Os governos criam leis e regulamentos com o principal objetivo de proteger os interesses públicos e manter a ordem, assegurando o bom funcionamento da sociedade. No contexto dos ciberseguros e da cibersegurança, a regulamentação busca garantir uma conduta ética, promover a estabilidade econômica e fomentar o crescimento, ao estabelecer um arcabouço legal que as organizações devem seguir.
No entanto, a complexidade das normas e legislações que precisam ser cumpridas nas operações comerciais pode ser desafiadora. Há uma variedade de regulamentos, leis e padrões que influenciam diretamente a postura de cibersegurança de uma empresa, dependendo da localização geográfica da organização. O seguro cibernético está intimamente e indiretamente relacionado a muitas dessas regulamentações, pois as apólices frequentemente cobrem o pagamento de multas regulatórias, como aquelas impostas por autoridades de privacidade em casos de vazamento de dados, ou a quitação de demandas de extorsão realizadas por grupos de ransomware.
Ciberseguro e Incidentes
Em caso de um incidente cibernético, a seguradora, conforme os termos da apólice, pode fornecer suporte jurídico e serviços especializados de resposta a incidentes para ajudar a empresa. Esses serviços desempenham um papel fundamental ao determinar se há obrigatoriedade na divulgação de informações e se o pagamento de uma extorsão a um grupo de ransomware específico infringe sanções governamentais.
Por exemplo, a Comissão de Valores Mobiliários dos Estados Unidos (Securities and Exchange Commission, SEC) agora exige que empresas listadas em bolsa reportem incidentes cibernéticos por meio do formulário "8-K". O incidente deve ser considerado "material", e a divulgação precisa detalhar a natureza, o alcance e o momento do ocorrido, além de seu impacto provável sobre a empresa.
Recentemente, uma empresa do setor químico e de manufatura, com sede em Luxemburgo, revelou ter sido vítima do que pode ser o maior golpe de fraude por transferência eletrônica já registrado. Em seu relatório 8-K, datado de 10 de agosto, a empresa declarou que um de seus funcionários foi alvo de um esquema criminoso que resultou em várias transferências eletrônicas fraudulentas para destinatários desconhecidos, causando uma perda antes de impostos de aproximadamente 60 milhões de dólares (USD).
Esse tipo de incidente difere significativamente de um ataque de ransomware. Embora não tenha havido uma decisão ética sobre o pagamento, o incidente precisava ser reportado e pode estar coberto por uma apólice de seguro cibernético.
A regulamentação sobrecarrega as pequenas empresas?
Para as pequenas empresas, a quantidade de normas e legislações pode ser extremamente desafiadora. É essencial levar em consideração as particularidades dessas organizações ao propor novos requisitos regulatórios. A complexidade dos diferentes órgãos reguladores e dos ambientes jurídicos pode ser um obstáculo significativo para as empresas menores, que precisam concentrar seus esforços em suas operações e na geração de receitas.
Além disso, é provável que o cenário se torne ainda mais complexo com a adoção de novas tecnologias, como a inteligência artificial. Existem questões éticas claras associadas a essa tecnologia, assim como importantes melhorias operacionais e vantagens competitivas para as empresas que souberem aproveitar essa oportunidade. É fundamental garantir que o uso de tecnologias avançadas ocorra dentro de limites aceitáveis para a sociedade. A falta de regulamentação pode abrir espaço para que as empresas priorizem o lucro em detrimento de um uso responsável, o que pode levar a consequências negativas.
Se eu estivesse à frente de uma pequena empresa hoje, consideraria contratar um seguro cibernético para ter acesso a especialistas em regulamentação. Como alternativa, prepararia meu negócio para se qualificar para um seguro, pois a lista de verificação e os requisitos exigidos pelas seguradoras ajudariam a reduzir significativamente meu risco, garantindo a conformidade com as normas e estabelecendo um nível adequado de cibersegurança. Com isso em mente, o custo do prêmio do meu seguro cibernético provavelmente seria menor, refletindo o risco reduzido de sinistros.