Venda de apólices anti-hacker ganha fôlego
Diferente do antivírus que trabalha para prevenir, o seguro cibernético oferece ajuda póstuma. Ou seja, depois que seus contratantes foram infectados. Nestes casos, a apólice repassa à seguradora as responsabilidades sobre os danos, dando garantia ao segurado — de acordo, claro, com o contrato. Na fala de um corretor, faz total sentido. Mas, você deve estar se perguntando: o que leva alguém a contratar um seguro em vez de adotar uma postura proativa? A resposta é simples: o serviço mira empresas, de todos os tamanhos, vítimas de exploração de falhas de software e ataques. Por vários motivos, nem sempre o antivírus opera milagres: lenta detecção, falta de atualização, uso inadequado, infecções em rede e até mesmo o fator humano influenciam na segurança do parque de máquinas — e no custo do seguro.
Segundo a Aon, que oferece consultoria e corretagem de seguros, o chamado “risco cibernético” já é o quinto que mais preocupa empresários em todo o mundo. Nos últimos meses, ataques de ransomware se alastraram, dando fôlego à proposta. No Brasil, ainda engatinha. A previsão local, de acordo com a corretora, é de o setor crescer 20% ao ano, nos próximos cinco anos — focado, principalmente, em instituições financeiras e também comércio eletrônico.
Realizada duas vezes ao ano, a Pesquisa Global sobre Gerenciamento de Riscos da Aon verifica quais as principais preocupações e ameaças aos negócios. A edição de 2017 (com dados apanhados no final de 2016), ouviu 1.843 entrevistados de empresas públicas e privadas. Dando sequência aos anos anteriores, o temor de ataques de hackers apareceu no TOP 10, subindo de forma expressiva da nona para a quinta colocação, ficando atrás apenas de: 1. dano à reputação/marca, 2. desaceleração econômica, 3. aumento da concorrência e 4. mudanças regulatórias. Casos cibernéticos, porém, podem influenciar os outros riscos, gerando prejuízos em várias áreas de produção e com difícil recuperação.
Como o seguro anti-hack funciona?
Conversamos com Mauricio Bandeira, gerente de produtos financeiros da Aon Brasil, que explicou em detalhes o que é o seguro cibernético, como funciona e quem compra esse tipo de proteção adicional — também no Brasil — em um cenário em que a pergunta não é sobre “se um ataque vai acontecer”, mas “quando vai acontecer”. E, também, qual será o real tamanho do estrago.
Em máquinas corporativas, as práticas criminosas mais comuns são ataques de phishing e ransomware. Ultimamente, foram vários os casos de empresas de diversos setores que, depois de atacadas, sofreram com o comprometimento de informações de terceiros/clientes (vazamentos), tiveram redes de computadores comprometidas, roubo de dados e, como principal consequência, forte impacto na continuidade do negócio, pausa na produção/distribuição e lucratividade afetada.
• Vírus impacta lucros de empresas e afeta até fabricante do Oreo
• Hackers atacam HBO e vazam roteiro de ‘Game of Thrones’
• Ransomware Mamba que interditou trânsito de São Francisco ataca Brasil
“O seguro cibernético tem coberturas para empresas contratantes e também para terceiros. As coberturas incluem todos os custos pós-ataque hacker e vazamento de dados, inclusive em casos de ransomware [bloqueio de arquivos], onde há travamento do computador e cobrança de resgate”, explica Bandeira.
Isso quer dizer que uma “apólice cyber” vai dar conta dos gastos de uma investigação forense, contratação de técnicos, de uma equipe de gerenciamento de crise (incluindo vários tipos de profissionais, de tecnologia à comunicação) e ainda para prejuízos causados pelos lucros cessantes. A companhia pode contratar quem quiser, mas a seguradora tem sempre equipes de prontidão.
A quem se destina?
Um seguro é um passo dado especialmente por pessoas jurídicas e a contração desse tipo de proteção é crescente. Bancos e instituições financeiras foram os primeiros a sentir nos cofres a necessidade de aplicar segurança adicional aos seus dados. Laboratórios, hospitais e clínicas, que dependem de sistemas para compartilhar resultados de exames e controlar prontuários de pacientes, também já aparecem como principais alvos de ataques. O setor de educação, idem.
Os setores mais visados por golpes de ransomware no Brasil
“O setor de aviação já enxerga o risco cibernético com o principal fator de preocupação. Com o avanço dos controles digitais, especialistas temem que um dia terroristas consigam derrubar aeronaves com ataques hacker”, diz Bandeira.
Quanto custa?
As apólices de seguro cibernético, assim como as de seguro de vida ou contra incêndios são feitas por período anual. A Aon, que afirma ter negociado de 15% a 20% das apólices globais — e cerca de 50% no mercado nacional — calcula que, para uma apólice que cubra um milhão de reais, por exemplo, a empresa contratante pode pagar como prêmio de R$ 7 mil a R$ 25 mil ao ano.
A forma como a companhia lida com a própria segurança, porém, vai detalhar o contrato e os valores podem tornar-se maiores em função de fatores como: tamanho da empresa, total da apólice assegurada, volume de informações sensíveis em posse da contratante, se há treinamento interno ou uso de softwares desatualizados/descontinuados e etc. Tudo feito por questionário e análise prévia do que vai ser segurado. A seguradora pode recusar riscos muito altos.
Brasil ainda vive momento educacional
Grandes incidentes como WannaCry e No-Petya tiveram a Europa como olho do furacão, mas respingaram também no Brasil, aumentando a percepção do risco em setores da Indústria. Por aqui, três seguradoras já trabalham com risco cibernético: XL, Zurich e AIG. A expectativa é de que, até o fim do ano, outras seis estejam operando vendas à todo vapor.
Ainda que haja movimento na chegada de novos players, a demanda pela contratação de risco cibernético ainda não está madura. A Superintendência de Seguros Privados (Susep) — autarquia federal responsável pela autorização, controle e fiscalização do mercado de seguros — ainda não tem uma categoria dedicada que regulamente esse tipo de serviço. De acordo com a instituição, a modalidade iniciou sua comercialização no Brasil em 2012 — cinco anos, apenas.
Atualmente, seguros para riscos cibernéticos são enquadrados em ramos distintos — de acordo com os riscos cobertos —, como responsabilidade civil, riscos diversos e lucros cessantes. “Esta modalidade de seguro não possui normativo específico. Para elaboração de produtos é necessário seguir os normativos gerais de seguros de danos, os quais estabelecem regras para cláusulas de aceitação de proposta, de forma de contração, de pagamento de prêmios, de atualização de valores, de concorrência de apólices, de liquidação de sinistros, de perda de direitos e outras”, informou a superintendência ao TechTudo, em nota.
Para Bandeira, o Brasil ainda vive um momento educacional, de conscientizar empresários sobre o risco que sua empresa corre e da própria existência do produto. As seguradoras, no geral, apostam em uma nova legislação para as empresas brasileiras que responsabilize companhias por vazamentos de dados de sua base de usuários — similar ao que existe nos Estados Unidos.
“Essa exigência legal ajuda a aumentar o interesse por ferramentas de mitigação e transferência de risco. O seguro é uma delas. Assim que houver a promulgação de uma lei de responsabilidade, o mercado deve mudar e a contratação deve aumentar substancialmente”, acredita Bandeira. No momento, não há uma lei específica que obrigue as empresas a reportar que foram vítimas de crimes digitais no Brasil. Alguns projetos tramitam, mas sem previsão de serem aprovados.
Prevendo o movimento, seguradoras têm realizado workshops e palestras em setores da indústria para vender o novo produto, formando uma base de clientes.
“Lidar com risco cibernético é mais sobre resiliência do que prevenção. Não é questão de se uma empresa será atacada, mas de quando”, alerta Bandeira.
Não é questão de se uma empresa será atacada, mas de quando
IoT é logo ali
Segundo a Cisco, em três anos, serão 50 bilhões o total de dispositivos conectados à Internet. Quando nos damos conta de que 2020 é logo ali, fica fácil entender que IoT — Internet of Things (ou Internet das Coisas, em português) — vai elevar o alarme e as preocupações de segurança de indústrias e de pessoas comuns com tantos objetos de rotina e wearables (vestíveis) conectados.
“Os controles digitais e o avanço da Internet das Coisas (IoT) vai elevar o risco cibernético a patamares inimagináveis em alguns anos. Com mais aparelhos conectados [além do celular e do computador] e mais processos dependendo do acesso a redes, o campo de atuação dos hackers aumentará consideravelmente. Por isso, é fundamental que as empresas estejam preparadas para lidar com as consequências desses eventos”, encerra Bandeira.
A visão é compartilhada pelo setor de segurança. Em setembro, Eugene Kaspersky, criador da companhia russa de antivírus que leva seu nome, encerrou sua palestra magistral durante a 7ª Cúpula Latino Americana de Analistas de Segurança da Kaspersky Lab, em Buenos Aires, na Argentina, com um alerta para quem opta por aparelhos online como Smart TVs, relógios, e até casas e carros conectados.