O ciber-risco não apresenta riscos apenas para o detentor e processador de grandes volumes de dados mas também para qualquer empresa cuja atividade assente numa cadeia de fornecimento física. Mauro Signorelli refere a necessidade dos corretores trabalharem com clientes e subscritores para evitar lacunas imprevistas nas coberturas, fazendo a conjugação entre as diferentes apólices.
A forma como as organizações protegem a sua informação, redes empresariais e sistemas de fabrico está a evoluir rapidamente para fazer face a ameaças em constante mutação.
A sofisticação dos ataques cibernéticos tem crescido com a complexidade das redes empresariais. Os criminosos estão a abandonar os ataques cirúrgicos a processadores de grandes volumes de dados – para roubar segredos comerciais, números de cartão de crédito e informação pessoal identificável – e a optar por ataques que visam criar perturbações no mundo físico.
As cadeias de fornecimento das empresas tornaram-se uma rede multifacetada e interligada de programadores, fornecedores de armazenamento e software remoto, operações subcontratadas, fabricantes de componentes, fornecedores de matéria prima e uma panóplia de clientes e fornecedores até ao fim da cadeia.
Assegurar o seu controlo e segurança tornou-se uma questão de importância crescente, já que as falhas podem inviabilizar as operações das empresas – sejam elas um fabricante de automóveis ou um fornecedor de aplicações que depende de uma solução subcontratada na nuvem.
Prova desta diversificação de abordagens por parte de entidades com fins maliciosos, são estudos que demonstram que 48% dos fabricantes do Reino Unido já passaram por um incidente de ciber-segurança1, tendo metade sofrido prejuízos ou perturbações das suas atividades.
Estas operações principais assentam em sistemas de controlo industrial, que podem ser divididos em três grandes grupos: Controladores de Lógica Programável (CPL); Supervisão, Controlo e Aquisição de Dados (SCADA); e Sistemas de Controlo Descentralizado (SCD).
Estes sistemas foram alvo recente de ataques pelos malware ‘CrashOverride’ – que ataca operações da rede elétrica e causou um apagão na Ucrânia – e ‘Trisis’ -para unidades de controlo dedicadas à segurança2. Dada a elevada capacidade de perturbação destes ataques, a atividade no espaço de Sistemas de Controlo Industrial deverá aumentar.
O impacto potencial foi demonstrado pelos prejuízos, na ordem dos milhões de dólares, sofridos pela Maersk, TNT Express e Mondelez, entre outros, cuja causa foi o Not-Petya, um ransomware de encriptação que explorava vulnerabilidades nos programas de contabilidade usados por várias organizações multinacionais para processar os pagamentos de impostos das suas filiais ucranianas. Em resultado, vários bancos, aeroportos, fabricantes e empresas de logística por todo o mundo viram-se paralisados3.
Noutro caso, uma vulnerabilidade no CCleaner4, foi explorada para instalar malware nos PCs de mais de dois milhões de utilizadores. Noutro caso que ocorreu nas instalações de produção da Supermicro, foram implantados circuitos vulneráveis a ataque cibernético em vários aparelhos e sistemas, o que afetou os servidores de 30 empresas nos Estados Unidos. Os exemplos crescem em número e frequência.
A exploração de vulnerabilidades da cadeia de fornecimento tem, tradicionalmente, envolvido ataques maliciosos via software , que tenta aceder às redes através de ligações por parte de terceiros.
Contudo, a exploração das vulnerabilidades do hardware e o facto de as placas-mãe e microprocessadores se tornarem uma "porta dos fundos” para as redes empresariais é uma tendência mais recente. O caso recente da Supermicro5, e as consequências das vulnerabilidades do hardware nos casos Spectre e Meltdown, demonstram o potencial que os problemas sistémicos com hardware têm de prejudicar a cadeia de fornecimento e até os bens materiais de qualquer empresa.
O mercado de ciber-seguros já tomou medidas relevantes para lidar com estes riscos, ajudando os segurados a proteger-se face a estes riscos. Os clientes procuram cada vez mais a cobertura de Perdas de Exploração para incluir incidentes em fornecedores terceiros de soluções informáticas que resultem em perdas financeiras e despesas adicionais.
Um desafio recente têm sido os pedidos de extensão desta cobertura por forma a abranger fornecedores de produtos e serviços não-informáticos. Isto expõe os seguradores a reclamações decorrentes de falhas na infraestrutura de TI que ocorram nas instalações dos seus fornecedores, independentemente do tipo de serviço ou produto entregue. É um risco material quase impossível de subscrever adequadamente.
Na ausência de informação e supervisão direta dos controlos e procedimentos desses terceiros, é tão difícil para as empresas protegerem-se destes riscos como, para os subscritores, avaliar a exposição ao risco. Contudo, há boas práticas que estes devem seguir quando avaliam a exposição e potenciais cenários de perda da cadeia de fornecimento de uma empresa: as empresas devem realizar as due diligence apropriadas e auditorias dos fornecedores, assim como assegurar que os seus controlos de segurança estão a um nível equivalente ou excedem os do segurado.
Os subscritores também devem exigir que segurado limite o acesso à rede por parte do fornecedor ao estritamente necessário para a execução de operações críticas, idealmente permitindo o acesso apenas a uma parte segregada na rede e recorrendo a um método de autenticação de fator múltiplo.
A proteção contra vulnerabilidades de hardware nas unidades de controlo industrial pode ser mais difícil, uma vez que os sistemas tendem a ser mais antigos (e portanto com lacunas mais difíceis de suprir), apresentam uma superfície de ataque mais alargada, são menos padronizados e, em geral, não foram concebidos para funcionar num ambiente de elevada interligação.
Como tal, as empresas devem compreender a fundo os riscos e consequências da integração destes sistemas historicamente expostos numa rede interligada. Quando se transferem estes riscos para o mercado segurador, há que considerar complexidades adicionais.
Por exemplo, é frequente haver sobreposição entre as apólices de ciber-risco e as de outros ramos – especialmente de patrimoniais e responsabilidades – relativamente às quais, na ausência de exclusão específica do ciber-risco, se debate se este está ou não coberto; chama-se a isto ciber-risco "silencioso”. Isto pode causar confusão na resposta dada por diferentes apólices e atrasar a mitigação e regularização de sinistros.
Como exemplo recordamos um caso recente que envolvia uma grande empresa farmacêutica que, em paralelo com a apólice de ciber-risco, estava coberta por um programa de seguros patrimoniais que não excluía a cobertura de perdas de exploração relacionadas com sinistros de natureza informática6. Esta confusão pode afetar a dimensão de um potencial sinistro, dada a urgência na resposta e na mitigação exigidas por um sinistro informático.
A maior parte das apólices de ciber-risco disponibilizam um painel de peritos em ataques informáticos e empresas de investigação forense a que o segurado pode recorrer para mitigar potenciais violações de dados. Os clientes devem procurar seguradores que deem acesso direto a consultores especializados no seu setor e também especialistas em relações públicas que ajudem a mitigar os danos à marca.
É sempre preferível que o segurado ligue a um perito para se aconselhar se ocorrer algo sem importância aparente, ao invés de deixar o problema por resolver e tornar-se um prejuízo material que cause danos significativos à sua reputação, dificultando a recuperação e reconstrução.
Enquanto as empresas se tentam adaptar ao aumento da exposição de risco da cadeia de fornecimento e às ameaças em constante evolução, o mercado segurador deve assegurar a tranquilidade e coberturas bem definidas num mundo de riscos cada vez mais intangíveis.
Contudo, os corretores têm de trabalhar para assegurar que as sobreposições de cobertura são devidamente analisadas e discutidas na fase de contratação, tanto com clientes como com subscritores, de forma a prevenir lacunas involuntárias na cobertura. •
1. www.computerweekly.com/news/252439718/Nearly‑half‑of‑UK‑manufacturers‑hit‑by‑cyber‑attacks
2. www.computerweekly.com/news/252436129/Cyber‑threat‑to‑industrial‑control‑systems‑highest‑yet
3. www.wired.com/story/notpetya‑cyberattack‑ukraine‑russia‑code‑crashed‑the‑world
4. www.thehackernews.com/2018/04/ccleaner‑malware‑attack.html
5. www.bloomberg.com/news/features/2018‑10‑04/the‑big‑hack‑how‑china‑used‑a‑tiny‑chip‑to‑infiltrate‑america‑s‑top‑companies
6. www.mobile.royalgazette.com/re‑insurance/article/20170915/insurers‑grappling‑with‑scale‑of‑cyber‑risk&template=mobileart
