בעשור האחרון, מתקפות סייבר הפכו מאיום טכנולוגי לנושא משפטי מהותי. ארגונים, עסקים ואנשים פרטיים נחשפים לנזקים משמעותיים כתוצאה מחדירה למערכות, גניבת נתונים או דליפת מידע. לצד ההיבט הפלילי, עולה שאלה חשובה, האם ניתן להגיש תביעה אזרחית ולקבל פיצוי.
המציאות מראה כי במקרים רבים, ייתכן שמגיע לנפגעים פיצוי, אך הם כלל אינם מודעים לכך.
מה נחשב מתקפת סייבר מבחינה משפטית
מתקפת סייבר אינה מוגדרת רק כפריצה למחשב. מבחינה משפטית, מדובר במגוון רחב של פעולות, כגון:
- חדירה למערכות מידע ללא הרשאה
- דליפת מידע אישי או עסקי
- הדלפת מסמך רגיש
- שימוש בלתי חוקי במידע לצורך רווח
- ניסיון לדלות מידע באמצעים טכנולוגיים
בישראל, פעולות אלו עשויות להיחשב לעבירות לפי חוק המחשבים, תשנ"ה-1995, וכן להוות עוולה אזרחית לפי פקודת הנזיקין.
מתי ניתן להגיש תביעה אזרחית בעקבות מתקפת סייבר
הבסיס לתביעה אזרחית נשען על שלושה תנאים מרכזיים:
- נזק ממשי
- הפרת חובה חוקית או חוזית
- קשר סיבתי בין המעשה לנזק
מקרים של פשיעת סייבר, ניתן לתבוע במספר מצבים עיקריים:
אחריות התוקף
כאשר ניתן לזהות את תוקף סייבר, ניתן להגיש תביעה ישירה בגין:
- פגיעה בפרטיות, לפי חוק הגנת הפרטיות, תשמ"א-1981
- גזל מידע מסחרי
- גרימת נזק כלכלי
עם זאת, בפועל, זיהוי התוקף אינו תמיד אפשרי.
אחריות צד שלישי, חברות וארגונים
אחריות צד שלישי במקרים של מתקפות סייבר מתמקדת בעיקר בגופים המחזיקים או מנהלים מידע אישי או עסקי, כגון חברות, ארגונים וגופים ציבוריים.
כאשר מתרחשת דליפת מידע או חדירה למערכות, לא נבחנת רק פעולת ההאקר עצמו אלא גם רמת ההגנה וההתנהלות של הגוף שנפגע. הדין בישראל מטיל על בעלי מאגרי מידע חובות ברורות בכל הנוגע לאבטחת מידע, ובפרט לפי תקנות הגנת הפרטיות, אבטחת מידע, תשע"ז 2017, המחייבות יישום מנגנוני הגנה, בקרות גישה וניהול סיכונים.
בתי המשפט בוחנים האם הארגון פעל בהתאם לסטנדרט סביר של אבטחת מידע והאם ניתן היה למנוע את האירוע באמצעים מקובלים. במקרים בהם מתברר כי לא ננקטו פעולות בסיסיות כמו עדכון מערכות, הגנה על סיסמאות או הפרדת הרשאות, עשויה לקום עילה לתביעה אזרחית בגין רשלנות.
המשמעות היא שגם אם תוקף סייבר הוא זה שביצע את הפעולה בפועל, האחריות המשפטית עשויה להיות מוטלת על הגוף שלא עמד בחובותיו.
ההיבט המשפטי של סייבר ואבטחת מידע ממשיך להתפתח, והנטייה היא להחמיר עם גופים שאינם מגנים כראוי על מידע רגיש. במקרים מסוימים, עצם הפגיעה בפרטיות או החשיפה של נתונים אישיים עשויה להספיק לצורך קבלת פיצוי, גם ללא הוכחת נזק כספי ישיר, במיוחד כאשר מדובר במידע בעל רגישות גבוהה או בהיקף רחב של נפגעים.
האם כל דליפת מידע מזכה בפיצוי
לא כל מקרה של דליפת מידע מוביל באופן אוטומטי לפיצוי, והדבר תלוי בנסיבות הספציפיות של כל אירוע. בתי המשפט בישראל בוחנים האם נגרמה פגיעה ממשית בפרטיות, מהו סוג המידע שנחשף, והאם קיימת רשלנות מצד הגוף שהחזיק במידע. כאשר מדובר במידע רגיש, כגון פרטים אישיים, רפואיים או פיננסיים, הנטייה תהיה לראות באירוע חמור יותר, במיוחד אם ניתן היה למנוע אותו באמצעים סבירים.
עם זאת, החוק הישראלי מכיר גם במקרים בהם ניתן לקבל פיצוי ללא הוכחת נזק, בעיקר מכוח חוק הגנת הפרטיות. המשמעות היא שגם אם לא ניתן להראות הפסד כספי ישיר, עצם הפגיעה בפרטיות יכולה להספיק. יחד עם זאת, ככל שרמת הרשלנות גבוהה יותר והנזק משמעותי יותר, כך יגדל הסיכוי לקבל פיצוי משמעותי במסגרת תביעה אזרחית.
אחריות משפטית של עסקים שלא נערכו לסייבר
עסקים רבים נוטים לראות במתקפות סייבר אירוע חיצוני שאינו בשליטתם, אך בפועל המערכת המשפטית בישראל בוחנת את רמת ההיערכות של הארגון. כאשר עסק מחזיק מידע של לקוחות או עובדים, הוא נדרש לעמוד בסטנדרטים מסוימים של אבטחת מידע, הכוללים נהלים, בקרות והגנות טכנולוגיות. אי עמידה בסטנדרטים אלו עשויה להיחשב כהתרשלות.
במקרים בהם מתגלה כי הארגון לא יישם אמצעי אבטחה בסיסיים, כמו ניהול הרשאות, עדכון מערכות או הגנה על סיסמאות, האחריות עשויה להיות מוטלת עליו גם אם מתקפת הסייבר בוצעה על ידי גורם חיצוני. בתי המשפט בוחנים האם ניתן היה למנוע את האירוע באמצעים סבירים, ואם התשובה חיובית, קיים בסיס לתביעה אזרחית בגין נזקי הדליפה.
