Recentemente, mais de 150 países foram afetados por ataques cibernéticos, o que foi considerado o maior ataque de hacker da história. O vírus utilizado para a ação, um ransomware, bloqueia os computadores e, para que os usuários voltem a acessá-los, é pedido um resgate. Ainda é cedo para calcular os prejuízos.
Segundo Flavio Sá, gerente de Linhas Financeiras da AIG Brasil, “a série de ataques levantou novamente um alerta para o mundo inteiro a propósito dos enormes impactos que um ciberataque pode causar, além do grau de vulnerabilidade que as empresas, sejam elas públicas ou privadas, apresentam”, afirma.
E não há exceção. “Todos estão expostos. A maioria das pessoas possui um smartphone com uma grande quantidade de dados. Informações bancárias, cartões de crédito, prontuário médico, fotos, e-mails, etc. Ataques de hackers como o caso recente, onde os dados são sequestrados através de criptografia, podem acontecer com qualquer pessoa”, informa Gustavo Galrão, superintendente de Financial Lines & Liability da Argo Seguros.
Para Ana Albuquerque, gerente de Linhas Financeiras da Willis Towers Watson, “essa exposição costuma variar muito de setor para setor e até mesmo de empresa para empresa, pois ela depende dos processos de segurança que as companhias tomam e até mesmo da cultura criada internamente para a proteção de seus dados sigilosos”, explica. Galrão acrescenta: “no caso das empresas, todas elas certamente têm algum nível de exposição. Além do ataque de ransomware, o vazamento de dados de clientes pode gerar perdas e danos para estes. Isso pode resultar em reclamações e processos judiciais por parte de clientes, como por exemplo, no caso de vazamento de prontuário médico de hospitais”.
Ele avalia que a situação é tão séria que a regulamentação sobre a segurança de informações é muito rígida nos Estados Unidos. “Pelas leis americanas, vazamento de dados de clientes devem ser notificados apropriadamente a todos os clientes afetados, e a empresa fica responsável pelo monitoramento da utilização desses dados para evitar fraudes futuras”, diz.
Gerente de Produtos Financeiros da Aon Brasil, Maurício Bandeira, diz que o dano máximo a uma empresa em decorrência de um ataque de hacker é um assunto que vem sendo discutido cada vez mais, principalmente no Brasil. “Por não termos uma legislação específica sobre vazamento de dados que trata das responsabilidades e procedimentos”, acrescenta.
Segundo ele, “nós como corretores e consultores de seguros estamos nos aprofundando no assunto, procurando nos atualizar, e até levar de uma maneira educacional para as empresas os reais riscos e como uma apólice de seguro pode mitiga-los.” Flavio Sá explica que existem variadas formas de ameaças, tanto internas como externas. “As internas, por exemplo, podem ser oriundas de atos dolosos e/ou negligentes de funcionários. As externas são baseadas em ações de terceiros que tentam invadir sistemas para obter informações ou paralisar as operações das empresas, como o que aconteceu neste caso recente”, especifica. Cálculo Especialista em risco cibernético da JLT Brasil, Marta Helena Schuh, expõe que ainda é cedo para avaliar os prejuízos com os recentes ataques. “Uma consultoria americana já avaliou a perda em torno de US$ 4 bilhões. Porém, ainda há o período de investigação para apontar quais foram as reais deficiências dentro dos sistemas e isso tudo gera custo”, explica.
De acordo com ela, quando se fala em prejuízo decorrente de ataques cibernéticos ele vai além do tangível. “Pois devem ser consideradas, por exemplo, a paralisação das atividades e a interrupção de negócios que realmente causam um dano à receita da empresa”, exemplifica. Avaliação similar faz Ana Albuquerque. “Ainda é muito difícil avaliar esses danos. Provavelmente, ainda levará algum tempo para avaliação de todas as perdas que o mercado sofreu, uma vez que algumas reclamações decorrentes deste fato podem surgir somente no futuro”, ilustra.
Alerta Segundo Flávio Sá, “se comparado a outros mercados mais maduros, a penetração do seguro cibernético no Brasil ainda é pequena. O principal motivo é a falta de conhecimento sobre o tamanho e os impactos do risco, o que vem mudando e evoluindo nos últimos anos. Ainda temos o projeto de lei em aprovação referente à proteção de dados pessoais, que será um impulsionador para o mercado”, prevê.
Para ele, “o desenvolvimento do marco civil da internet e a educação para ajudar as empresas a responderem ameaças por meio da transferência de risco e a exposição que muitas empresas brasileiras têm quando fazem negócios com outros países (os quais têm leis rigorosas de proteção de dados e de privacidade) ajudarão a aumentar a consciência sobre os riscos cibernéticos e a demanda pela cobertura tende a crescer ainda mais rapidamente nos próximos anos”.
Sobre o mesmo tema, Bandeira conta que, pela falta de uma legislação específica sobre vazamento de dados, algumas questões podem ser endereçadas ao Código Civil e ao Código de Defesa do Consumidor, e até à apelidada Lei Carolina Dieckmann, que tipifica os crimes por meios digitais. “O momento é interessante para discutirmos uma legislação específica, cada vez mais é a hora do governo parar para discutir esse assunto”, defende.
Na JLT, Marta Helena Schuh conta que a procura pelo produto tem crescido muito. “A JLT foi pioneira ao desenvolver a cobertura de cyber quando teve o bug do milênio (no ano 2000). E aqui no Brasil nós temos percebido aumento de procura pelo seguro até porque, na grande maioria das empresas, os ativos passaram a ser digitais. Um banco que não tem seu sistema operante, consequentemente, terá uma perda direta de receita muito maior que se uma de suas agências pegasse fogo”, compara. E nas palavras de Galrão, existe uma série de medidas que podem ser implementadas pelas empresas e pessoas para aumentar a proteção aos ataques cibernéticos. “Obviamente a necessidade de controle maior ou menor dependerá do tipo da atividade e da atratividade que os hackers têm sobre as informações ou possibilidade de obter vantagens sobre determinada organização”, complementa.
“Infelizmente, ataques dessa natureza servem como um alerta para as empresas e fazem com que elas busquem mais informações de como se precaver e se segurar se sofrerem ataques desse tipo. Nesse sentido, entendemos que o seguro pode ser um grande aliado para diluir os prejuízos em caso de cyber ataques”, afirma Ana Albuquerque. Ainda de acordo com ela, “anualmente os crimes cibernéticos causam perdas bilionárias às companhias e já são considerados uma das cinco maiores exposições das empresas. Por sua vez, as seguradoras encaram os ataques virtuais tão danosos quanto desastres ambientais. Atualmente existe o produto específico para mitigação do risco de ataques cibernéticos”.
Flávio Sá enfatiza que com o incremento dos ataques cibernéticos, é preciso que as empresas criem uma cultura de entendimento de riscos, desenvolvendo uma gestão específica para esse fator. “Além das medidas tecnológicas para prevenir os ataques, o seguro é uma recurso importante para minimizar riscos e o impacto de um ataque cibernético”, acrescenta.
Marta Helena Schuh destaca que o seguro cibernético é bastante abrangente, tailor made, para cada cliente. “A partir das informações de cada empresa, seus sistemas e sua política, serão avaliadas quais são as coberturas indicadas para a sua atividade. A ideia é exatamente auxilia-la quando há a necessidade de desembolsar um valor que não estava previsto no seu orçamento”, diz em relação aos limites e coberturas.
Bandeira complementa esclarecendo que “o clausulado é único para as três seguradoras que operam com o produto para riscos cibernéticos. A partir desta base, nós entendemos a necessidade dos clientes, o que a apólice oferece para adaptá-la melhor às suas necessidades. O trabalho que temos feito é de entendimento do risco, acerto do produto dentro do que é possível e toda a questão de alinhar a empresa sobre como ela utiliza a apólice”, explica. Para finalizar, ele diz que a análise do risco engloba várias situações que só é possível conhecê-las junto ao cliente até para a compreensão de qual seria o limite de cobertura mais próximo ao ideal. “Não existe uma fórmula matemática que muitas vezes se tem no seguro de property ou de risco de engenharia. Mas se consegue chegar a um valor de limite contratado muito próximo do ideal que a empresa necessita”, conclui.
Incidentes cibernéticos Conforme dados do CPqD, Centro de Pesquisa e Desenvolvimento em Telecomunicações, em 2015, globalmente, os incidentes cibernéticos cresceram 38% e no Brasil esse percentual foi bem maior: 274%.
O Brasil ocupa a 8º lugar dentre os países com maior atividade maliciosa no mundo e é o 5º dentre os países com maior tráfego de e-mails maliciosos. Mesmo assim, apenas três em cada dez empresas brasileiras reconhecem ameaças cibernéticas como algo que possam impactar suas atividades. E de acordo com o relatório anual Norton Cyber Security Insights, da Symantec, no ano passado no Brasil, os ataques virtuais afetaram 42,4 milhões de pessoas, somando um prejuízo de cerca de R$ 33 milhões no total.