פרשת מתקפת הסייבר והדלפת המסמכים בחברת הביטוח שירביט משנת 2020 מגיעה לסיומה – לפחות מבחינה משפטית. בית המשפט המחוזי אישר הסדר פשרה, במסגרתו תשלם חברת הביטוח הראל, שרכשה את הפעילות הביטוחית של שירביט ב-2021, סכום כולל של כ-4.9 מיליון ש"ח ליותר מ-16,000 לקוחות ולקרן לתובענות ייצוגיות.
השופט אבי פורג אישר את ההסדר למרות התנגדויות, כולל זו של היועצת המשפטי לממשלה. הפשרה הושגה בעקבות מספר בקשות לאישור תביעות ייצוגיות שהוגשו לאחר תקרית הפריצה ודלף המידע.
בפשרה הוגדרו שלוש תתי קבוצות:
- קבוצה ראשונה: 1,154 איש שפורסם עליהם "מידע רגיש" (כגון תעודות זהות, פרטי אשראי). כל אחד יקבל 500 ש"ח.
- קבוצה שנייה: 15,088 איש שפורסם עליהם "מידע שאינו רגיש". כל אחד יקבל 200 ש"ח.
- קבוצה שלישית: אלו שלא פורסם עליהם מידע, אך קיים חשש שדלף ויפורסם בעתיד. סכום כולל של 1.4 מיליון ש"ח יועבר לקרן לניהול ולחלוקת כספים.
הפריצה לשירביט בשנת 2020
ב-29 בנובמבר 2020, חברת הביטוח הישראלית שירביט נפלה קורבן למתקפת סייבר משמעותית שבוצעה על ידי קבוצת ההאקרים "Black Shadow". התקיפה הובילה לגניבת מידע אישי רגיש של אלפי לקוחות ועובדים, כולל תעודות זהות, רישיונות נהיגה, מסמכים רפואיים ותלושי שכר. ההאקרים דרשו כופר בסך 50 ביטקוין (כ-950,000 דולר באותה עת) בתמורה לאי-פרסום המידע, ואיימו להכפיל את הדרישה אם לא ייענו בתוך 24 שעות. שירביט סירבה לשלם, וההאקרים החלו לפרסם את המידע הגנוב ברשתות כמו טלגרם וטוויטר.
המידע כלל פרטים אישיים של לקוחות, כמו תעודות זהות, רישיונות רכב ומסמכים פיננסיים. ההאקרים טענו כי יש בידיהם טרה-בייטים של מידע נוסף, ואיימו למכור אותו אם דרישותיהם לא ייענו.
החברה טענה כי המתקפה אינה ממוקדת בהיבט כספי בלבד, אלא מהווה ניסיון לפגוע בחברה ובמשק הישראלי באמצעות טרור סייבר.
בדיווחים על התוצאות הכספיות של החברה לשנת 2020, נחשף כי ההפסדים ברבעון הרביעי עמדו על כ-8 מיליון ש"ח, מה שמחק כמעט לחלוטין את הרווח השנתי של החברה, שעמד על 800,000 ש"ח בלבד, בהשוואה ל-26 מיליון ש"ח בשנת 2019. ההפסדים נבעו, בין היתר, מכך שלא ניתן היה לחדש פוליסות ביטוח במהלך דצמבר, לאחר שהשרתים הושבתו.
תיקון 13 לחוק הגנת הפרטיות
תיקון 13 לחוק הגנת הפרטיות, הצפוי להיכנס לתוקף באוגוסט 2025, מחזק משמעותית את ההגנה על מידע אישי, מרחיב את סמכויות האכיפה של הרשות להגנת הפרטיות, ומציב רף גבוה יותר לארגונים שמחזיקים או מעבדים מידע אישי רגיש.
אחת ההשלכות המרכזיות של התיקון היא מתן סמכות לרשות להטיל עיצומים כספיים גבוהים בגין הפרת הוראות החוק, ובפרט בתחום אבטחת מידע. לראשונה, החוק גם מחייב ארגונים מסוימים למנות ממונה הגנת פרטיות – תפקיד מקצועי שנדרש לפקח על עמידת הארגון בהוראות החוק ולפעול לקידום תרבות של פרטיות בארגון כולו.
התיקון מצמצם במקביל את חובת רישום מאגרי המידע במגזר הפרטי, פרט לגופים העוסקים במסחר במידע. במקום זאת, מושם דגש על שקיפות מול הציבור והודעה ברורה לרשות בעת עיבוד מידע בהיקף רחב. בנוסף, החוק כולל כעת פרק פלילי ייעודי שמטפל בעבירות במאגרי מידע, כולל איסור על עיבוד מידע אישי שהושג בדרכים לא חוקיות.
התיקון גם מעדכן את ההגדרות בחוק כך שיתאימו למציאות הטכנולוגית של ימינו, כולל קביעה ברורה של סוגי מידע בעלי רגישות מיוחדת, ומתן אפשרות לבתי המשפט לפסוק פיצויים לנפגעים – גם ללא הוכחת נזק.
ההשלכות של חוסר מוכנות לאירועי סייבר
התקרית של שירביט היא דוגמה מוחשית למחיר העסקי, המשפטי והתדמיתי שמשלם ארגון שאינו ערוך כראוי לאירוע סייבר. עבור הנהלות ודירקטוריונים, מדובר בקריאת השכמה שמחדדת את מה שכבר ברור בתקופה הנוכחית: אחריות סייבר היא לא רק נחלתם של אנשי IT ומומחי אבטחת המידע, אלא חלק אינטגרלי מהתנהלות תקינה של כל חברה או תאגיד.
אבטחת מידע אינה עוד "בעיה של אנשי מערכות מידע". האירוע בשירביט הדגים עד כמה חדירה למידע רגיש יכולה להשפיע על יכולת הפעולה של החברה, על אמון הציבור, על שווי שוק – ובמקרה הזה, גם על קיומה של החברה כישות עסקית. הדרג הניהולי נדרש לפקח, לתקצב, לשאול את השאלות הנכונות ולוודא שהארגון לא נשאר פגיע.
השיח סביב פרטיות כבר מזמן לא עוסק רק באמון הלקוחות – אלא גם בציות לרגולציה. תיקון 13 לחוק הגנת הפרטיות מרחיב משמעותית את החובות המוטלות על ארגונים. ההשלכות של הפרת חובות אלה לא ייגמרו בכותרת בעיתון – הן יגיעו לכיס הארגון ולפתחו של הדירקטוריון.
פרצות סייבר מחייבות ניתוח סיכונים חוצה ארגון – כולל ביטוחי סייבר, קשר עם ספקים, הערכות לשרידות תפעולית, וניהול תקשורת בזמן משבר.
אף ארגון אינו חסין ממתקפת סייבר. השאלה איננה "אם", אלא "מתי" ו–"כמה טוב נערכנו". תכנית תגובה לאירוע סייבר היא חלק בלתי נפרד מהתשתית הארגונית: צוות תגובה מקצועי ומיומן לאירועי סייבר (IR), תהליכי דיווח פנימיים וחיצוניים, מעקב אחר התראות וחולשות, והכנה לתרחישים של דרישת כופר וחשיפת מידע. המידע הוא נכס, והגנה עליו היא אינטרס עסקי מהמעלה הראשונה.
