בסוף חודש יולי, חברת גרמין, המוכרת לקהל הקוראים מתחום שעוני הכושר, חוותה מתקפת כופרה (Ransomware) אשר השביתה חלק ניכר משירותי החברה למשך מספר ימים. כעת, אחרי ששירותי החברה חזרו לפעול כשורה ונראה היה כי החברה התאוששה מהמשבר, יהיה עליה להתמודד עם אתגר נוסף והפעם במישור המשפטי. בתחילת אוגוסט הוגשה לבית המשפט המחוזי בתל אביב, בקשה לאישור תובענה ייצוגית כנגד גרמין העולמית וכנגד חברת רונלייט, היבואן הרשמי בישראל.
מה המשמעות של התביעה הייצוגית שהוגשה כנגד גרמין? | צילום: אלבום פרטי
התובע, מר שי יום-טוב, בעליו של שעון גרמין מדגם Forerunner 245 Music טוען כי בעקבות המתקפה נמנעה ממנו האפשרות להשתמש בשעון או לסנכרן נתונים כיאות, ובכך נמנעה ממנו זכותו לעשות שימוש בקניינו הפרטי. טענה נוספת של התובע היא כנגד התנהלותן הבעייתית של גרמין ושל היבואן הרשמי אשר פעלו בחוסר שקיפות וניסו להסוות את מתקפת הכופרה. לבסוף, התובע מעלה חשש לפגיעה בפרטיות המשתמשים עקב המתקפה ומבקש מבית המשפט להורות לחברה לפרסם תחקיר מעמיק אודות המתקפה.
ביקשנו את תגובת חברת רונלייט יבואנית גרמין בישראל לבקשה לתביעה הייצוגית והם מסרו כך: "כאשר נקבל לידינו את המסמכים המשפטיים – נלמד את הדברים ונתייחס בהתאם כמקובל".
על מנת להנגיש את הנושא אסביר כי הליך של תובענה ייצוגית מתאים למקרים בהם יש נפגעים רבים שלכל אחד מהם נגרם להם נזק קל ומבחינת שיקולי עלות-תועלת לא משתלם לכל אחד מהנפגעים לסור לבית המשפט ולהגיש תביעה. התובענה הייצוגית מתמרצת את התובע הייצוגי לפעול בשם הקבוצה הנפגעת בדמות פיצוי מוגדל שהיא מעניקה לו עבור הזמן וההשקעה בניהול התביעה.
על מנת שיום-טוב יקבל אישור מבית המשפט לנהל תובענה ייצוגית נגד גרמין והיבואן הרשמי, יהיה עליו להראות, בין היתר, כי קיימת לו עילת תביעה אישית, כי קיימת עילת תביעה משותפת לקבוצה המיוצגת וכי יש אפשרות סבירה שהשאלות המשותפות יוכרעו לטובת הקבוצה. כמו כן, בית המשפט יבחן, בין היתר, האם התובע פעל בתום לב (למשל: האם מדובר בתובע סדרתי?) וכי אין מדובר בתביעה קנטרנית.
תוצאות אירוע מתקפת הסייבר עובר למישור המשפטי | צילום: Image by Gerd Altmann from Pixabay
כבעלים של שעון גרמין, אני יכול לאשר כי בזמן המתקפה באמת לא התאפשר לסנכרן נתונים באמצעות אפליקציית ה- Garmin Connect, אולם עדיין היה ניתן לבצע ניטור של נתוני הריצה דרך השעון עצמו. עוד אציין כי אף חברה לא יכולה להתחייב כי שירותיה יפעלו 100% מהזמן ללא תקלות וללא השבתות. תקלות קורות, בין אם מדובר בתקלה טכנית "פשוטה" ובין אם מדובר בתקלה הנובעת ממתקפת כופרה. ואכן במסגרת הסכם הרישיון למשתמשי הקצה של גרמין ("EULA"), החברה מבהירה כי השירותים מסופקים "as is" וכי אין כל התחייבות מצדה של גרמין לכך שהשירותים יפעלו ללא תקלות, להלן הציטוט:
"No Warranty. The Garmin Products are provided to you 'as is', and you agree to use them at your own risk. Garmin and its licensors including the licensors, service providers, channel partners and suppliers, and affiliated companies of Garmin and its licensors, make no guarantees, representations or warranties of any kind, express or implied, arising by law or otherwise, including but not limited to, content, quality, accuracy, completeness, effectiveness, reliability, merchantability, fitness for a particular purpose, usefulness, use or results to be obtained from the Garmin Products, or that the Content or server will be uninterrupted or error-free"
לעניין ההתנהלות של גרמין העולמית, אני מסכים עם התובע שההתנהלות של החברה היתה בעייתית ברמת השקיפות. החברה פעלה בחוסר שקיפות כלפי המשתמשים וניכר היה שהיא פועלת ללא תכנית סדורה. אני יכול רק לשער שהמתקפה תפסה אותם בהפתעה ולא היתה להם תכנית מגירה למקרה של אירוע מתקפת סייבר.
לפי מידע שפורסם בכלי התקשורת, הגורם שעמד מאחורי מתקפה הכופרה הוא כנראה קבוצת הסייבר הרוסית Evil Corp. המתקפה בוצעה באמצעות נוזקה (Malware) בשם WastedLocker שחדרה למערכות המחשב של גרמין והצפינה את הקבצים שלה באופן שמנע ממנה לספק חלק ניכר משירותיה. התוקף דרש, כך דווח בתקשורת העולמית, מגרמין כופר של 10 מיליון דולר עבור הסקריפט לפענוח של ההצפנה (Decryptor).
מאחר שלנוזקת WastedLocker אין חולשות ידועות, הסברה בקרב גורמי המקצוע היא כי גרמין שילמה את הכופר כדי להסיר את ההצפנה מעל הקבצים. אם הסברה הזו תתברר כנכונה, גרמין יכולה לעמוד בפני קנסות כבדים מצד הממשל האמריקאי מאחר ש-Evil Corp מופיעה ברשימת הסנקציות של משרד האוצר האמריקאי וחל איסור לעשות איתה עסקים.
נחזור להליך המשפטי בישראל – התובע מעריך את נזקיו האישיים ממתקפת הכופרה בכ-1,300 שקל (300 שקל נזקים ממונים מהשבתת השירותים; 1,000 שקל נזקים שאינם ממוניים עקב עוגמת הנפש שנגרמה לו מחשיפת פרטיו ופגיעה באוטונומיה שלו). התובע מעריך את מספר הנפגעים בישראל בלפחות 40 אלף איש ולפיכך, מעמיד את התביעה על סך של לא פחות מ-52 מילון שקל.
כאמור, השלב הבא הוא החלטה של בית המשפט האם לאשר את התביעה כתביעה ייצוגית.
אני יכול לשער שההליך בישראל הוא הסנונית הראשונה ובשבועות הקרובים יוגשו תביעות נוספות נגד החברה ברחבי העולם. מבלי לנקוט עמדה בנוגע לטיעוני התובע ביחס לנזקים אשר נטען כי נגרמו לו ולקבוצה המיוצגת, מתקפת הכופרה שחוותה גרמין מעוררות שאלות רבות ובינתיים רב הנסתר על הגלוי:
- האם החברה פעלה לפי הסטנדרטים המקובלים בתחום בכל הקשור לאבטחת מידע או שמא התרשלה בשמירה על המידע?
- עד כמה נפגעה פרטיות המשתמשים והאם דלפו נתוני אשראי של המשתמשים?
- האם החברה עמדה בחובות הדיווח על הפריצה ואפשרות הפגיעה במידע אישי, כפי שלמשל מתחייב מהוראות ה-GDPR (כללי האיחוד האירופי בכל הקשור לשמירה, עיבוד והעברה של נתונים אישיים), האם יוגשו תביעות מכוח ה-CCPA(החוק המקביל בקליפורניה) והוראות חוק דומות ברחבי העולם?
- האם החברה אכן שילמה את הכופר ל- Evil Corp ובכך הפרה את כללי משרד האוצר האמריקאי?
* אין באמור לעיל כדי להוות ייעוץ משפטי, חוות דעת או תחליף לייעוץ משפטי אצל עורך דין, האמור לעיל אינו אלא תיאור כללי ולא מחייב של הנושאים. בכל מקרה ספציפי. מומלץ לפנות לקבלת ייעוץ משפטי מעורך דין
* רפרנס להליך: תצ (ת"א) 12309-08-20 שי יום-טוב נ' .Garmin international Ltd ואח' (פורסם בנבו, 5.8.2020)
מעניין מאוד!
כתוב יפה וברור ועושה סדר, לעצם העניין ומבלי להבין בדקויות נראה לי שמדובר בתובע , אופורטיוניסט וקטנוני שמנסה לעשות קופה, מול חברה אשר נפלה קורבן לפשע סייבר וכעת נופלת קורבן לאדם עם רוע לב סתם.