Muito tem se falado sobre riscos cibernéticos ao longo dos últimos anos. De comprometimento de rede à segurança da informação e dados, parece que em algum ponto todos os integrantes da sociedade se envolvem no debate a respeito do tema. Vimos Estados trazendo o tema à tona como foi o caso da Europa com o GDPR, da Califórnia com a nova lei estadual para proteção de dados ou mesmo o nosso Brasil que, contra todas as expectativas, aprovou a sua própria Lei Geral de Proteção de Dados – foi inclusive por conta dessa aprovação que a Aon percebeu a aumento em 115% na busca pelo seguro de riscos cibernéticos, e um aumento de 50% no volume de contratações.
Vimos empresas contratando hackers para entender melhor o assunto, além de implementar cada vez mais o uso de dados em seus modelos de negócio. Percebemos usuários/consumidores, donos dos dados, se conscientizando a respeito do valor de suas informações. Estamos vendo a 4ª revolução industrial, onde dizemos que a economia é baseada em dados. Mesmo quando falamos especificamente sob a ótica dos riscos, essa tendência global fica clara, basta olhar a Pesquisa Global em Gerenciamento de Riscos da Aon, onde crimes cibernéticos foram eleitos a 5ª maior preocupação dos empresários que analisam formas de mitigação e gestão dos riscos de suas empresas, superando a 9ª colocação da pesquisa anterior.
Assim como tantos outros riscos com os quais as empresas têm que conviver, o risco cibernético também precisa ser endereçado. Como já dissemos anteriormente, a maneira mais eficaz de se tratar uma ameaça tão dinâmica quanto essa é tratá-la de forma ativa e multidisciplinar, ou seja, constantemente atuar no assunto, se atualizando e comunicando.
Os gerenciadores de risco e os seguros são velhos conhecidos. Há anos esses profissionais vêm se valendo de instrumentos financeiros para garantir maior resiliência para a empresa, reduzir gastos com reservas, aumentar o grau de confiança dos investidores etc. Porém, eles não contavam com o fato de que a tecnologia eventualmente superaria as barreiras digitais e migraria definitivamente para o mundo físico – abrangendo interrupção de negócios, implicando no gasto de fees advocatícios, chegando até mesmo a comprometer a marca – os faria revisar todo o seu programa de gerenciamento de risco por meio de seguros. Isso por conta dos diversos desdobramentos possíveis de um ataque cibernético.
Imagine uma empresa que possua uma hidrelétrica ultramoderna, que forneça energia para milhares de pessoas e empresas, onde toda a operação é gerenciada, coordenada e controlada por um sistema computadorizado. Pense que, de alguma forma, esse sistema é burlado e invadido e, a partir desse momento, o hacker consegue controlar toda a operação da hidrelétrica, inclusive o sistema de trava de suas comportas. Apenas para mostrar que pode, o invasor resolve abrir as comportas e acaba causando danos materiais e físicos irreparáveis. Diante do exposto, pergunto: as apólices de propriedade ou responsabilidade civil geral da companhia cobririam os danos causados pela abertura das comportas? – já que na apólice de Cyber esse nível de desdobramento não é coberto. Afinal, a apólice tenta evitar que a catástrofe tome essa proporção.
A resposta é: não sei. Não existe uma definição clara, nestas ou em tantos outros tipos de apólices, quanto a prejuízos decorrentes de um ataque cibernético. A falta de uma definição, ou mesmo da existência de um termo próprio, pode comprometer a análise de uma situação e o recebimento da indenização.
As apólices hoje existentes dificilmente tratam de riscos cibernéticos, algo que deve mudar nos próximos meses. Se não excluídos, os desdobramentos dos riscos cibernéticos com certeza serão tratados de forma específica.
Em um primeiro momento, a apólice de riscos cibernéticos poderia cobrir os custos incorridos para se tratar e reverter o ataque cibernético por meio de todas as possíveis coberturas já conhecidas. Toda via, sua extensão não abrange uma série de desdobramentos possíveis, o que obriga os gerenciadores de risco a revisar o programa de seguros desenhado para contemplar possíveis desdobramentos dos riscos cibernéticos.
A Aon explora o Silent Cyber com mais profundidade em uma análise, prática e técnica, que aborda os possíveis equívocos inerentes ao tema.
Durante algumas conversas com profissionais da área, quando questionados sobre como se dá o processo de compreensão do risco cibernético por uma apólice que não só a de Cyber, as reflexões quase sempre trazem que, apesar da difícil negociação devido à falta de expertise no mercado, foi possível aprender muito sobre o assunto. A resolução dos problemas partiu do próprio estudo de caso oriundo da solicitação feita pelo cliente para que seu silent cyber fosse endereçado.
Os debates permitiram discutir a abrangência dos danos causados por um ataque cibernético àquela empresa. Consequentemente, o objetivo foi pleitear a cobertura necessária para transferir uma fatia adicional de risco, ainda que não na totalidade desejada.
Em conclusão, é preciso revisitar os programas de seguro no intuito de endereçar apropriadamente às exposições. Num universo onde o risco tem mudado seu perfil a passos largos e o mercado tem batalhado para acompanhar essas mudanças, toda a atenção e cautela são necessárias.