הפלישה הרוסית לאוקראינה איננה רק מלחמה "מסורתית" של טנקים וארטילריה. נוסף לה רובד נוסף, חמקמק – לוחמת סייבר. עוד בטרם הפלישה פתחה רוסיה במתקפת סייבר נרחבת כלפי אוקראינה, שפגעה בתשתית מדינתית ופרטית כאחד. כך קרה גם בשנת 2017 במסגרת מתקפת הסייבר Not-Petya המיוחסת לרוסיה. המתקפה (הידועה כהרסנית ביותר בהיסטוריה) שפגעה בתשתיות באוקראינה, זלגה לחברות אירופאיות ואמריקאיות, וגרמה לנזק שהוערך במיליארדי דולרים. האם נזקים אלו מבוטחים? 

פוליסות ביטוח רבות כוללות חריג לנזקי מלחמה. ההצדקה לחריג היא שהמדינה (ולא השוק הפרטי) אמורה לשאת בעלויות קורלטיביות כל-כך גבוהות. ואכן, חוק מס רכוש וקרן פיצויים המכסה נזקי רכוש ונזקים כלכליים הנגרמים ממלחמה, מגשים רציונל זה. למרות שחריג נזקי המלחמה הוא חריג ותיק בעולם הביטוח, שדה הקרב המודרני מאיים לשנות את היחסים שבין מלחמה לביטוח. התקפות הסייבר שהולכות וגוברות בשנים האחרונות פוגעות לעיתים קרובות גם בשחקנים פרטיים. האם תקיפות אלה נכללות בגדרי חריג המלחמה? סוגיה זו מערבת שאלות של פרשנות חוזי הביטוח מחד, ושל דיני המלחמה הבינלאומיים מאידך.

אחת הקורבנות של מתקפת Not-Petya מ-2017 היא חברת התרופות מֵרק (Merck). החברה ספגה נזקים בעלות של כ-1.4 מיליארד דולר. חברת הביטוח סירבה לכסות את הנזקים וטענה לתחולתו של חריג נזקי המלחמה על המקרה. בית-המשפט במדינת ניו-ג'רזי פסק בדצמבר 2021 שמדובר בשאלה של פרשנות חוזה, וכי לאור זה שניסוחו לא השתנה עם השנים יש לפרש את חריג נזקי המלחמה ככזה המתייחס ללוחמה מסורתית ועל כן על חברת הביטוח לכסות את הנזק. אלא שהפרשה טרם הוכרעה, שכן ערכאת הערעור טרם הכריעה.  

נראה שתגובת חברות הביטוח לא תאחר לבוא. סביר להניח שהמבטחות תייקרנה מאוד את מחירי הפוליסות, או לחילופין תנסחנה מחדש את פוליסות הביטוח כך שתכלולנה במפורש חריג לנזקי סייבר שנגרמו עקב מתקפה המיוחסת למדינה. ואכן, בשלהי שנת 2021 הודיע תאגיד לויד'ס הבריטי, שהינו שחקן מאוד מרכזי בענף הביטוח העולמי, שאין בכוונתו לכסות מעתה נזקים שנגרמו מהתקפות סייבר שמקורן ב"מלחמות סייבר" בין מדינות, שגורמות ל"השפעה מזיקה גדולה על תפקוד המדינה". הנקודה החשובה לעניינינו היא שלויד'ס הודיע שהמבטחים יכולים על דעת עצמם לייחס מתקפת סייבר למדינה פלונית ולקבוע שהנזק נגרם כתוצאה מאקט מלחמתי בין המדינות, ועל כן שאינו מכוסה.

רונן אברהם. צילום: brian brizer

הודעת לויד'ס מעוררת מספר קשיים. ראשית, כלל לא פשוט לדעת למי לייחס מתקפות סייבר. ברוב המקרים כל שיש בידי החוקרים הוא "מרקרים" דיגיטליים המרמזים בהסתברות מסוימת על האחראי. אלא שמבלי שניתן יהיה לייחס את התקיפה למדינה מסוימת, ספק אם ניתן בכלל להתחיל לדבר על תחולת חריג המלחמה. שנית, גם אם נצליח לייחס מתקפת סייבר למדינה כלשהי, הרי שנותרת השאלה האם המתקפה נחשבת בכלל לפעולה מלחמתית. כדי לענות על שאלה זו על בתי-המשפט לא להסתפק בפרשנות חוזים קלאסית כפי שעשו בפרשת מֵרק, אלא גם להידרש לניתוח פוליסות הביטוח בראי דיני המלחמה (המהווים חלק מן המשפט הבינלאומי הפומבי). 

ואכן, גורמים שונים בזירה הבינלאומית מגדירים את מרחב הסייבר כמרחב מבצעי, שחלק מדיני הלחימה הבינלאומיים תקפים לגביו. כך למשל, האיסור על שימוש בכוח, הטבוע בסעיף 2(4) למגילת האו"ם, תקף בשינויים המחייבים גם לגבי תקיפת סייבר. כחלק מגישה זו, החליטה נאט"ו למנות צוות מומחים שהתכנס בטאלין בירת אסטוניה, וגיבש מדריך (בלתי מחייב) שמגדיר, בין היתר, כיצד יש להתייחס לפעולות סייבר בראי המשפט הבינלאומי. כך לדוגמה, תקיפת סייבר שתגרום לנזק פיזי, תיחשב לשימוש בכוח כל עוד היא עוברת סף מסוים. אלא שמדריך טאלין לא מספק תשובה חד משמעית באשר לסף הנדרש, ופעולות סייבר שונות נותרות ב"אזור אפור" שלא בהכרח מאפשר להגדירן כאקטים מלחמתיים. 

אם-כך, דומה שדיון שהחל כשאלה של פרשנות חוזה ותחולתו של חריג המלחמה יכול שיצא מגדר המשפט הפרטי, ויהפוך להיות נתון לכלליו של המשפט הבינלאומי, אף שאלה טרם גובשו לחלוטין. כלומר, השאלות האם Not-Petya פגעה בריבונותה של אוקראינה והיוותה שימוש בכוח, וכן האם ניתן לייחסה בכלל לרוסיה, יש בהן כדי להשפיע על פרשנות חריג המלחמה בפוליסות ביטוח פרטיות. 

על-פי גישה זו, המפרשת את חריג המלחמה בהתאם למשפט הבינלאומי, קיימת בעייתיות רבה בהודעה של לויד'ס לפיה המבטחים הם שיקבעו אם חל חריג המלחמה. זאת מאחר שללויד'ס אינטרס כלכלי ברור להכריז על מתקפות סייבר שונות כפעולה מלחמתית, ובכך לפטור את עצמה מתשלום תגמולי ביטוח. זכורה לכולנו הפעלת הלחץ של חברות הביטוח בישראל בהגדרת השריפה בכרמל בשנת 2010 כאירוע טרור הפוטר אותן מכיסוי הבתים שנשרפו. 

אמיר בכר. צילום: טל טננבוים

ניתן היה לסבור שהפתרון לעיוות הזה הוא שהמדינה תכריז בעצמה אם מדובר באקט מלחמתי, כנהוג במקרים של נזקי מלחמה "מסורתיים". אלא שהמדינה אינה באמת שחקן ניטראלי. למדינה למשל יש אינטרס להימנע מהכרזה שמתקפת סייבר מסוימת הינה פעולת מלחמה כדי להימנע מלחץ ציבורי להגיב בכוח. במקרים אחרים דווקא יש לה אינטרס להכריז על מתקפת סייבר כמלחמה, כדי להצדיק תקיפות סייבר שהיא עצמה מבצעת במדינה התוקפת. ולזאת יש להוסיף אינטרסים כלכליים שונים להימנע מהכרזה כזו, כמו בישראל שבה חוק מס רכוש מקים למדינה חבות במקרה של נזק מלחמתי. 

אז מה עושים? פתרון אחד הוא לאפשר למדינה להכריז על מתקפה מסוימת כאקט מלחמתי מבלי לציין מי המדינה האחראית. פתרון זה עשוי לנטרל מוקשים הקשורים ביחסי החוץ ובלחץ ציבורי לפעולות תגמול. אלא שקשה להאמין שפתרון זה ישים, משום שסביר כי זהות המדינה תתברר במהרה על-ידי חוקרי סייבר פרטיים. פתרון אחר הוא לחזור להצדקה המקורית לחריג המלחמה – המדינה ולא השוק הפרטי אמורה לשאת בנזקים קורלטיביים כאלה. על-כן, מתקפת סייבר שגרמה לנזקים בעלי "השפעה מזיקה גדולה על תפקוד המדינה" (כפי שלויד'ס הצהירו), ואשר ניתן לקבוע ברמת וודאות גבוהה שמדינה כלשהי הייתה מעורבת בה בצורה משמעותית, תהיה מוחרגת בפוליסה, מבלי שנידרש לשאלה הטעונה האם אכן מדובר ב"מלחמה". למדינה הרי תמיד עומדת האפשרות לרכוש ביטוחי משנה בחו"ל.

אך עדיין נותרת שאלה הייחוס – מי יקבע שמדינה זו או אחרת היא האחראית. הפתרון הוא לכונן מנגנון ייחוס בינלאומי להתקפות סייבר שיבטיח בירור עובדתי מעמיק ויזכה ללגיטימציה בינלאומית. מנגנון דומה אף ייושם בעבר (שלא בהצלחה יתרה) ע"י גורמים פרטיים כמו מיקרוסופט ומאסטרקארד שביקשו לחשוף את האחראים למתקפות על-מנת להרתיעם. עם זאת, מנגנון לייחוס פעולות עלומות הוכח בעבר כאפקטיבי בהקשרים של בקרה וניטור של אמצעי לחימה, בין השאר ע"י סבא"א. לענייננו, קביעה חד משמעית בנוגע לייחוס התקיפה תסדיר גם את הסוגייה הביטוחית – ייחוס ברור למדינה וקביעה שזו פעלה בניגוד לחוק הבינלאומי יגדירו באופן ברור את הנזק כמלחמתי. ולצד זאת, ייחוס לגורמים פרטיים, יוביל להחלטה שהנזק הוא נזק סייבר שאיננו מלחמתי. האם פתרון כזה ייושם? ימים יגידו. אך מה שבטוח הוא שמתקפות הסייבר רק ילכו ויגברו, כמות הנזקים תלך ותיערם, וכשבתי-המשפט כבר לא יוכלו לעמוד בפרץ מדינות תצטרכנה לקבל החלטות קשות.

עוד ב-

גאווה ישראלית: שתי חברות נכנסו לרשימת הסייבר היוקרתית

לכתבה המלאה

פרופ' רונן אברהם הוא פרופסור בפקולטה למשפטים באוניברסיטת תל אביב ומלמד דיני ביטוח. אמיר בכר הוא סטודנט בפקולטה