Home > Notícias

Seguro cibernético não substitui segurança

Segurados precisarão mostrar às seguradoras que estão fazendo sua parte para evitar ataques, sob risco de não renovação de apólices

Jeferson Propheta*

30/07/2021 às 21h00

seguro, seguro cibernético
Foto: Shutterstock

O ransomware está se tornando cada vez mais pernicioso -
recentemente, o ataque DarkSide interrompeu o fluxo de um importante
oleoduto dos Estados Unidos. Logo após, outro ataque de ransomware teve
como alvo quatro países conectados com as operações asiáticas de uma
subsidiária global de seguros.

De modo geral, os ataques estão mais frequentes, fazendo com que
as demandas de resgate também aumentem e, consequentemente, levem o setor de
seguro cibernético a uma encruzilhada. Haja vista que agora ele não pode ser
usado pelas vítimas de um ataque de ransomware como um substituto para soluções
e práticas de segurança cibernética inadequadas.

Isso faz com que a próxima geração de soluções de segurança cibernética tenha que atuar contra esses tipos de ataques. Então, os segurados precisarão, mais do que nunca, mostrar às seguradoras que estão fazendo sua parte para evitar tais ataques, sob risco de não renovação de sua apólice.

As seguradoras cibernéticas enfrentaram dificuldades financeiras
substanciais nos últimos dois anos, devido ao aumento significativo nos ataques
de ransomware e ao montante exigido nos resgates, o que gerou mudanças
significativas no mercado de seguros cibernéticos. Por isso, cada vez mais as
organizações que contam com um seguro são exigidas no sentido de garantir as
estratégias e tecnologias de segurança adequadas ao combate das ameaças de
ransomware. Em meio a este cenário, é preciso estar atento à apólice, já que o
seguro privado não preenche a lacuna dos padrões de segurança cibernética.

Outro ponto importante a se destacar é que toda organização tem a
obrigação de tomar medidas razoáveis para proteger seus ativos, já que a mera
transferência do risco de perda devido a uma violação cibernética não alivia
essa obrigação. Da mesma forma, é mandatória a implementação de estratégias
abrangentes de gerenciamento de riscos, que devem incluir a mitigação e a
transferência de riscos, uma vez que ambas são bases críticas para a proteção
da empresa.

As seguradoras cibernéticas estão cada mais diligentes e exigentes
no tocante à transparência dos segurados, fazendo com que estes tomem medidas
razoáveis para se proteger contra uma violação cibernética, como implantação de
antivírus de última geração e detecção e resposta heurística de endpoint (EDR),
bem como a implementação de autenticação multifator (MFA), que possibilitam a
criação de backups regulares e off-line/offsite, corrigindo regularmente
sistemas e softwares críticos, educando seus funcionários sobre riscos
cibernéticos e treinando-os em antecipação a uma violação.

Se uma empresa seguir este script à risca, provavelmente evitará o
pior dos prejuízos causados por pedidos de resgate, que consiste na perda de
propriedade intelectual e /ou informações confidenciais, além da exposição a
litígios de terceiros. No entanto, mesmo com todos esses esforços, é impossível
aliviar todos os riscos cibernéticos. E é aí que o seguro cibernético entra em
cena de forma adequada. É importante sempre ter em mente que ele não se destina
a cobrir a negligência grave de uma empresa por ignorar seu risco cibernético,
mas, sim, para cobrir riscos que existem mesmo depois de feitos esforços
razoáveis para minimizá-los.

Dentro do mercado de seguros, existe um nicho que segue em
constante expansão, o das “insurtechs”, que se dedicam ao mercado cibernético.
Suas apólices são precificadas com base na adoção da tecnologia oferecida pela
empresa que subscreve o risco pelo segurado. Em alguns casos, a insurtech
oferece a sua própria tecnologia e, outras vezes, agrupa o seguro com soluções
de terceiros.

Como alternativa ao agrupamento de uma oferta de cibersegurança em
uma apólice, a maioria das grandes seguradoras cibernéticas oferece a seus
segurados uma lista verificada de produtos e serviços de cibersegurança,
geralmente com descontos prenegociados de preços de “varejo”. Essas seguradoras
dedicaram esforços e investimentos para avaliar e selecionar ofertas que
acreditam reduzir o risco que subscrevem, mas, infelizmente, a taxa de adoção
desses programas é desanimadora - geralmente menos de 3% da carteira de seguro
cibernético.

A falta de sucesso desses programas se deve a uma série de
fatores, entre eles o receio de ser percebido como tendencioso (por “favorecer”
uma solução de segurança cibernética específica) e a incapacidade de incentivar
o mercado de seguros a abraçar e promover esses programas para seus clientes.
Expandindo esse último fator, é absolutamente essencial que o ciberseguro
esteja intimamente ligado à cibersegurança, pois, desta forma, as corretoras de
seguros terão assertividade na condução do relacionamento direto com os
segurados.

O setor de seguros cibernéticos faz progressos na conscientização
sobre os riscos cibernéticos, fornecendo acesso a soluções eficazes e
oferecendo ampla cobertura aos seus segurados. O ano de 2021 será o primeiro em
que empresas despreparadas enfrentarão aumentos significativos de prêmios pela
cobertura que tiveram no ano passado (de 30% a 100%) e, possivelmente, até
mesmo a não renovação. E, pela primeira vez, muitos clientes nem mesmo
receberão uma cotação, a menos que efetivamente demonstrem possuir controles
suficientes implementados.

Seguindo essa projeção, muitas empresas serão obrigadas a fazer
investimentos substanciais em segurança cibernética, o que, esperançosamente,
preencherá a enorme lacuna de comunicação que existe entre muitos CFOs e CISOs.
Esperamos que o setor de seguro cibernético ajude a promover uma abordagem
proativa da segurança cibernética nos próximos anos.

* Jeferson Propheta é country manager da CrowdStrike