Ciberataques impulsionam novo modelo de seguro

Fonte: Valor Econômico

Por Oliver Ralph | Financial Times
Reuters

Clientes nos EUA que pensam em fazer ciberseguro há anos, agora buscam seguradoras para adquirir o serviço
Num momento em que a devastação causada pelo ataque do "ransomware" WannaCry da semana passada começa a perder força, as ciberseguradoras mundiais despontam como beneficiárias inesperadas da corrida para se prevenir contra ocorrências futuras.

As seguradoras começaram nesta semana a avaliar o custo do ataque, que atingiu mais de 200 mil computadores em 150 países. Está ficando claro, no entanto, que o WannaCry pode não ter saído tão caro como muitos temiam. E felizmente, pelo menos para o setor, o software nocivo está impulsionando um grande crescimento da demanda por ciberseguro.

"Este é um momento determinante para o desenvolvimento do mercado de ciberseguro", diz Rick Welsh, CEO da empresa de análise de dados de seguros Sciemus.

Um ataque em escala mundial que atinja governos e empresas é coisa sobre a qual os executivos de seguros têm advertido há anos, e muitos acreditam que a recente ocorrência vai deixar clara a necessidade de ciberproteção.

O mercado gera cerca de US$ 3 bilhões a US$ 4 bilhões em prêmios anualmente, mas a Allianz prevê que esse valor alcance US$ 20 bilhões até 2025, o que transforma o segmento em um dos que crescem mais rapidamente no setor.

O WannaCry poderá acelerá-lo ainda mais. Sarah Stephens, diretora de espaço virtual da corretora de seguros JLT, diz que a demanda já está aumentando: "Tivemos telefonemas de clientes que pensam em ciberseguro há anos, mas que querem adquiri-lo agora".

O total da conta gerada pelo WannaCry ainda é desconhecido. Especialistas dizem que serão necessárias várias semanas para calculá-lo, enquanto as seguradoras e seus clientes regateiam em torno dos termos da apólice.

Mas dois fatores operam em favor das seguradoras. O primeiro é o lugar em que ocorreu o sinistro. O WannaCry afetou empresas em todo o mundo, mas a Ásia e a Europa foram as mais gravemente atingidas. A propagação do vírus parou antes de ele tomar conta dos Estados Unidos, onde muito mais empresas tinham comprado seguros. "As empresas europeias foram mais lentas em adquirir ciberseguro", diz Paul Bantick, da seguradora Beazley. "A demanda nos EUA foi puxada por regulamentações sobre a divulgação [de ciberataques], e houve muitos vazamentos de dados ruidosos na imprensa."

O segundo é o tamanho da demanda por seguro contra "ransomware", o software nocivo que exige pagamento de resgate para desbloquear os dados apreendidos. O WannaCry pedia entre US$ 300 e US$ 600. É pouco provável que as vítimas que pagaram possam pedir indenização para essa dimensão de prejuízo.

O que poderia ser bem mais caro para o setor são os efeitos adversos mais amplos sobre as empresas. Tom Reagan, diretor do escritório de espaço virtual da corretora de seguros Marsh, diz: "Há potencial para pedidos de indenização significativos. A demanda pelo 'ransom' em si é pequena, mas há muitos relatos de suspensão de operações neste período em que as empresas fazem o saneamento e põem seus sistemas em funcionamento de novo. Isso será muito significativo para alguns clientes". Mas nem todas as apólices de ciberseguro cobrem esse tipo de interrupção de atividade comercial.

Nigel Brook, um dos sócios do escritório de advocacia Clyde & Co., diz que as seguradoras devem ser capazes de administrar o custo total do WannaCry. "Poderia ter sido muito pior, mas é um indício do que poderá vir", diz ele. "Não é nenhuma catástrofe."

Os maiores pedidos de indenização por sinistro virtual vieram, até agora, do setor de varejo dos EUA. De acordo com a NetDiligence, que analisa os pedidos de indenização desse segmento, o vazamento de dados da Target de 2013 envolveu US$ 250 milhões em custos. Mas as pessoas do setor dizem que o pedido de indenização da Target - embora o mais elevado já feito por um ciberataque - abrangeu menos de metade desse valor.

Já se previa que a demanda por ciberproteção na Europa seria impulsionada pela regulamentação geral de proteção de dados (GDPR, nas iniciais em inglês), da União Europeia (UE), que entrará em vigor no ano que vem. Ela vai impor duras penalidades às empresas que sofrem um vazamento de dados. "Sempre se previu que 2017 seria um ano transformador para o ciberseguro, devido ao crescimento da maré de ataques e à iminência do GDPR", diz Brook.

Welsh argumenta que o WannaCry vai obrigar as empresas a avaliar muito mais atentamente sua vulnerabilidade a um ataque e o seguro necessário para cobri-lo.

A grande mudança, dizem pessoas do setor, é a de que o WannaCry pode gerar demanda da parte de uma nova faixa de empresas. Tradicionalmente, o ciberseguro é adquirido pelas que se preocupam com a perda de dados de clientes - bancos e varejistas, por exemplo. O WannaCry afetou uma amplitude de empresas muito maior.

"Isso vai deixar muitos clientes muito nervosos", diz Reagan. "Fabricantes da indústria de transformação e a indústria pesada estão tendo suas operações suspensas. As seguradoras verão isso como oportunidade de mercado."

Ao contrário dos seguros de automóveis ou de residências, o espaço virtual não é um produto padronizado com um conjunto de características básicas que atendem a todos. Cada ciberseguro de empresa será diferente.

O mercado, no momento, está dominado por apólices de vazamento de dados. "A ciberapólice mais comum paga por gastos de crise com especialistas, despesas de notificação [a clientes] e ajuda em relações públicas. Pode pagar também por pessoas que ajudam a decidir se um ransom deveria ser pago", diz Sarah, da corretora JLT.

As ofertas de cobertura estão crescendo, no entanto, principalmente quando se trata de qualquer perda de receita potencial.

O Bantick, da Beazley, diz que grandes empresas mundiais estão tentando adquirir cobertura mais holística, que inclui vazamento de dados, interrupção de atividade comercial e prejuízos imobiliários.

Uma das áreas raramente cobertas é o prejuízo que o ataque pode causar à reputação da empresa. As seguradoras dizem que reputação é difícil de medir e, portanto, difícil de assegurar.