A necessidade de compensar o risco comercial com seguro não é nova. Séculos atrás, os primeiros marinheiros que transportavam seus produtos ao redor do mundo enfrentavam riscos significativos de prejuízos, roubo e perigo de vida. O Lloyd's, mercado de seguros que existe até hoje, começou como um café em Londres, popular entre marinheiros, armadores e comerciantes, onde eles podiam fazer seguro para cobrir seus navios e cargas contra os perigos do mar.
Atualmente, embora os riscos para as empresas modernas possam ser menos físicos, seu impacto pode ser igualmente devastador. Um incidente cibernético, por exemplo, pode ser suficiente para forçar uma empresa a fechar as portas e interromper suas atividades. Uma apólice de seguro cibernético protege a organização contra as perdas financeiras que um incidente cibernético significativo, como um ataque de ransomware, pode causar.
Seguro cibernético e ransomware
O número de ataques cibernéticos está aumentando, apesar da crescente atividade legislativa e de aplicação da lei. Um relatório da NetDiligence revela que o ransomware foi responsável por 85% das reivindicações de seguro cibernético de 2018 a 2022. E os dados da Coalition, uma seguradora dos EUA, afirmam que, até 2023, 40% das empresas que solicitaram apólices de seguro contra riscos cibernéticos pagaram a indenização por extorsão.
As organizações estão dispostas a pagar o resgate para mitigar diversos problemas. No entanto, pagar o resgate frequentemente resulta em maiores lucros para a seguradora, uma vez que os custos de recuperação geralmente superam o valor do resgate. Além disso, ao atender ao objetivo dos cibercriminosos de receber um pagamento financeiro, isso pode tornar os ataques futuros mais prováveis e frequentes.
Quando a apólice de seguro cibernético cobre empresas em casos onde um sinistro resulta em pagamentos de extorsão a cibercriminosos, existe um argumento de que as seguradoras que cobrem o custo do resgate podem, indiretamente, financiar o próximo ataque cibernético. Isso ocorre porque, ao satisfazer o objetivo financeiro dos cibercriminosos, aumenta-se a probabilidade de novos ataques, o que, por sua vez, eleva o risco e força o aumento dos prêmios. Até onde sei, não há outro tipo de seguro em que a seguradora financie o pagamento a criminosos do incidente e de incidentes futuros, efetivamente "pagando o incendiário".
O que determina a segurabilidade de uma organização?
O mercado de seguros baseia-se em dados e no conhecimento do risco que está sendo segurado. Na maioria dos mercados de seguros, há um histórico significativo disponível para que um subscritor tome uma decisão informada sobre a probabilidade de um incidente dar origem a um sinistro. Embora o seguro contra riscos cibernéticos não seja novo, as seguradoras não dispõem dos dados necessários para entender completamente o risco.
O resultado foi a ocorrência de sinistros significativos, levando as seguradoras a enfrentar perdas ou não atingirem o ponto de equilíbrio por vários anos. Apenas nos últimos dois anos as seguradoras conseguiram voltar a lucrar com as apólices de risco cibernético. No entanto, essa mudança teve um custo para o segurado, refletido no aumento dos prêmios e nos requisitos mais rigorosos das apólices.
O mercado de seguro cibernético agora exige que as empresas reduzam o risco implantando proativamente tecnologias de cibersegurança para minimizar a probabilidade de ataques. Isso, por sua vez, reduz o risco de reclamações contra a seguradora. Os requisitos variam de apólice para apólice; quanto mais robusta for a postura de cibersegurança da empresa, menor será o prêmio e mais favoráveis serão as opções de cobertura.
O que as seguradoras cibernéticas estão procurando?
As tecnologias que as seguradoras cibernéticas procuram incluem práticas padrão de segurança cibernética, como procedimentos de backup e restauração, além de treinamento regular de cibersegurança para os funcionários. No que diz respeito ao que torna uma empresa mais segurável, a adoção de tecnologias avançadas é crucial. Isso inclui o gerenciamento de vulnerabilidades e patches, a segmentação de rede em conformidade com os princípios de zero trust, a detecção e resposta de endpoints (EDR), e o uso de soluções de gerenciamento de eventos e informações de segurança (SIEM).
Para ambientes em que as empresas não possuem conhecimento interno para gerenciar soluções avançadas de cibersegurança, investir em serviços gerenciados, como detecção e resposta gerenciadas (MDR), é uma abordagem eficaz para reduzir significativamente o risco. Isso torna as empresas mais atraentes para os provedores de seguro cibernético.
A necessidade de que o seguro seja acessível a todos
O caminho para a obtenção do seguro pode ser complexo e exigir questionários extensivos pré-seguro e análise da postura de cibersegurança. Para muitas empresas menores, isso pode ser uma barreira, levando a uma baixa aceitação do mercado por parte das empresas que provavelmente se beneficiarão com o seguro.
De acordo com a NetDiligence, em 2022, a média das reivindicações de seguro para incidentes cibernéticos foi de cerca de R$900 mil, um valor significativo o suficiente para causar sérios prejuízos às finanças de uma empresa. Para tornar o seguro cibernético acessível até mesmo para pequenas empresas, o governo do Reino Unido implementou o plano Cyber Essentials. Esse programa permite que uma empresa adote práticas mínimas de cibersegurança e receba a certificação, além de uma apólice de seguro contra riscos cibernéticos no valor de R$162.500.
Para as empresas de pequeno e médio porte, o problema vai além do aspecto financeiro, envolvendo também a falta de recursos. A ausência de especialistas em resposta cibernética para lidar com as consequências de um ataque é uma questão crítica. Uma apólice de seguro cibernético pode ajudar a cobrir essa necessidade, oferecendo suporte especializado para garantir que a empresa retome suas operações o mais rapidamente possível. Fornecendo equipes de especialistas para uma resposta e recuperação eficientes, a seguradora pode minimizar as perdas financeiras e reduzir o tamanho de um possível sinistro. Além disso, a cobertura pode incluir acesso a consultoria jurídica, o que pode ajudar a reduzir reivindicações de multas regulatórias e minimizar o risco de ações judiciais coletivas.
Outras partes afetadas por um ataque cibernético são os clientes de uma empresa, sejam eles consumidores ou outras empresas. Esses clientes esperam que suas transações e dados compartilhados estejam seguros. É cada vez mais comum encontrar cláusulas nos contratos e acordos entre empresas que exigem cobertura de terceiros em caso de vazamento de dados. Esse é mais um motivo para que as empresas considerem a contratação de um seguro contra riscos cibernéticos, caso ainda não o tenham.
O seguro contra riscos cibernéticos deve ser a nova norma
A mudança para um ambiente mais digital observada em todo o mundo significa que os ataques cibernéticos são uma realidade dos negócios atuais. Manter uma boa postura de cibersegurança e compensar o risco com uma apólice de seguro contra riscos cibernéticos é agora um custo dos negócios, da mesma forma que as empresas fazem seguro contra incêndio e roubo.
Este post é o primeiro de uma série que aborda o seguro cibernético e sua relevância. As próximas publicações se aprofundarão em sua governança, legalidades, riscos futuros e na inegável vantagem comercial de obter cobertura cibernética no ambiente de risco atual.