Numa palavra: sim!Contudo, uma palavra não bastaria para construir um artigo interessante. O leitor teria todas as desculpas e mais alguma para me considerar outro comentador do mercado de seguros, entre tantos, a discorrer sobre a importância desta “cobertura emergente”
Acredito que a atenção que o ciber‑risco tem recebido na comunicação social é justificada e que estamos cada vez mais próximos da "tempestade perfeita” para os ciber‑seguros.
Não só os atacantes são cada vez mais inteligentes, ágeis e comerciais nos seus negócios ilícitos, mas também o enquadramento legal e regulamentar global e a maior perceção pública da importância e integridade da privacidade vão exigir respostas proativas das empresas.
Os protocolos e proteções de ciber‑segurança serão uma prioridade e as empresas terão de se preparar para a sua própria versão da tempestade perfeita; a conjuntura que as deixaria vulneráveis a danos irreversíveis, financeiros e de reputação.
Felizmente para os nossos clientes, o mercado de seguros continua a analisar, avaliar e responder. Apesar disso, todos teremos de atravessar algumas dores de crescimento. A seguir referirei algumas questões às quais teremos de dar atenção a partir de 2019.
O crescimento do ransomware
Nestes últimos anos, testemunhámos uma ascensão meteórica nos sinistros com ransomware e a propensão destes ataques à disseminação global em poucos minutos.
Dito isto, por enquanto, ainda não houve incidentes que causassem perdas catastróficas a nível global. Por enquanto! Um estudo recente do Cyber Risk Management Project (‘CyRim’ 2019) calcula que a disseminação global de um malware contagioso poderia custar mais de 193 mil milhões de dólares (quase o dobro dos prejuízos causados pelo Furacão Katrina em 2005) e afetar mais de 600.000 empresas grandes e pequenas, 86% das quais estariam totalmente desprotegidas em termos de seguro.
O ransomware é disseminado por emails infetados, espalhando‑se rapidamente por redes e dispositivos interligados, encriptando dados de computador em computador, paralisando empresas de todas as dimensões. Já lá vão os tempos em que o atacante era um ser humano; estes ataques são agora quase exclusivamente conduzidos por bots.
Contudo, o aspeto humano do hacker permanece. Muitos dos atacantes implementam centros de atendimento para "ajudar” as empresas a recuperar acesso aos seus dados mediante o pagamento de um resgate; normalmente com recurso a uma transação em criptomoedas, impossível de rastrear.
Os custos para as empresas não acabam aí. A quebra de produtividade durante as paragens, os custos dos serviços informáticos na repatriação dos dados e integridade dos sistemas, juntamente com a perturbação da cadeia de fornecimento e danos de reputação, tudo pesa no espírito e balancete das empresas vítimas de ataques.
Contudo, o aspeto humano do hacker permanece. Muitos dos atacantes implementam centros de atendimento para "ajudar” as empresas a recuperar acesso aos seus dados mediante o pagamento de um resgate; normalmente com recurso a uma transação em criptomoedas, impossível de rastrear.
Os custos para as empresas não acabam aí. A quebra de produtividade durante as paragens, os custos dos serviços informáticos na repatriação dos dados e integridade dos sistemas, juntamente com a perturbação da cadeia de fornecimento e danos de reputação, tudo pesa no espírito e balancete das empresas vítimas de ataques.
É bem verdade quando se diz que é só uma questão de tempo até ocorrer uma tentativa de ataque cibernético. As empresas precisam de estar melhor preparadas para os ataques de ransomware. Desde reduzir as probabilidades de ataque até a formação intensiva para consciencialização dos colaboradores e assegurar que as "paragens” sejam minimizadas através de cópias de segurança eficazes e testadas regularmente, sem esquecer o tipo certo de seguro contra ciber‑risco para responder eficazmente aos ataques.
As apólices de seguro contra ciber‑risco evoluíram para incluir serviços "pré‑”, "durante” e "pós‑sinistro”.
Algumas apólices fornecem às empresas medidas que as ajudam a quantificar a frequência e severidade do ciber‑risco a que se expõem. Outras apólices vêm com acesso gratuito, ou a preços reduzidos, a outras ferramentas de gestão de risco, tais como fornecimento de cópia de segurança com qualidade de nível militar e/ou ferramentas de monitorização de rede.
Cabe dizer que o seguro contra ciber‑riscos está a deixar de ser apenas uma política de resposta e reparação para se tornar uma ferramenta de gestão de risco mais tangível. Conto que esta evolução continue em 2019 e nos anos seguintes. 2018 – um ano importante para a regulamentação sobre privacidade O Regulamento Geral sobre a Proteção de Dados (RGPD) entrou em vigor em maio de 2018 e já teve um impacto significativo ao mudar a forma como as pessoas, as empresas e governos valorizam a privacidade dos dados.
Cabe dizer que o seguro contra ciber‑riscos está a deixar de ser apenas uma política de resposta e reparação para se tornar uma ferramenta de gestão de risco mais tangível. Conto que esta evolução continue em 2019 e nos anos seguintes. 2018 – um ano importante para a regulamentação sobre privacidade O Regulamento Geral sobre a Proteção de Dados (RGPD) entrou em vigor em maio de 2018 e já teve um impacto significativo ao mudar a forma como as pessoas, as empresas e governos valorizam a privacidade dos dados.
A Google (janeiro de 2019) foi a destinatária da primeira grande multa ao abrigo do RGPD (cerca de 50 milhões de Euros) e é de esperar mais multas e penalidades no futuro próximo. Não é só a UE que tem alterado a dinâmica da proteção de dados; nos últimos 12 meses, pelo menos outros dez países se esforçaram por implementar leis semelhantes, incluindo: Brasil (‘GDPL’); Austrália (‘Programa NDB’); e Canadá (‘PIPEDA’). Nos EUA, a Califórnia, muitas vezes vista como pioneira na regulamentação da privacidade de dados, também implementará medidas restritivas semelhantes ao RGPD na sua Lei da Privacidade do Consumidor de 2018, quando esta entrar em vigor em 2020.
O seguro contra ciber‑risco oferece frequentemente cobertura contra multas institucionais, penalidades e investigações, sempre que a lei assim o permita. É provável que a segurabilidade destas multas e penalidades seja estabelecida pelos tribunais. Entretanto,o seguro contra ciber‑risco ajudará as empresas a preparar‑se e a avaliar as suas práticas à luz do novo ambiente regulatório.
A comunicação obrigatória de ataque/fuga deverá afetar a maior parte das empresas em todo o mundo, independentemente da sua localização ou atuação. Contudo, a maior parte das empresas ainda compreende mal o que deve fazer, em caso de ataque/fuga informática: Quem se deve informar? Como se deve informar? A quem se liga? Advogados? Seguradores? Uma empresa de segurança informática? Quer as empresas gostem, quer não, estas são as questões que terão de ser respondidas quando surgirem problemas desta natureza. As empresas prudentes confiarão nos seguradores para as ajudar a dar resposta e também procurar o seu apoio na consciencialização, gestão e transferência de risco.
O seguro contra ciber‑risco oferece frequentemente cobertura contra multas institucionais, penalidades e investigações, sempre que a lei assim o permita. É provável que a segurabilidade destas multas e penalidades seja estabelecida pelos tribunais. Entretanto,o seguro contra ciber‑risco ajudará as empresas a preparar‑se e a avaliar as suas práticas à luz do novo ambiente regulatório.
A comunicação obrigatória de ataque/fuga deverá afetar a maior parte das empresas em todo o mundo, independentemente da sua localização ou atuação. Contudo, a maior parte das empresas ainda compreende mal o que deve fazer, em caso de ataque/fuga informática: Quem se deve informar? Como se deve informar? A quem se liga? Advogados? Seguradores? Uma empresa de segurança informática? Quer as empresas gostem, quer não, estas são as questões que terão de ser respondidas quando surgirem problemas desta natureza. As empresas prudentes confiarão nos seguradores para as ajudar a dar resposta e também procurar o seu apoio na consciencialização, gestão e transferência de risco.
Mais players, mais capacidade, mais cobertura
Quando o nosso CEO, Chris Cotterell, fundou a Safeonline em 1999, era um dos poucos corretores no mundo a vender seguros contra ciber‑risco; e havia menos de cinco seguradores a oferecer produtos ciber. À medida que dependemos mais da tecnologia, tanto em casa como no trabalho, as oportunidades criminosas e as vulnerabilidades que enfrentamos multiplicam‑se.
O mercado segurador respondeu à emergência e crescimento do risco. Assim, existem hoje cerca de 200 players com capacidades neste risco por todo o mundo, incluindo seguradores, sindicatos do Lloyd’s e MGAs; a maior parte dos quais afirma ter "um produto líder de mercado na área ciber”.
Também há mais corretores (desde os que não dominam este tipo de cobertura aos especialistas mais dedicados) do que consigo contar. Nos últimos cinco anos, a concorrência crescente por todo o mundo levou a um mercado soft, originando uma descida dos preços e o alargamento das coberturas. A apólice típica contra ciber‑risco dos dias de hoje é significativamente diferente das que surgiram no final da década de 1990, que se focavam sobretudo na "responsabilidade civil na Internet”. Hoje, as apólices contra ciber‑risco continuam a evoluir quase à mesma velocidade que as ameaças e crimes contra os quais pretendem dar proteção.
Dito isto, a indústria ainda parece indecisa sobre a forma de tratar o "ciber”: produto ou perigo? O que isto significa é que alguns seguradores começam a oferecer coberturas como danos materiais indiretos e lesões corporais nas apólices contra ciber‑risco, sendo tal visto no passado como parte de uma cobertura geral de responsabilidade civil. O mesmo se pode dizer da engenharia social e outros tipos de "crime digital” que também se podem encontrar em certas apólices mais abrangentes de seguros patrimoniais e contra ações criminosas.
Para confundir ainda mais os tomadores de seguro, algumas apólices tradicionais para as empresas oferecem extensões de cobertura de ciber‑risco.
Isto pode causar conflitos com as apólices que garantem exclusivamente o ciber‑risco, causando problemas com as coberturas que têm sublimites, a possibilidade de que existam em simultâneo duas equipas de resposta ao ataque/fuga e de regularização de sinistro a trabalhar no mesmo sinistro e, possivelmente, a ativação da cláusula contratual de coexistência de contratos.
Isto pode causar conflitos com as apólices que garantem exclusivamente o ciber‑risco, causando problemas com as coberturas que têm sublimites, a possibilidade de que existam em simultâneo duas equipas de resposta ao ataque/fuga e de regularização de sinistro a trabalhar no mesmo sinistro e, possivelmente, a ativação da cláusula contratual de coexistência de contratos.
A mensagem para quem pretende contratar ou já contratou um seguro contra ciber‑risco em 2019 e no futuro tem de ser clara. Não se deve deixar de subscrever apólices exclusivamente contra o ciber‑risco por se ter a convicção de existência de cobertura ciber noutra apólice. Muitos dos players que vendem pacotes de seguros terão pouca experiência em lidar com sinistros ciber e podem não ter implementado os serviços de resposta rápida e eficaz que são absolutamente necessários.
Para as empresas que gerem adequadamente os seus riscos, o seguro contra ciber‑risco deve ser visto como uma aquisição obrigatória, especialmente à luz dos riscos crescentes e em evolução, acrescidos da legislação sobre a privacidade e uma cada vez maior disponibilidade de opções de cobertura.
Contudo, o nosso papel como defensores e consultores do cliente é crucial e a mensagem é clara; há que procurar cobertura especializada oferecida por fornecedores especializados por intermédio de
Contudo, o nosso papel como defensores e consultores do cliente é crucial e a mensagem é clara; há que procurar cobertura especializada oferecida por fornecedores especializados por intermédio de
um corretor que compreenda as necessidades do cliente e aquilo que as seguradoras e outras entidades que assumem o risco podem proporcionar.
O papel do corretor no seguro contra ciber‑risco nunca foi tão importante, e o mesmo se pode dizer da mensagem que agora passamos. Se uma empresa tiver presença online, recolher ou processar dados e/ou usar um sistema ou rede para daí obter rendimento, o seguro contra ciber‑risco é absolutamente relevante.
Com a crescente exigência da legislação sobre privacidade por todo o mundo, a evolução contínua do ciber‑risco que ameaça a todos, e com os prémios mais baixos do que nunca, não há altura melhor para as empresas contratarem um seguro contra ciber‑risco.•
