Quando contrata um seguro automóvel, fá-lo com a promessa de que terá um bom comportamento. Não espera que a seguradora o indemnize se infringir o limite de velocidade, se nunca mandar verificar os travões ou os pneus ou se deixar o seu orgulho e alegria destrancados durante a noite. Existe um pacto mútuo entre o contratante e a seguradora. O segurado assume a responsabilidade pela segurança do seu automóvel e pelas suas próprias ações e a seguradora indemniza o segurado quando ocorrem acidentes que o segurado não podia ter previsto, evitado ou atenuado.
O mesmo princípio aplica-se ao seguro cibernético. Como qualquer organização, a Check Point Sofware, líder mundial de soluções de cibergurança, também é 100% responsável pela sua própria cibersegurança, e as seguradoras estão para o caso de acontecer o impensável e o imprevisível. Para algumas empresas, especialmente as de pequena e média dimensão, ter um seguro cibernético pode significar a diferença entre manter-se aberto ou falir. Isso reflete-se no crescimento do mercado, com a Munich Re a estimar que os prémios cibernéticos atingirão um valor de 22 mil milhões de dólares até 2025.
No entanto, refere a Check Point, à medida que o volume de ciberataques aumenta, a cobertura de seguro é agora mais difícil de obter. Isto deve-se ao facto de as perdas financeiras resultantes de uma violação se terem tornado desproporcionadas em relação aos prémios cobrados pelas seguradoras.
Dados do IBM Cost of a Data Breach Report 2023, indicam que o custo médio global de uma violação de dados em 2023 foi de 4,45 milhões de dólares, 15% a mais do que em 2020, enquanto a empresa de análise de blockchain Chainalysis descobriu que os atores do ransomware ganharão quase 900 milhões de dólares das vítimas em 2023. Isso é evidente em incidentes recentes de alto perfil, incluindo um ataque de ransomware ao MGM Resorts, que colocou vários sistemas offline em alguns de seus principais locais em Las Vegas e deve custar milhões em remediação. Alguns sugeriram mesmo que pode haver uma ligação causal entre o ransomware e o seguro cibernético, com os atacantes a utilizarem políticas de seguro cibernético exfiltradas para ditarem os seus pedidos de resgate.
Com o aumento dos ciberataques, a importância do seguro cibernético nunca foi tão crítica, para além de garantir uma forte postura de cibersegurança. No entanto, os prémios de seguro continuam a subir e as seguradoras tornaram-se cada vez mais cautelosas quanto aos riscos que assumem.
O mercado dos seguros
No primeiro trimestre de 2023, os prémios de seguro aumentaram 11%. Este aumento dos custos é agravado pelo facto de as seguradoras começarem a questionar se os prémios existentes cobrem adequadamente os riscos associados às ameaças cibernéticas. Em resposta a esta preocupação crescente, as seguradoras estão a tornar mais rigorosas as suas normas de subscrição e a elevar a fasquia dos requisitos mínimos de cibersegurança para os detentores de seguros.
Para compensar os pagamentos, algumas seguradoras tomaram medidas para excluir determinados custos. Por exemplo, refere a Check Point, a Lloyds of London anunciou, no ano passado, que deixaria de incluir os ataques de Estados-nação nas suas políticas de seguro cibernético porque “expõe o mercado a riscos sistémicos que os sindicatos poderiam ter dificuldade em gerir”. Entretanto, na Austrália, o gigante dos seguros Chubb ganhou o seu processo contra a empresa de serviços automóveis Inchcape, que estava a tentar reclamar os custos incorridos com a limpeza e recuperação de um ataque de ransomware. O tribunal considerou que se tratava de uma perda financeira indireta, pelo que não estava coberta pela política.
Pode perguntar-se então o que é que o seu seguro cibernético cobre, refere a Check Point. Receberia uma indemnização por perdas resultantes do facto de um empregado ter clicado numa mensagem de correio eletrónico de phishing? O seu fornecedor honraria um pagamento se pagasse voluntariamente um pedido de ransomware? Esta questão pode tornar-se problemática quando países como a Austrália e os Estados Unidos estiverem a considerar a proibição de pagamentos de ransomware.
É comum que uma política de seguro cibernético cubra principalmente os custos de resposta a incidentes (IR), investigação forense e recuperação associados a um ataque. A maioria das empresas aceita fazer um seguro nesta base, uma vez que o custo dessa investigação pode afetar negativamente o fluxo de caixa, sabendo que o custo de uma violação de dados seria ainda maior. No entanto, muitas não consideraram o impacto financeiro real, como a perda de quota de mercado e a influência que isso tem no preço das ações.
Quando uma companhia de seguros cibernéticos cobre a investigação e a recuperação na sequência de um ataque, pode trazer as suas equipas jurídicas e de IR aprovadas, que estão lá especificamente para determinar se algum dos riscos pode ser coberto, e o custo disso. Não estão a tentar realizar o IR de forma a abranger todos os potenciais riscos comerciais acima mencionados.
Há também um aumento das penalizações por violações de dados, o que pode levar algumas organizações a procurar imediatamente um seguro cibernético para tentar ajudar a cobrir esses custos. No entanto, é improvável que qualquer seguradora inclua essas coimas. Isto estará no domínio do aconselhamento jurídico e das sociedades de advogados, o que significa que o IR e a investigação terão de ser rápidos e precisos, e as conclusões terão de ser justificáveis numa audiência legal.
Medidas preventivas de cibersegurança
Os pormenores sobre o que está e o que não está coberto por uma política dependerão em grande medida da seguradora, mas, de um modo geral, deve esperar que os subscritores analisem minuciosamente as suas práticas de segurança. Eles precisam de confirmar que implementou medidas preventivas para reduzir o risco e impedir que um ataque aconteça em primeiro lugar. Verificarão tudo, desde a segurança do correio eletrónico, o estado da autenticação multifator e os procedimentos de cópia de segurança até aos pontos terminais, encriptação, firewalls e sensibilização dos utilizadores.
A Check Point dá como exemplo um caso de um cliente do setor dos serviços financeiros que se viu confrontado com enormes prémios de seguro e apenas duas ofertas de renovação em cima da mesa. Depois de implementar o serviço de Deteção e Resposta Gerida com Resposta a Incidentes da Check Point Infinity Global Services, a instituição recebeu seis ofertas competitivas e conseguiu reduzir os prémios até 80% em comparação com o ano anterior. Isto deveu-se à sua capacidade de ativar a resposta a incidentes e realizar investigações exaustivas antes de recorrer a pedidos de indemnização. Este nível de controlo permitiu-lhes tomar decisões informadas, reduzindo as ativações desnecessárias de seguros e os custos associados.
O seguro cibernético e a segurança cibernética
A viabilidade a longo prazo do seguro cibernético ainda está em debate, mas a Check Point indica que a prevenção é a forma mais eficaz de demonstrar a seriedade com que se encara a segurança quando se trata de evitar ciberataques. As empresas precisam de aumentar o seu leque de opções de defesa para complementar e não depender do seguro cibernético para sobreviver a estes incidentes. Na realidade, o melhor seguro que tem é ser mais pró-ativo na implementação de ferramentas, processos e pessoas para fazer tudo o que estiver ao seu alcance para evitar um ataque.