Muito se fala sobre os riscos cibernéticos. Desde a importância da transferência do risco ao seguro, passando pelo significativo prejuízo causado – bilhões, alguns declarando trilhões de dólares pelo mundo – até, finalmente, a segurança dos sistemas de TI.
O Brasil, por sua vez, sofre consideravelmente com as atividades criminosas dos ‘hackers’ e, portanto, já tem prejuízos vultosos. Nada comparado com os danos causados nos Estados Unidos, União Europeia e alguns países asiáticos.
Diante disso, alguns aspectos merecem comentários.
O primeiro seria a fantástica evolução da tecnologia. Atividade tão célere que torna obsoleta a inovação de um ano atrás. Entramos, neste momento, em nova tecnologia que transformará a velocidade da internet em algo assombroso. Ignorante desses assuntos ou um mero aprendiz no uso do celular, no entanto, sinto que o avanço da tecnologia de segurança não está acompanhando a evolução dos processos tecnológicos.
O espírito de inovação da TI ultrapassa a implementação das medidas de segurança permitindo que ‘hackers’ estudem vulnerabilidades para bloquear o bom funcionamento dos programas. As defesas devem evoluir ao mesmo tempo que a inovação tecnológica. Existem medidas de segurança que podem e devem ser adotadas e que serão permanentemente mantidas pelos usuários.
O segundo seria o próprio seguro. Com as definições claras de responsabilidade por negligência na guarda de informações sigilosas, surge o seguro de Responsabilidade Civil de Cyber Risks com o intuito de proteger empresas que guardam e usam dados de terceiros. O seguro cobre danos causados aos terceiros em consequência do vazamento do seus dados e garante multas consequentes de eventual negligência na guarda da informação. Aos poucos, vão introduzindo coberturas acessórias como a ‘ramson’, a de lucros cessantes, assim como, inúmeras coberturas de despesas para minimizar as consequências do ataque cibernético.
A meu ver, o seguro Cyber Risks também não está acompanhando a evolução tecnológica e, muito menos, se adequando aos sinistros assustadores. Certamente, deve ser essa a razão para a inadequação do seguro para conceder a proteção correta e necessária.
As perspectivas de ocorrência de sinistros, principalmente nas coberturas de ‘ramsons’ e de lucros cessantes, são assustadoras realmente. Assim, é razoavelmente compreensível a relutância do mercado segurador, principalmente do mercado ressegurador, em ampliar a aceitação desses riscos sem cuidar antes das questões de segurança – a famosa ‘security’ – ora tão comentada. A aceitação depende da qualidade dos riscos, do nível de suportabilidade a risco dos segurados, do nível de retenção das seguradoras, o nível de retenção do mercado ressegurador e, finalmente, da capacidade geral de absorção desse risco pelo mercado a partir da especulação de sinistralidade anual superior a um trilhão de dólares.
Assim, estamos em uma situação relativamente crítica onde assistimos a uma insuficiência de capacidade de transferência do risco cibernético e, portanto, de provável elevação do preço do seguro e da exigência de implantação de segurança ativa e moderna que possa minorar substancialmente a ocorrência de sinistros.
Procuramos adequar o seguro de Riscos Cibernéticos às necessidades efetivas dos segurados considerando o desconhecimento dos próprios ao tremendo risco à sustentabilidade de suas empresas.
Como adequar o seguro com o mercado segurador mundial nesse momento de impasse? Melhorando as coberturas com a introdução do dano material, responsabilidade por lucros cessantes operativos e ampliando o risco de extensão? E como agir com segurados que estão relutantes em auditar e atualizar defesas dos seus sistemas julgando que os cuidados de segurança já ultrapassados ainda prevalecem e são suficientes?
Face a essas questões, é lógico argumentar que a questão da implantação de análise de risco cibernético é realmente essencial para a definição da segurança adequada para cada sistema e, sobretudo, o acompanhamento da evolução do risco. Com essa medida, então, preparar com os mercados segurador e ressegurador o seguro adequado aos riscos do segurado, respeitando a atual tendência do mercado em aceitar tais riscos.
Assim, considero que a colocação dos seguros de riscos cibernéticos seja precedida por uma independente análise prévia do risco de cada segurado, a atualização e sua implantação plena de sistema de segurança, levantamento exato das necessidades de transferência do risco do segurado, negociação de cláusulas e condições de coberturas de seguro e obtenção do resseguro necessário. Na negociação das cláusulas e condições do seguro e resseguro, ampla transparência dos dados técnicos necessários ao ‘underwriting’ das seguradoras.
Algo deve ser feito para evitarmos o possível impasse na tratativa do risco cibernético. Mais do que nunca, o Gerenciamento de Risco Básico, GRB, volta a ser a ferramenta básica a ser adotada para solucionar o problema.
Finalmente, outro importante aspecto a considerar é a forma de combater as atividades nefastas que geram perigo e insucesso aos empreendimentos cibernéticos. Esse é um problema que deve ser tratado por todos de forma a podermos identificar a origem dos ataques e conseguirmos punir exemplarmente os criminosos. No caso de países ‘rogue’ como Coreia do Norte, Rússia, Irã, onde a ação criminosa tem o possível apoio e envolvimento do governo, medidas eficazes de sanções políticas e econômicas devem ser adotadas.
Reconheço que o problema não é somente os países ‘rogue’, que em qualquer país haverá seus ‘hackers’ estimulados pelo prêmio fácil, pelos altos valores da vantagem conseguida através do ato criminoso, da fraude, da espionagem, da extorsão. A conclusão é que o risco cibernético tem que ser levado a sério. Governos e o mercado segurador e ressegurador dão importância ao risco, porém, os usuários de sistemas de informação são os mais vulneráveis e não se dão conta que devem tratá-lo através de permanente controle de riscos que protejam, da melhor forma possível, seus sistemas e transferir ao seguro o excedente do risco.
A melhor forma para as empresas sobreviverem ao crescente risco cibernético é a atualização dos sistemas de segurança e, também, o seguro. Ao mesmo tempo, devemos acompanhar a capacidade do mercado segurador para evolução das coberturas e para manter sua capacidade de assumir o risco cibernético.
Escrito por Paulo Leão de Moura Jr., Chairmain na THB Brasil. 15/07/2021.