O risco cibernético está aumentando, pois o impacto combinado dos níveis crescentes de ameaças, a expansão das superfícies de ataque e a escassez de habilidades de segurança estão colocando as organizações em desvantagem. Diante do aumento da probabilidade de sofrerem um vazamento de segurança prejudicial, muitas podem estar procurando transferir a responsabilidade para uma transportadora terceirizada. Mas aqueles que acreditam que podem simplesmente usar o seguro cibernético como um substituto para investimentos em melhores práticas de cibersegurança podem estar enganados. Na verdade, estas últimas são cada vez mais um pré-requisito para a segurança corporativa.
Portanto, se o seguro cibernético não é um cartão "passe livre" para as empresas, para que ele serve?
O que é seguro cibernético?
O seguro cibernético ajuda a proteger empresas de todos os tamanhos contra o impacto financeiro de incidentes graves, como violações e vazamentos de dados. Dependendo da apólice, ele pode oferecer:
- Acesso a avaliações pré-violação, fornecedores examinados e informações para ajudar a aumentar a resistência antes de um incidente;
- Assistência com notificação pós-violação, investigação forense, serviços jurídicos e experiência em gerenciamento de crises;
- Suporte financeiro para custos legais e reclamações de danos contra sua empresa;
- Cobertura dos custos incorridos para manter os negócios operacionais e restaurar dados, bem como perda de receita.
As apólices podem variar muito, mas há dois tipos principais de cobertura:
- Cobertura de primeira parte: Relacionada ao impacto direto de um incidente cibernético sobre a sua empresa. Isso inclui o custo de software perdido ou danificado, contas legais, perícia, notificação ao cliente, roubo de dinheiro etc.
- Cobertura de terceiros: Refere-se a reclamações apresentadas por terceiros contra a sua empresa por perdas sofridas devido a um incidente cibernético. Isso inclui coisas como acordos legais com clientes, honorários de advogados e contadores, etc.
É importante observar que os ciberataques à sua empresa avaliados como "atos de guerra" podem não ser cobertos pela sua apólice. A Lloyd's of London tomou a medida controversa de forçar suas seguradoras a inserir uma cláusula de exclusão de guerra cibernética para reduzir a responsabilidade da transportadora por ataques patrocinados pelo Estado. Entretanto, provar que um agente de ameaça estava realizando um ato de guerra pode ser extremamente desafiador.
Por que preciso de um seguro cibernético?
A maioria das empresas não tem dúvidas sobre o motivo pelo qual se prevê que o seguro cibernético será um setor de US$ 64 bilhões até 2029. A combinação do aumento das ameaças cibernéticas e dos custos associados, além do crescente escrutínio dos órgãos reguladores, está forçando as empresas a encontrar maneiras testadas e comprovadas de reduzir sua exposição ao risco.
A mudança para o trabalho híbrido, combinada com investimentos em nuvem e digitais durante a pandemia, ajudou a impulsionar a produtividade e processos de negócios mais ágeis, mas também aumentou a superfície de ataque cibernético. Endpoints para trabalho doméstico não corrigidos, sistemas de nuvem mal configurados e ameaças transmitidas por dispositivos móveis são apenas a ponta do iceberg. Um relatório de 2022 afirma que 79% das organizações acham que as mudanças recentes nas práticas de trabalho afetaram negativamente a cibersegurança de suas organizações. Em outro, 43% das organizações em todo o mundo concordam que sua superfície de ataques está "saindo do controle". A superfície de ataque também se estende a cadeias de suprimentos complexas e a funcionários potencialmente negligentes. Estima-se que 98% das empresas globais sofreram um vazamento por meio de seus fornecedores em 2021, por exemplo.
Como resultado:
- Os EUA sofreram um número quase recorde de vazamentos de dados relatados publicamente em 2022;
- Dois quintos das organizações do Reino Unido entrevistadas em 2022 relataram ter sofrido um vazamento de segurança nos 12 meses anteriores;
- Mais de um quarto (27%) dos líderes de tecnologia e negócios do Reino Unido espera que os ataques dos tipos Business Email Compromise (BEC) e "hack and leak" aumentem em 2023, e 24% dizem o mesmo sobre ransomware.
Não apenas os incidentes de segurança graves são mais prováveis hoje em dia. Eles também estão custando mais às vítimas. Em 2021, o custo dos incidentes de cibercrime relatados ao FBI atingiu US$ 6,9 bilhões. Um ano depois, o total atingiu US$10,3 bilhões - um aumento de 49%. Isso faz com que o total para os cinco anos até 2022 seja de impressionantes US$ 27,6 bilhões.
Como posso me qualificar para a cobertura?
O mercado de seguro cibernético passou por mudanças drásticas nos últimos anos. O aumento dos ataques de ransomware e as reclamações subsequentes durante a pandemia levaram alguns a culpar o setor por incentivar indiretamente os cibercriminosos a lançar ataques. As perdas sofridas por muitas operadoras levaram a ações corretivas - um aumento significativo nas taxas de prêmio e redução da cobertura. Felizmente, os preços estão se estabilizando e as apólices estão se tornando acessíveis novamente.
Parte disso se deve a políticas mais granulares que exigem mais dos clientes em potencial. Desta forma, podemos ver o papel do seguro cibernético evoluindo - de emprestador de último recurso para um parceiro de segurança que incentiva o bom comportamento. Em suma, ao exigir que as empresas implementem controles de segurança e medidas de higiene cibernética de acordo com as melhores práticas, as seguradoras podem, na verdade, promover melhorias básicas no gerenciamento de riscos cibernéticos.
Dependendo da apólice, essas medidas podem incluir:
- Backups de dados regulares (e fora do local);
- Uso de senhas fortes e exclusivas e autenticação de dois fatores;
- Varredura de vulnerabilidades e gerenciamento automatizado de patches com base em riscos;
- Programas de treinamento de conscientização sobre segurança cibernética executados continuamente;
- Software de segurança de endpoint;
- Planos de resposta a incidentes testados regularmente;
- Segmentação da rede para minimizar o "raio de explosão" dos ataques.
O que acontece depois?
As PMEs e as grandes empresas ainda classificam os incidentes cibernéticos como sua principal ameaça. À medida que os custos aumentam, elas recorrerão em número cada vez maior ao seguro cibernético. Isso, por sua vez, deve gerar maior segurança, menor risco e cobertura mais acessível. Mas ainda há um caminho a percorrer: cerca de metade (48%) das PMEs ainda não tem cobertura, contra 16% das grandes organizações, de acordo com o Fórum Econômico Mundial (WEF). Para otimizar seu uso do seguro no futuro, ler as letras pequenas da apólice será mais importante do que nunca.