אושר הסדר פשרה בייצוגית בגין פריצת ההאקרים האנטי-ישראלים לאתר של דרוביט.רייד/uPress והפגיעה באתרים שהתארחו בו (מאי 2020)

בית-המשפט המחוזי בתל אביב אישר (29.3.2022) הסדר פשרה בתביעה (והבקשה לאשרה כתובענה ייצוגית) של אורי פרץ בגין פריצת ההאקרים האנטי-ישראלים לאתר של דרוביט.רייד/uPress והפגיעה באתרים שהתארחו בו (מאי 2020).

כבוד השופטת הדס עובדיה כותבת בין היתר בפסק הדין (ת”צ 53031-05-20):

“לפניי בקשה לאישור הסדר פשרה במסגרת התובענה הייצוגית שבכותרת. על יסוד הנימוקים שאפרט להלן, מצאתי לנכון לאשר את הבקשה ולתת להסדר תוקף של פסק דין.

“עניינה של בקשת האישור ב’אירוע סייבר’ שהתרחש ביום 21.5.2020 ובמהלכו הושבת למשך מספר שעות (לכל היותר 24 שעות) שירות אחסנת אתרי אינטרנט שמעניקה המשיבה לציבור לקוחותיה, וזאת על רקע פריצה זדונית שנעשתה לשרתי המשיבה והושחת חלק מהאתרים של הלקוחות בדרך של החלפת עמוד הבית עם הודעות נאצה לאומניות.

“לטענת המבקש, המשיבה הפרה את הוראות חוק הגנת הצרכן ותקנות הגנת הפרטיות (אבטחת מידע). המבקש טען בנוסף כי המשיבה היטעתה את לקוחותיה בכך שגרמה להם לחשוב כי האתרים שלהם מאובטחים כראוי, בעוד אשר לפי הנטען לא ננקטו אמצעי אבטחה ראויים בנסיבות העניין; כי המשיבה התרשלה בכך שעשתה שימוש ברכיב תוכנה מסויים בלתי מעודכן ובכך שלא אימצה תקן ISO 27001 המתווה מדיניות אבטחת מידע וכי הנטל על המשיבה להוכיח כי פעלה ללא התרשלות”.

הנתבעת הגישה תגובה שצורפו אליה חוות דעת מומחה ותצהירים. לטענת המשיבה, “אירוע הפריצה היה בלתי נמנע; מדובר בתופעה כלל עולמית הולכת וגוברת בעולם הסייבר; היא נוקטת במדיניות אבטחת מידע ראוייה בהחלט; מדובר באירוע סייבר מורכב מאוד שבוצע על-ידי גורם מיומן מאוד ובעל אמצעים, שהצליח לנצל כנראה פירצת אבטחה שלא הייתה ידועה במועד האירוע, באחד המוצרים המובילים בעולם בתחום אבטחת המידע; המשיבה בדקה ומצאה בוודאות כי לא היה קשר כלשהו בין רכיב התוכנה עליו הלין המבקש ובין אירוע הפריצה. המשיבה הוסיפה וטענה כי אין חובה חוקית לאמץ את התקן ISO 27001 עליו הצביע המבקש  ומכל מקום, אפילו היה בידיה התקן האמור, לא היה בכך למנוע את אירוע הפריצה.

“לטענת המשיבה, בעקבות האירוע נקטה בשורה של צעדים להקשחת אמצעי האבטחה המותקנים אצלה, והצליחה לבלום את אירוע הפריצה ולהשיב את מערכותיה לתיפקוד מלא, ללא כל אובדן נתונים ללקוחות, בתוך זמן קצר מאוד יחסית של כ- 24 שעות”.

בהמשך הגיעו שני הצדדים להסכם הפשרה “מבלי שצד יודה בכל טענות משנהו או יודה בחבות כלשהי, וזאת לסילוק סופי ומוחלט של הטענות בבקשת האישור ובמקום המשך ניהול הליכים משפטיים בעניין”.

בהמשך פסק הדין סוקרת השופטת את השתלשלות ההליך לרבות הערותיו של היועץ המשפטי לממשלה (דאז) ואת עיקרי הסדר הפשרה לרבות ההטבות שיוענקו בעקבותיו ללקוחות הנתבעת והגמול לתובע ולבא כוחו. בהקשר לכך יצויין כי לבקשת ביהמ”ש הוגש הסדר פשרה מתוקן בתובענה הייצוגית.

מפסק הדין עולה כי במסגרת אחד הדיונים בתיק זה השתתף נציג היועץ המשפטי לממשלה ולצידו “אנשי מקצוע במערך הסייבר הלאומי אשר העירו הערות לבדיקה”. בהמשך, נערכה גם פגישה בין אנשי מערך הסייבר לבין “הגורמים המקצועיים אצל המשיבה” בעקבותיה “נמצא כי המשיבה אכן נוקטת אמצעים לצמצום הסיכון להישנות האירוע נשוא התובענה וההסדר”.

בין השאר סוכם כי “המשיבה תמסור הודעה ישירה לכל מי שהיה לקוח שלה בעת אירוע הפריצה, במסרון או בדוא”ל, ותביא לידיעתו הן על דבר הסדר זה, הן על דבר ההטבות המוענקות והן על אופי מימוש ההטבה של שירות VPN. המשיבה תוודא כי אופן המימוש יהיה פשוט, יעיל ומהיר ויכלול הזנת פרטים בסיסיים נדרשים והפעלה פשוטה ונגישה (ככל שניתן בלחיצת כפתור)”.

“מבלי להודות בטענה כלשהי בדבר דופי כלשהו שנפל ברמת האבטחה אשר הייתה נהוגה במערכת המשיבה במועד קרות האירוע והגם שלטענת המשיבה, הליך אקרדיטציה פורמלי של תקן ISO 27001 לא היה מסכל את אירוע הפריצה, לפי שממילא מערכות האבטחה ונהלי האבטחה של המשיבה ראויות ועמדו בסטנדרטים הנדרשים לתקן האמור, הצהירה המשיבה כי מילאה אחר כל הקריטריונים להצגת אקרדיטציה מתאימה, ועל כן קיבלה ממכון התקנים תקן ISO 27001.

* ביום 24.5.2020 פירסמתי כאן באתר ידיעה שכותרתה: הוגשה תביעה (ובקשה לאשרה כתובענה ייצוגית) בגין אירוע ההאקינג האנטי-ישראלי הגדול בחמישי האחרון; היקף התביעה הקבוצתית: 250 מיליון ₪.

** ביום 23.7.2021 פירסמתי כאן באתר ידיעה שכותרתה: תחילת הסוף: קצת יותר משנה לאחר השחתת שורה של אתרי אינטרנט ישראליים בידי האקרים פרו-פלסטינאיים, הוגש לבית-המשפט הסדר פשרה.