נועם הנדרוקר – צילום:BDD ישראל
מעודכן ל-07/2021זאת לאחר שהתוכנה שבה השתמשו בבתי המרקחת של הרשת האמריקאית הותקפה בסייבר, ובית המשפט העליון בארצות הברית קבע כי היא נושאת באחריות כלפי לקוחותיה, גם אם לא היא זו שהותקפה
חברה נושאת באחריות כלפי לקוחותיה על נזקי מתקפות סייבר, גם אם היא לא הותקפה כלל אלא תוכנה שבה נעשה שימוש, כך עולה מהסדר פיצויים שנקבע בתביעה שהתבררה בפני בית המשפט העליון בארצות הברית.
מדובר בתביעה שהגישו 8158 לקוחות של ענקית הסופרמרקטים האמריקאית קרוגר, בעקבות דליפת מידע אישי שלהם במתקפה על משתמשי תוכנת Accellion שבה נעשה שימוש בבתי המרקחת של הרשת. בהסדר עם התובעים נקבע שהרשת תפצה את הלקוחות בסכום של 5 מיליון דולר ותבצע סדרה של צעדי הגנה כדי למנוע הישנות המקרה. כמו כן החברה חויבה לבצע ניטור ברשת האפלה, כדי לגלות אם המידע האישי של לקוחות קרוגר מופץ ונמכר לגורמים שונים ולנסות להשמידו.
נועם הנדרוקר, מנהל ייעוץ סייבר במרכז העולמי של BDO, מסר: "להסדר שנקבע ועוגן בהחלטה משפטית השלכות רחבות, וזאת מאחר שנקבעה בו אחריותה של חברה כלפי לקוחותיה, גם אם הכשל היה בשרשרת האספקה אצל צד ג' שמספק לה שירותים או תוכנות.
"כבר אי אפשר להסתתר מאחורי תירוצים והשלכת האחריות על אחרים. במקרה זה חברת קרוגר ספגה מעבר לנזק הכספי בהתדיינות המשפטית ובסכום הפיצוי גם פגיעה תדמיתית בשל חוסר יכולתה להגן על המידע של לקוחותיה".
הנדרוקר הוסיף כי: "ההחלטה מחייבת את כלל החברות לבצע בדק בית מקיף ועמוק של כלל גורמי צד ג' שעימם החברה מנהלת מערכת יחסים. חלק מהחברות מסתפקות כיום בגישה מינימליסטית של בדיקות שטחיות, והחתמה על מסמכים שונים כדי לצאת ידי חובה. כל אלו לא יסייעו במקרה אמת. חייבים לצאת מנקודת הנחה שתביעות דומות במדינות נוספות – ואפילו בארץ – הן רק עניין של זמן".