CRESCEM RISCOS DE ATAQUES CIBERNÉTICOS EM UM MUNDO CADA VEZ MAIS DIGITAL

Em uma economia cada vez mais digital, cresce a exposição a eventos cibernéticos naturais ou provocados pelo ser humano. Após a pandemia, os ataques virtuais aumentaram drasticamente devido à digitalização das empresas durante a quarentena, levando o mercado segurador a reforçar a necessidade de criação de um ramo específico para os riscos cibernéticos.

A Susep iniciou as tratativas do tema em 2017, após estudos da área de conduta de mercado, com o objetivo de concentrar as apólices. “O seguro de riscos cibernéticos foi criado para indenizar vítimas de ataques virtuais, sobretudo nos casos de roubo e vazamento de dados. As coberturas visam minimizar sanções administrativas e lucros cessantes da empresa e de terceiros”, explica João Fontes, coordenador da Subcomissão de Linhas Financeiras da FenSeg.

Houve um boom na contratação dos seguros cibernéticos desde seu lançamento. De 2019 a novembro do ano passado, esse tipo de seguro cresceu exponencialmente. “No primeiro ano, o volume de prêmios foi de R$ 21 milhões, o total do ano passado deve bater R$ 220 milhões”, compara.

CEO da Clavis Segurança da Informação, Victor Santos destaca que muitas empresas migraram seus negócios para o mundo digital de forma acelerada, mas desestruturada e sem preparo, deixando os ambientes vulneráveis. “Há muitas brechas, e a falta de maturidade das empresas permite que os atacantes tirem vantagens da situação de forma não autorizada”, afirma ele. A Clavis é uma startup que surgiu há 19 anos no parque tecnológico da UFRJ (Coppe) e ganhou recentemente a certificação de “empresa estratégica de defesa” pelo Ministério da Defesa.

Um relatório da Allianz Commercial, intitulado “Tendências de Segurança Cibernética 2023: as últimas ameaças e as melhores práticas de mitigação de riscos”, mostra que os ataques cibernéticos aumentaram no ano passado. Casos de sequestros de dados (ransomware) cresceram 50% no primeiro semestre em comparação ao mesmo período de 2022, além de extorsões a empresas. O levantamento constata ainda que algumas vulnerabilidades exploradas pelos hackers são frutos de erros básicos, que podem ser corrigidos.

“No ano passado, foram identificados mais de 300 bilhões de ataques na América Latina, cerca de 30% somente no Brasil. Uma em cada quatro empresas do País sofreu um ataque nos últimos dois anos”, aponta Victor Santos.

Segundo ele, os profissionais brasileiros de segurança da informação estão entre os melhores do mundo e, consequentemente, os atacantes também. “O lado bom do Brasil é o brasileiro, e o lado mau, também. Muita gente está empenhada em obter vantagem, e a maturidade das empresas em segurança da informação ainda é baixa”, comenta.

De acordo com a Susep, a assimetria entre países desenvolvidos e subdesenvolvidos também se expressa nessa seara, principalmente pela magnitude de investimentos que as nações e as corporações são capazes de realizar, gerando problemas quanto à soberania de dados e tensões geopolíticas de variada ordem.

“No Brasil, ataques de segurança e invasões sempre foram vistos como algo muito distante. Mas, nos últimos dois anos, houve ataques a empresas de todos os portes e segmentos”, assinala Victor Santos. Segundo ele, a empresa que não tiver um mínimo de segurança não consegue mais fechar negócios. “Para contratar, comprar ou fazer fusões, o mercado exige o preenchimento de um extenso formulário sobre segurança da informação”, explica.

NOVAS TECNOLOGIAS

Além da digitalização, as empresas passaram a adotar recentemente diversas novas tecnologias, como inteligência artificial e internet das coisas, sem o devido cuidado com os dados inseridos, abrindo brechas para exposição e vazamento dessas informações.

Agnieszka Lyniewska, Client Manager Executive da Munich Re, alerta sobre o dinamismo dos riscos cibernéticos e diz que a falta de conhecimento sobre o potencial de um impacto negativo é um dos principais desafios da atualidade, ao lado da falta de percepção de risco da sociedade. “Ao mesmo tempo, precisamos reconhecer que existem limites de segurabilidade, tais como falhas de infraestrutura e guerra cibernética”, afirma.

Os desafios (e as oportunidades) para o setor vão muito além dos riscos de vazamento de dados pessoais e de violações de privacidade – alcançam a segurança e a soberania nacional, em virtude de eventos de ransomware, negação de serviços, indisponibilidade de redes e sistemas ou ataques de vulnerabilidade em massa, que levem à interrupção de serviços e negócios ou ao vazamento de informações sensíveis.

Uma das preocupações da Susep é quanto à adaptação dos controles de subscrição das empresas a critérios mais rigorosos em termos e condições contratuais, seleção e monitoramento de riscos e padrões de segurança, para detectar os clientes que não alcançam padrões mínimos de “higiene cibernética”. E as próprias seguradoras devem ter elevados padrões de segurança, para não se tornarem alvos de desestabilização do mercado e do País. Esse cenário abre espaço para a criatividade e o lançamento de novos produtos, como os seguros de infraestrutura cibernética.

CONSCIENTIZAÇÃO

Para desenvolver e disseminar os seguros de riscos cibernéticos no Brasil, são necessárias ações em distintas escalas. Segundo a Susep, alguns exemplos incluem distribuição de renda das famílias para melhor proteção patrimonial e preocupação com o futuro, por meio de ações de educação financeira e de informação à sociedade como um todo.

Adicionalmente, aprovação de regulação legal e infralegal, que garanta um adequado comportamento dos seguradores no mercado, resgata a confiança do consumidor nos produtos e instala um ciclo virtuoso de contratações. A busca de melhores produtos por parte das seguradoras e sua exposição a boas práticas concorrenciais também ajudam a diversificar a oferta.

“A baixa disseminação dos produtos disponíveis no mercado, o treinamento dos canais de venda e o aumento da percepção sobre a seriedade dos riscos cibernéticos na sociedade devem ser focos de ação dos setores privado e público”, avalia Agnieszka Lyniewska.

João Fontes, da FenSeg, destaca a importância do papel do corretor neste processo. “Falamos muito no trabalho das seguradoras para impulsionar esse mercado, mas os corretores são fundamentais e, felizmente, vêm se aperfeiçoando e dando apoio aos clientes”, acrescenta.

A subscrição de riscos se baseia na avaliação dos aspectos de cibersegurança e de grau da adoção de boas práticas de uso de dispositivos tecnológicos do cliente – pessoa física, pequena ou grande empresa. O acesso aos dados permite uma melhor subscrição baseada nas informações e aumenta a compreensão dos riscos e do perfil da carteira.

“O subscritor basicamente se baseia nos questionários das seguradoras que devem conter todas as informações financeiras da empresa. Muitas vezes, os representantes das seguradoras pedem uma reunião com o cliente para entender detalhes e discutir áreas especificas”, aponta João Fontes.

Segundo ele, existem basicamente dois mercados: o de riscos mais complexos, que exigem a análise do subscritor; e o dos portais em que algumas seguradoras oferecem o produto básico e padronizado de cibersegurança, geralmente para empresas pequenas e médias, que é contratado de forma automática.

“As apólices de cyber hoje já oferecem serviços que auxiliam o cliente em vários aspectos. As seguradoras entenderam que, além da transferência do risco, é importante atuar antes do sinistro para que os clientes saibam quais são os riscos eventuais e contratem empresas que possam prestar assessoria relacionada à cibersegurança”, diz Fontes.

Victor Santos destaca a principal vantagem: o custo. “O investimento em segurança representa um décimo do valor do prejuízo de um ataque e é fundamental para a aceitação e a precificação do seguro, pois um dos fatores avaliados é o nível de proteção dos dados na segurança das informações”, completa.

Há um consenso no mercado, porém, de que os eventos de grande acúmulo e de caráter sistêmico, como falhas de infraestrutura e guerra cibernética, estão fora do limite de segurabilidade. “A guerra cibernética, ou ataque patrocinado por uma nação contra outra, pode representar um risco de acúmulo sistémico significativo nos negócios cibernéticos”, aponta Lyniewska.

Nesse contexto, já existem iniciativas no ambiente global que visam ao desenvolvimento de soluções com o apoio de governos para ajudar a enfrentar os riscos não seguráveis. Victor Santos afirma que não há sistema 100% seguro. Por isso, a segurança da informação e os seguros de riscos cibernéticos vão continuar como mecanismo de evolução das empresas.

Agenda regulatória

A Susep está coordenando o desenvolvimento de um estudo sobre seguros específicos dos riscos cibernéticos, que tem os seguintes objetivos:

• Aprofundar o conhecimento sobre os maiores riscos inerentes às atividades que envolvam sistemas de tecnologia da informação, salvaguarda e tratamento de dados de pessoas físicas e jurídicas, funcionamento de redes e nuvens, dentre outros;
• Atualizar a situação atual das coberturas oferecidas pelo mercado segurador para proteção contra riscos cibernéticos, visando definir áreas de interesse e seu alcance;
• Conhecer e avaliar a situação dos seguros de riscos cibernéticos em outros países e o tratamento dado pelos reguladores/supervisores internacionais sobre o assunto;
• Identificar possíveis lacunas ou problemas regulatórios que demandem a atuação normativa pelo estado, por meio de regulamentação infralegal; e
• Identificar possíveis novos produtos e novos mercados, como o seguro garantia de infraestrutura cibernética.

Há aspectos especiais a serem monitorados, como o uso da chamada “linguagem excludente”, que é o rol de riscos excluídos ou eventos não cobertos. A entrada em operação do Sistema de Registro de Operações (SRO), criado pela Susep, permitirá às áreas de regulação e supervisão ter uma visão clara das coberturas efetivamente comercializadas nos seguros de riscos cibernéticos e dos riscos de acumulação/concentração das carteiras, além de análises quantitativas de prêmios e sinistros.