אדי ואביר דרוויץ ניהלו תחנת דלק בצפון קרוליינה במשך 11 שנים, עד היום בו המשאבות התייבשו. היה זה ב-12 במאי השנה, חמישה ימים לאחר מתקפת הסייבר על חברת קולוניאל פייפליין, ספקית הדלק הגדולה ביותר בחוף המזרחי. בני הזוג דרוויץ לא היו לבדם: כמותם נתקעו אלפי בעלי תחנות דלק ב-12 מדינות. "במשך חודש לא ראיתי אף לקוח", אומר דרוויץ.
כעת דרוויץ תובעים את קולוניאל בטענה לרשלנות באבטחת הסייבר שלה, וגם בזה הם לא לבדם – מדווח וושינגטון פוסט. הוא ועורכי דינו מקווים לייצג מאות בעלי תחנות דלק קטנות, באחת מכמה תביעות ייצוגיות בעקבות מתקפת הכופר. וגם קולוינאל אינה לבד: ברחבי ארה"ב הוגשו עוד תביעות על נזקים שנגרמו במתקפות כופר – לא למותקפים אלא לנזקקים לשירותיהם. כך למשל, קבוצת בתי החולים סקריפס ניצבת בפני תביעה ייצוגית בשל מתקפת כופר בחודש אפריל.
מתקפות סייבר כבר הובילו לתביעות ייצוגיות ולפשרות בסכומים משמעותיים. רשת המרכולים טרגט שילמה 10 מיליון דולר ללקוחותיה ו-39 מיליון דולר לבנקים, בעקבות פריצה ב-2013 שהובילה לגניבת מידע אישי. הום דיפו התפשרה גם היא עם לקוחותיה שפרטיהם נגנבו בידי פצחנים. אבל מתקפות כאלו יכולות לגרום נזקים הרבה מעבר לגניבת מידע אישי ומכירתו ברשת. הפצחנים משתלטים על מערכת המחשב ודורשים תשלומים ניכרים במטבעות קריפטו בתמורה לשחרורה. בדרך גם גרמו לדחיית ניתוחים, מניעת תשלום משכורות, ובמקרה של קולוניאל – למחסור כבד בדלק.
התרבות התביעות משמעותה שהחברות הנפגעות צריכות להתמודד לא רק עם הפצחנים, אלא גם בבתי המשפט ועם סיכונים מגוונים. החברות האמריקניות מצוינות במכירות, אבל בכל מה שקשור לאבטחת סייבר – יש להן עוד דרך ארוכה, אומר עו"ד ג'ון ינצ'וניס המתמחה בתביעות ייצוגיות שטיפל בתיקים של גניבת מידע. "הן לא טובות בהגנה על מערכות המידע שלהן, כי זה עולה כסף וזה לא כסף שמופנה להגדלת הרווחים", הוא מוסיף.
פרופ' דניאל סולובה מאוניברסיטת ג'ורג' וושינגטון אומר כי בשנה הראשונות של גניבות המידע, לא הבינו בתי המשפט שהדבר עלול לגרום נזק ממשי. אבל אחרי שנים של פצחנות חוזרת ונשנית, חלחלה ההבנה שמדובר בפגיעות אמיתיות מאוד. רוב התביעות מסתיימות בפשרות, משום שאפילו אם החברות ינצחו בבית המשפט – ההליך יעלה להם יותר מאשר סכום הפשרה.
הפוסט מציין, כי מספר מתקפות הכופר זינק בשנה האחרונה, כאשר יותר עבריינים מבינים שזהו מקור הכנסה זמין וקבוצות של פצחנים מוכרות את הידע שלהן. בעוד מתקפות הסייבר הקלאסיות חייבו את הפצחנים למצוא קונה למידע שגנבו, מתקפות הכופר מזרימות כסף קל ומהיר. כמה משפטנים מציעים למנוע כניעה לפצחנים באמצעות מימון ממשלתי לבנייה מחדש של המערכות שהותקפו. מומחי אבטחה מציעים שהממשל יוכל לחייב חברות חיוניות לרמת אבטחה מינימלית.
אבל אפילו חברות בעלות אבטחה טובה יחסית אינן יכולות להתעלם לחלוטין מן הבעיה. מספיק שעובד אחד ילחץ על קישור זדוני אחד, והמערכת תיפרץ. "בחברות בעלות אבטחה טובה יש לעיתים פרצות", אומר סולובה. בנוסף לכך, אין סטנדרט משפטי אחד לגבי רמת האבטחה אשר תגן על החברות מפני תביעות.
המשמעות היא, שפוטנציאל התביעות עולה יחד עם התגברות מתקפות הכופר. אם עורכי הדין של התובעים יכולים להראות בצורה סבירה שהחברה ביצעה טעות כלשהי בהגנה על מערכותיה, הקורבנות יעמדו בתור כדי לתבוע. במקרה של דרוויץ, עברו עשרה ימים עד שחודשה אספקת הדלק, בעוד הוא צופה בעיניים כלות כיצד התחנות הקשורות לחברות גדולות מקדימות אותו. רוב ההכנסות של דרוויץ הן מחנות הנוחות שבתחנה, ובלי דלק שימשוך קונים – הם עברו לחנויות אחרות; רבים מהם לא חזרו גם כאשר המשאבות שבו לפעול.
