כל חברה נושאת באחריות כלפי לקוחותיה על נזקי מתקפות סייבר, גם אם היא לא הותקפה כלל אלא תוכנה בה נעשה שימוש, כך עולה מהסדר פיצויים שנקבע בתביעה שהתבררה בפני בית המשפט העליון בארצות הברית ומעורר סערה של ממש.

מדובר בתביעה שהגישו 8,158 לקוחות של ענקית הסופרמרקטים האמריקאית קרוגר וזאת בשל דליפת מידע אישי שלהם במתקפה על משתמשי תוכנת Accellion שנעשה בה שימוש בבתי המרקחת של הרשת. בהסדר עם התובעים נקבע שהרשת תפצה את הלקוחות בסכום של 5 מיליון דולר ותבצע סדרה של צעדי הגנה כדי למנוע הישנות המקרה. כן חויבה החברה לבצע ניטור ברשת האפילה כדי לגלות אם המידע האישי של לקוחות קרוגר מופץ ונמכר לגורמים שונים ולנסות להשמידו.

נועם הנדרוקר, מנהל יעוץ סייבר במרכז העולמי של BDO מסביר: "להסדר שנקבע ועוגן בהחלטה משפטית השלכות רחבות וזאת מאחר שנקבעה בו אחריותה של חברה כלפי לקוחותיה, גם אם הכשל היה בשרשרת האספקה אצל צד ג' שמספק לה שירותים או תוכנות. כבר אי אפשר להסתתר מאחורי תירוצים והשלכת האחריות על אחרים. במקרה זה חברת קרוגר ספגה מעבר לנזק הכספי בהתדיינות המשפטית ובסכום הפיצוי גם פגיעה תדמיתית בשל חוסר יכולתה להגן על המידע של לקוחותיה."

"ההחלטה מחייבת את כלל החברות לבצע בדק בית מקיף ועמוק של כלל גורמי צד ג' עימם החברה מנהלת מערכת יחסים," אומר נועם הנדרוקר, "חלק מהחברות מסתפקות כיום בגישה מינימליסטית של בדיקות שטחיות והחתמה על מסמכים שונים כדי לצאת ידי חובה. כל אלו לא יסייעו במקרה אמת. חייבים לצאת מנקודת הנחה שתביעות דומות במדינות נוספות אפילו בארץ הן רק עניין של זמן."