Cibersegurança avança ao topo das corporações

Fonte: Valor Econômico
Por Denise Bueno | De São Paulo

A cibersegurança chegou ao topo das corporações. Antes um tema debatido apenas com os profissionais de tecnologia das empresas, agora é pauta de reuniões demandadas pelos CEOs e membros dos conselhos de administração de grandes grupos, conta a especialista em riscos cibernéticos da corretora JLT, Marta Helena Schuh: "A demanda pelo produto aumentou 100% neste ano".

O tema passou de urgente para urgentíssimo diante de vários ataques divulgados na grande mídia neste ano. O principal deles foi em 12 de maio, com o "wannacry", que afetou cerca de 200 mil computadores em 150 países, paralisando o serviço de saúde britânico e a montadora francesa Renault, entre outros. No Brasil, servidores públicos e empresas de telecomunicações também foram violados, como o Tribunal de Justiça de São Paulo, o Ministério Público e o INSS. Os autores exigiam resgate em bitcoin para desbloquear os dispositivos contaminados.

Em setembro, o ataque foi na Equifax. A empresa de gestão de crédito dos Estados Unidos informou que hackers tiveram acesso a alguns de seus sistemas, comprometendo a informação pessoal de cerca de 143 milhões de consumidores. "Esse foi um dos maiores e mais ameaçadores ataques contra dados nos últimos anos", comenta Angelo Colombo, CEO da AGCS, companhia de grandes riscos do grupo Allianz.

As corretoras e seguradoras ainda não transformaram as consultas em negócios. Dados não oficiais revelam que há cerca de 50 apólices vendidas no País. Apesar de o Brasil estar entre as sete economias com maiores despesas de crimes cibernéticos, atrás de países como Estados Unidos, Alemanha e China, e a demanda ter dobrado nesses últimos anos, a contratação de seguros ainda esbarra numa questão cultural, que é a falta de informação e a percepção de que esse tipo de seguro é muito caro, diz Thiago Tristão, diretor da corretora MDS Brasil para o Rio de Janeiro e Nordeste.

A percepção é de que o seguro é caro e a cobertura limitada, afirma Dennys Zimmermann, sócio da Fábio Torres & Associados, em recente palestra sobre o tema. A perspectiva é de que o aumento da concorrência pode ajudar a resolver esse problema. A AIG foi a pioneira do Brasil, seguida pela XL Catlin, que dominaram as vendas até o ano passado. Neste ano, duas novas lançaram seus produtos, Generali e Zurich. A estreia da Chubb está prevista para este ano ainda.

Duas coisas motivam a entrada de novos players: a regulação europeia que passa a valer em 2018 e a prioridade dada por grandes grupos ao tema no orçamento do próximo ano para o seguro. A Europa já tem uma legislação desenvolvida que está sendo aperfeiçoada para entrar em vigor a partir de janeiro. Isso terá reflexos no Brasil, uma vez que as empresas europeias instaladas aqui precisarão comprar uma apólice local para fazer frente ao programa mundial.

"A lei europeia determina que todas as unidades do grupo tenham proteção, pois um ataque cibernético pode afetar o mundo todo", diz Fernando Chacon, especialista da Zurich, que acaba de lançar o produto no Brasil após oito anos de atuação no mercado europeu e americano.

"Neste ano, estamos provisionando recursos para a compra de seguro cibernético em 2018", conta Cláudia Oliveira, responsável por seguros na Mercedes-Benz. O grupo tem uma apólice mundial que não incluía o Brasil. "Agora a unidade local terá uma apólice para proteger o banco, a corretora e a fábrica no caso de alguma das unidades sofrerem ataques de hackers, que causem danos ao grupo ou a terceiros", explica a corretora que participa dos debates sobre gestão de risco na Associação Brasileira de Gerenciamento de Riscos (ABGR).

Os Estados Unidos têm uma regulamentação bem definida e isso ajudou a desenvolver o mercado de seguro cibernético em todo o mundo, tornando claras as responsabilidades das empresas em caso de vazamento de dados de seus clientes.

A National Association of Insurance Commissioners (NAIC), organização de apoio normativo e regulamentar dos EUA, determina que as apólices devem ofertar cobertura para roubo de identidade como resultado de violações de segurança em que as informações confidenciais são capturadas por um hacker ou divulgadas inadvertidamente, incluindo elementos de dados como números da segurança social, de cartão de crédito, de identificação do funcionário, dos motoristas e datas de nascimento.

Também é obrigatória cobertura para interrupção do negócio por um hacker ao desligar a rede de computadores; dano à reputação da empresa; custos associados a danos nos registros de dados causados por um hacker; roubo de ativos digitais valiosos, incluindo lista de clientes, segredos de negócios comerciais e outros ativos similares de negócios eletrônicos; e introdução de malware, worms e outros códigos maliciosos.

O erro humano, que leva à divulgação inadvertida de informações confidenciais, como um e-mail para destinatários não intencionais e que contenham informações comerciais sensíveis ou de identificação pessoal, também é uma cobertura incluída no seguro de proteção cibernética. "O custo dos serviços de monitoramento de crédito para pessoas afetadas por uma violação de segurança e ações alegando violação de marca ou copyright, bem como despesa com custo de investigação forense, também fazem parte do seguro", lembra Colombo.