Neste século, certamente é um dos maiores riscos a preocupar pessoas e empresas.
O risco cibernético tem sido objeto de inúmeros artigos, de estudos diversos, de proposição de tratativas, de transferência do risco ao seguro. No entanto, a preocupação é o ritmo fantástico da evolução tecnológica e o seu uso social transgredindo a moral ou a ética, diversamente do que convém ou do que se desejaria prejudicando, também, a eficiência da tratativa do risco.
Alguns aspectos ainda apresentam-se como pontos importantes a se considerar, a saber:
Os riscos inerentes a ataques cibernético:
- Responsabilidade Civil: é comum, por influência maior dos ataques cibernéticos iniciais, darmos maior atenção ao risco de quebra do sigilo de informação de terceiros, os possíveis danos a eles causados. Uma questão de responsabilidade civil onde o causador real do dano não é considerado mas, tão somente, o que mantem as informações sigilosas sob seu controle e não as defendeu do causador real do dano.
Embora leis diversas tenham definido – nem sempre claramente – as quebras de sigilo, a obrigação de defendê-las, de determinar multas contundentes e por aí vamos, ainda permanecemos no massa cinzenta em relação aos danos pessoais e materiais realmente sofridos em decorrência do ataque que divulgue uma série de dados de uma pessoa mantidos pela empresa.
Recentemente, temos acompanhado a notícia de vazamentos onde informações de nome, endereço, CPF, telefone, e-mail, dados bancários e sociais estão sendo distribuídas aos milhões. Aqui entre nós, no nosso Brasil, quem não teve dados vendidos e distribuídos por inúmeras instituições privadas e de governo? Como bancos privados sabem da aposentadoria de fulano ou beltrana e passam a oferecer incessantemente empréstimos subsidiados? Como atua a maioria das redes de marketing e como são dirigidas as redes de propaganda? Assim, esse risco mesmo sendo real, não necessariamente é o mais importante, pois, é possível comprovar que os dados vazados já eram de conhecimento público.
Claro que muitos podem sofrer danos materiais e pessoais mas, o que irá prevalecer, eventualmente, será a atuação das defensorias públicas em multar as empresas vazadas.
- O regaste: risco direto importante. O hacker introduz um ‘malware’ qualquer no sistema que impeça ou prejudique o seu funcionamento. Solicita, então, um resgate em ‘bitcoins’ ou outros valores para que o sistema volte a funcionar.
Atualmente, um dos riscos mais em evidência, ao ponto de seguradoras já estarem dificultando a sua aceitação como cobertura de seguro. De fato, este é um dos riscos que mais ocorrem no mercado e passível de transferência ao seguro, porém, objeto de cuidadosa análise prévia de risco.
- O Lucro Cessante e o Dano Material: risco extremamente importante, porém, baseado nos prejuízos da empresa, consequente da paralização das operações dos sistemas por ataque cibernético. Neste caso, dão ênfase ao ‘software’ e não consideram – com eventuais exceções – os danos consequentes causados ao ‘hardware’ que é, em geral, excluídos de qualquer cobertura de seguros.
Normalmente, essas paralizações não levam tempo considerável, seja por solução imediata do problema, seja por pagamento de resgate ou outra forma.
A questão do lucro cessante consequente de danos materiais ao sistema, como um todo, é ponto a ser considerado com atenção. O dano material, embora não frequente, é um dos principais riscos a ser analisado. Já ocorreram alguns casos. Como também, ocorreu outro risco importante: o risco de o ‘hacker’ assumir a operação da empresa. Não é um dano material direto, porém, é um dano consequente que retoma a questão da responsabilidade civil.
Como exemplo, um ‘hacker’ assume a operação de uma usina e resolve iniciar o processo de abertura de comportas. Só irá cessar a operação se for pago um substancial resgate. Como ficam as responsabilidades da usina por danos pessoais e materiais causados a terceiros e perdas e danos ao meio ambiente?
Aqui assistimos à criação de riscos de danos e perdas materiais, de lucros cessantes e de responsabilidade civil de pessoas.
Assim, a meu ver, assistimos muito mais a tentativa de impedir o impacto dos ataques cibernéticos do que propriamente minimizar e tratar o risco adequadamente. Assim, dois aspectos essenciais podem minimizar subitamente o impacto dos riscos cibernéticos:
- O primeiro refere-se à tratativa de segurança a ser dada aos sistemas. A expertise dos ‘hackers’ para atacar com sucesso os diversos sistemas é eficiente e eficaz. Em contrapartida, as empresas que se preocuparam em manter defesas adequadas tendem a julgar que permanecem válidas e não se preocupam em analisar e atualizar defesas mais modernas. É necessário manter um responsável pelas operações e, em separado e no mesmo nível, um responsável pela segurança do sistema. Testar a eficiência dos sistemas de segurança a cada três meses, no mínimo, e atualizá-los permanentemente, assim como, adaptar todo o sistema operacional às medidas de segurança sempre que necessário. Tenho quase absoluta certeza que a grande maioria dos sistemas operando no Brasil, se forem objeto de uma análise técnica de segurança, tem inúmeras falhas.
- O segundo tem a ver com a análise de riscos remanescentes, sua tratativa e sua transferência ao seguro. A análise da segurança é um sistema próprio de gerenciamento de risco cibernético e, assim, determinante de sua tratativa final. Com a atual abertura de mercado, os riscos passam a ter sua aceitação e colocação passíveis de negociação entre as partes. De um lado, segurados e corretores profissionais e de outro seguradores e resseguradores. Com o resultado da análise de segurança do risco, a as coberturas ficam razoavelmente definidas, permitindo a elaboração de condições e cláusulas de seguros adequadas tanto às necessidades do risco quanto à capacidade e condição das seguradoras em assumi-los.
Cuidado extremo deve ser dada ainda à totalidade do envolvimento dos riscos cibernéticos, desde a análise em cada ramo de seguro de Propriedade e de Responsabilidade Civil, das implicações das condições de coberturas e exclusões dos riscos cibernéticos, os chamados ‘silent cybers’.
As condições que afetam os riscos cibernéticos deverão ser absolutamente claras e transparentes em toda e qualquer apólice.
A análise dos riscos catastróficos consequentes de Responsabilidade Civil, Perdas e Danos Materiais e Meio Ambiente deve, como sempre, ser objeto de observação ampla, de soluções factíveis com calma, tranquilidade e, sobretudo, com conhecimento técnico profissional.
Será que podemos imaginar Buenos Aires inundada em quase dois metros de água por consequência da abertura total das comportas da Usina de Itaipu?
Escrito por Paulo Leão de Moura Jr, Charmain THB Group, março de 2021.