מימין חיים רביה, דותן המר ושקד פלדמן יפתח | צילום: ניקי ווסטפל, תומר יעקובסון
מי ישלם על הנזקים שגרמה תקלת המחשוב הגדולה בהיסטוריה?
הנזק מתקלת המחשוב הגדולה בהיסטוריה – הכשל בעדכון תוכנת האבטחה של CrowdStrike ששיתק בסוף השבוע מוסדות בריאות, בנקים, חברות תעופה וכ-8.5 מיליון מחשבים ברחבי תבל – צפוי לעמוד על מעל למיליארד דולר. הערכה זו של Anderson Economic Group כוללת הן את הנזק הישיר שנגרם ללקוחות CrowdStrike כתוצאה מהשבתת המערכות שלהם, והן את הנזק העקיף שנגרם להם, כדוגמת תשלום שעות עבודה נוספות לעובדיהם לצורך השלמת העבודה שלא יכלו לבצע בעת ההשבתה.
בפועל, נראה שהיקף הנזק גבוה בהרבה: ליחידים ולעסקים המשתמשים בשירותי לקוחות CrowdStrike נגרם נזק כתוצאה מהשבתת המערכות. לדוגמה, עסקאות בנקאיות התעכבו בהעדר אפשרות להתחבר למערכות האינטרנט המשמשות את לקוחות בנקים שנפגעו; טיסות בוטלו; ניתוחים נדחו ועוד. לא מן הנמנע שבכך נגרמו לא רק נזקים אישיים אלא גם אובדן של הזדמנויות עסקיות והפסדים למי שאינם משתמשים במישרין במוצרי CrowdStrike. מעבר לזה, חברת האבטחה עצמה טענה שגורמים זדוניים מנסים לנצל את הכאוס שנוצר ולהונות את לקוחותיה באמצעות התחזות לה בשיחות טלפון או בהודעות פישינג. ולבסוף, מניית CrowdStrike צנחה בעקבות הארוע ב-13% לפחות.
מי ישא באחריות לנזקים הללו?
הארגונים המשתמשים בתוכנת האבטחה של CrowdStrike קשורים איתה בהסכמי רישיון. תנאי השימוש של החברה תוחמים את סכום האחריות לתמורה שהלקוח שילם ל-CrowdStrike בגין השירות. בנוסף, תנאי השימוש קובעים שבמקרה של תקלה בתוכנה, החברה רשאית לתקן את התקלה או לסיים את ההסכם ולהשיב ללקוח את הסכום היחסי ששילם מבלי שהלקוח יהיה זכאי לפיצוי נוסף. כך, לקוחות שיתבעו את CrowdStrike בגין הפרת החוזה עמם יתקלו במכשול ההסכמי. אם לא יתגברו עליו, יהיו זכאים לפיצויים בסכומים מוגבלים, אם בכלל. אולם תחת דינים מסוימים, בתי המשפט עשויים לקבוע שאין תוקף להוראות החוזיות המגבילות את אחריות החברה. כך למשל בדין הישראלי הקובע כי תניה מקפחת בחוזה אחיד ניתנת לביטול או שינוי על-ידי בית המשפט. גם הדין בקליפורניה, קובע שאין תוקף להגבלת אחריות לנזקים עקיפים בחוזה מסחרי, אם ההגבלה מקפחת באופן מופרז.
עסקים ויחידים שהם לקוחותיהם של הארגונים שנפגעו במישרין מתקלת התוכנה, אינם קשורים בתנאי השימוש של CrowdStrike וממילא הם אינם מגבילים אותם. בהיעדר קשר חוזי בינם ובין CrowdStrike, הם יוכלו לתבוע את החברה בנזיקין, בראש ובראשונה בעילת רשלנות. התובענה יכולה לבקש הכרה כייצוגית. בפועל, יש להניח שיתבעו את הארגונים שמספקים להם את השירות במישרין ואלה ידרשו שיפוי מ-CrowdStrike.
האם יוכלו משתמשי CrowdStrike לדרוש ממנה שיפוי בגין התביעות שיפנו נגדם לקוחותיהם? מצד אחד, סעיף השיפוי בתנאי השימוש של CrowdStrike קובע שהחברה תשפה את הלקוח רק בגין טענות של צדדים שלישיים להפרת זכויות הקניין הרוחני שלהם. מצד שני, הסעיף אינו שולל במפורש מתן שיפוי במקרים אחרים. כך או כך, לקוחות זועמים שנותרו להתמודד לבדם עם ארוע הנזק שלא נגרם באשמתם הם פרסומת רעה מאד ל- CrowdStrike ומוצריה. אפשר להניח שהחברה תחתור להגיע איתם להסדרים, ושכאב הראש המשפטי הצפוי לה בשנים הקרובות יהיה חריף.
מעגל הניזוקים האחרון הוא זה של בעלי המניות ב-CrowdStrike שנפגעו מירידת ערך המניה. כמה משרדי עורכי דין בארץ ובעולם כבר הודיעו שהם בוחנים אפשרות להגיש תביעה נגד החברה בשם בעלי מניותיה בשל התנהלות עסקית בלתי חוקית (unlawful business practice).
ממדי הנזק שנגרם כתוצאה מהתקלה בעדכון התוכנה של CrowdStrike עוד מתבררים. סביר להניח שככל שהסערה הראשונית סביב האירוע תדעך, ניתקל בעוד ועוד הליכים משפטיים שיוגשו נגד CrowdStrike ולקוחותיה שהושפעו מהתקלה. באירוע כמו זה, שלא נבע ממתקפת סייבר אלא (ככל הנראה) מטעות אנוש, נותר לראות עד כמה ירחיבו בתי המשפט את גבולות האחריות של החברה ואיזו השפעה תהיה לטעות אחת קטנה על עתידה.
עורכי הדין רביה והמר הם שותפים בקבוצת הסייבר, הפרטיות וזכויות היוצרים במשרד פרל כהן. עו"ד פלדמן יפתח היא עורכת דין בקבוצה