסייע לרשות בתהליכי תהליך העבודה בתחומי אבטחת מידע והגנת הפרטיות. כך קטנים הסיכונים כתוצאה מאירועי אבטחת מידע. משרד עורכי דין וולר ושות’ מעניק לרשויות מקומיות ולתאגידים עירוניים, ליווי וייעוץ משפטי בתחומי אבטחת מידע והגנת הפרטיות. זאת, בשילוב הערך המוסף – ניסיון ארוך שנים והתמחות בעבודת הרשויות המקומיות, הבנה וידע מקצועי רב-תחומי. עו”ד רועי וולר, המוביל את התחום, הנו ממונה הגנת הפרטיות (P.P.O), מנהל סיכונים מוסמך (C.R.O) וחבר האיגוד הישראלי לניהול סיכונים, מנכ”ל מועצה אזורית לשעבר, וקצין (מיל.) ביחידה 8200. לכל שאלה בתחום, אתם מוזמנים ליצור עמנו קשר, כבר עכשיו, ונשמח לסייע.

תביעות נזקי סייבר – הנזק הרבה יותר גדול מהנראה