אקטיביזם שיפוטי בסייבר: בית המשפט הופך לרגולטור דה-פקטו

בעל אתרים שנפגע במתקפה על UPRESS הגיש תביעה ייצוגית בגין טענה לרשלנות מצד חברת אחסון האתרים. אם התביעה תתקבל, בית המשפט יקבע מהו רף הגנה מינימלי במקרה כזה שמתחתיו נקבעת רשלנות המזכה בפיצוי

bigstockphoto

בעקבות המתקפה על חברת אחסון האתרים UPRESS, הוגשה תביעה יייצוגית על סך 250 מליוני ש"ח לבית משפט המחוזי בתל אביב. על התביעה חתום אורי פרץ, בעלים של שלושה אתרים שנפגעו במתקפה. בהעדר פיקוח, בית המשפט צפוי לקבוע מהו רף מינימלי של הגנה בסייבר שתחתיו נוצרת רשלנות המזכה בפיצוי.

מה בדיוק גרם למתקפה על UPRESS? לא ברור. החברה הבטיחה בחשבון הפייסבוק שלה לשתף עם הציבור את תחקיר האירוע. זה היה לפני כחמישה ימים - מאז שקט. יוק. ההערכות מדברות על תוסף מזוהם או שרת פתוח לרשת ללא עדכונים. מה כן ידוע? ובכן, ידוע שהתוקפים השתמשו בסקריפט שמוחק את בסיס הנתונים של האתרים. אם אין גיבוי? אז כל התוכן של האתר נמחק. אם יש, צריך להמתין לסיום השחזור, בתקווה והשחזור עובר ללא בעיות מיוחדות. החברה שכרה את שירותי חברת cobweb-security לתחקיר האירוע. 

רן בר זיק כתב פוסט בהמשך לאירוע על איך מגבים אתרי וורדפרס. לפחות שיהיה גיבוי לפעם הבאה. בעקבות המקרה גם מערך הסייבר הוציא המלצות (בפועל הנחיות) לחברות אחסון אתרים. "לעיתים ארגונים גדולים כמו עיריות, בתי חולים, מפעלים שונים, עשויים להתקשר עם ספק אירוח קטן המתמחה במתן פתרונות פיתוח ואחסון אתרים, המספק שירותים לעשרות או מאות לקוחות שונים", כותבים בפרסום.

"כמו כן, ישנם לקוחות גדולים בעלי משאבים ויכולת להגנה בסייבר על נכסיהם, אשר מוציאים לעיתים מידע ערכי ונכסים דיגיטליים לספק אירוח קטן, בהתקשרות בעלות נמוכה, ומצפים כי ספק זה יגן על נכסיהם מפני איומי סייבר - ברמה גבוהה." 

למרות מאמצי המערך, חברות אחסון אתרים אינן תחת פיקוח כלשהו. הן לא תשתיות קריטיות. וגם ניסיון פיקוח ממשלתי יכול להוות בעיה. בסופו של יום, המודל העסקי שלהן מבוסס על אספקת שירותי אחסון בזול לעומת תחזוקה עצמית של שרת במשרד. העמסת רגולציה יכולה לקבור את המודל העסקי של שירותי אירוח בארץ. 

בהעדר פיקוח, בית המשפט הופך להיות הרגולטור בפועל. כיצד? כעת שהוגשה תביעה בגין רשלנות נגד חברת האחסון, אם היא תתקבל, השופטים יבקשו לדעת אילו המלצות יישמה החברה טרם המתקפה. במילים אחרות, מהו רף ההגנה שיושם על ידי UPRESS טרם המקרה, והאם הוא מספיק כדי לא להיות מוגדר תחת רשלנות המזכה בפיצוי את בעלי האתרים שנפגעו.