"צפוי גידול בתביעות הייצוגיות נגד חברות שעברו מתקפות סייבר"
"השנה תהיה הרבה יותר מודעות לתחום - אין חברה רצינית שלא מבינה את המשמעות של זה ועושה ביטוח סייבר", אמרה עו"ד נעמי אסיא, מומחית בדיני מחשבים, טכנולוגיה, קניין רוחני ורישום פטנטים
מערכת אנשים ומחשבים שוחחה באחרונה עם משפטנים המתמחים בדינים שקשורים לטכנולוגיה ולמחשוב, ושאלה אותם מהן המגמות שיאפיינו את השנה הנוכחית בממשק שבין משפט לטכנולוגיה – לאור שנת הקורונה שעברה עלינו ובכלל. לאחר שהבאנו בחלק הראשון את דבריו של עו"ד אביב אילון, הפעם אנחנו מביאים את דבריה של עו"ד נעמי אסיא ממשרד נעמי אסיא ושות', שמתמחה מזה שנים רבות בדיני מחשבים, טכנולוגיה, קניין רוחני ורישום פטנטים.
"להערכתי, אנחנו צפויים השנה לגידול במספר התביעות הייצוגיות נגד חברות שנחשפו לפגיעות סייבר והמידע על לקוחות שלהן נפרץ ונחשף", אמרה עו"ד אסיא. "הפגיעה כתוצאה ממתקפת סייבר יכולה להיות בכמה צורות: חשיפת המידע האישי, מספרי כרטיסי אשראי, סיסמאות, תכתובות אישיות, מידע מודיעיני ועוד".
"בישראל", ציינה, "יש כמה חוקים שנוגעים בהשפעות של מתקפות סייבר, ובהם חוק הגנת הפרטיות, חוק החברות וחוק המחשבים. יש גם הרשות להגנת הפרטיות, שעושה עבודה נהדרת ובאתר שלה יש את ההנחיות וההסברים לשאלות שנשאלות בהקשר של תקיפות סייבר, אבטחת מידע ושמירה על הפרטיות".
"במקביל, יש רגולטורים מגזריים, כמו המפקח על הבנקים, שדורש תקן של מינוי מנהל ההגנה הקיברנטית. באירופה יש את חוקי ה-GDPR, שמשפיעים גם על ישראל. כך, למשל, הם מחייבים מינוי של ממונה הגנה ארגוני (DPO), שיישם את מדיניות ההנהלה בכל מה שקשור לפרטיות ושמירה על המידע", אמרה עו"ד אסיא.
מה עושים כשמתרחשת מתקפת סייבר – מבחינה משפטית?
היא הוסיפה ש-"שאלה נוספת שנשאלת היא: מה צריך לעשות כאשר מתחרשת תקיפת סייבר? יש לכך כמה שלבים: הזיהוי, ניתוח המתקפה וההחלטה על דרכי ההתמודדות\ ולאחר מכן הכלה ותחקיר. יש לתת מענה מיידי, ראשוני, לאחר שמזהים את התקיפה".
"המשרד שלנו מטפל באירועי סייבר במסגרת המענה הראשוני", ציינה עו"ד אסיא. "אנחנו מטפלים בכמה חברות, במסגרת ביטוח סיכוני סייבר. משרדנו מקים צוותים שיש בהם נציגים של מערכות מידע, משפטים, הנהלה ויחסי ציבור. אחד הדברים שמשפיע על אופי הפעילות הוא האם ארגון חייב לדווח לרשויות על אירוע סייבר מיד לאחר שהוא קורה – בישראל זה מערך הסייבר. יש נהלים ברורים, שכוללים גם חובת דיווח לנשואי המידע שנפרץ, אם מזהים פריצה, והדבר מחייב להקים קול סנטר בעלויות יקרות".
דמי כופר – לשלם או לא?
בשנים האחרונות נשאלת לא מעט השאלה האם כדאי לארגונים לשלם דמי כופר במסגרת מתקפות כופרה או לא. לדברי עו"ד אסיא, "התשובה מורכבת. אני יכולה להזדהות עם מנהלים שבלא מעט מקרים, כאשר הם נקלעים למתקפת כופרה הם נוטים לשלם, כי הם מעריכים שהנזק שייגרם לחברה אם הם לא ישלמו יהיה גדול יותר, בדמות חשיפה, אובדן אמון הלקוחות ועוד".
"התשובה תלויה בין היתר בהיקף האירוע, באיזה סוג של ארגון מדובר ומהו גודלו. אם החברה נכללת תחת החובה לדווח למערך הסייבר, ההנחיה היא לא לשלם – ויש בזה הגיון, כי לא תמיד התשלום סוגר את האירוע. זאת, מאחר שלא תמיד יודעים למי משלמים ולאן הולך הכסף. כאן אין למנהל שיקול דעת. במקרים של תביעות כופר קטנות מחברות קטנות, אפשר אולי להבין שמשלמים ונגמר הסיפור", ציינה.
לסיכום אמרה עו"ד אסיא כי "אני סבורה שהשנה הנוכחית תתאפיין בהרבה יותר מודעות לנושא ביטוח סיכוני הסייבר. להערכתי, אין כיום חברה רצינית שלא מבינה את המשמעות של זה ועושה ביטוח. אבל ההמלצה שלנו היא, עוד לפני שעושים את הביטוח, לקרוא וליישם את ההנחיות של הרשויות השונות, שהן ברורות לחלוטין".
תגובות
(0)