Os ataques cibernéticos a empresas de todo o mundo estão cada vez mais caros. Um recente relatório divulgado pela IBM Security aponta que o custo médio de uma violação de dados em 2023 pode chegar a US$ 4,45 milhões (mais de R$ 22 milhões).
Para além do risco significativo aos negócios, da reputação ao financeiro, os custos da invasão aos sistemas podem ser repassados aos consumidores, o que afeta toda a sociedade.
“Uma tendência preocupante e destacada no relatório da IBM é que a maioria das empresas estão repassando os prejuízos das violações para os consumidores, em vez de aumentar os investimentos em segurança. Isso sugere uma abordagem reativa em vez de proativa por parte das organizações, o que pode ser insuficiente para proteger adequadamente os dados dos clientes e evitar violações futuras”, comenta Antonielle Freitas, DPO (Data Protection Officer) do escritório Viseu Advogados.
Freitas comenta ainda que a crescente influência da inteligência artificial e da automação implementadas pelas empresas vem conseguindo reduzir o ciclo de vida das violações e os custos associados. “É evidente que investir em tecnologias avançadas de segurança cibernética pode ser uma estratégia eficaz para lidar com as crescentes ameaças cibernéticas”, acentua a DPO.
O seguro é outra ferramenta que tem sido adotada pelas empresas para lidar com as ameaças cibernéticas – como roubo ou vazamento de dados. Segundo levantamento da Susep (Superintendência de Seguros Privados), órgão regulador deste mercado, os seguros contra riscos cibernéticos arrecadaram em prêmios (valor pago para ter direito à cobertura contratada da seguradora) uma quantia de R$ 98,12 milhões no primeiro semestre de 2023, cifra 27,2% superior ao mesmo período do ano passado.
De acordo com a Susep, o segmento apresenta “constante crescimento”. Prova disso é que a arrecadação do ramo, de janeiro a junho de 2023, chega a ser onze vezes superior ao total registrado no mesmo período de 2019.
“Há alguns riscos e interesses seguráveis que possuem nítida relação com a tecnologia, para os quais devem-se desenvolver percepções e coberturas adequadas, como os riscos cibernéticos que podem ter dimensões junto à privacidade ou às próprias infraestruturas econômicas críticas do país”, comentou Alessandro Octaviani, superintendente da Susep sobre os dados do seguro cibernético.
Para Octaviani, o órgão continuará a criar normas adequadas “para lidar com os riscos derivados de inovação tecnológica, contribuindo com o desenvolvimento dessa linha de negócio”, complementou.
Na avaliação de João Fontes, coordenador da subcomissão de Linhas Financeiras da FenSeg (Federação Nacional de Seguros Gerais), representante das seguradoras que operam no ramo, empresas de todos os tamanhos acabam tendo algum nível de preocupação com a cibersegurança do negócio por conta de:
Adequação a questões regulatórias, como a LGPD (Lei Geral de Proteção de Dados Pessoais), que regula as atividades de tratamento de dados pessoais;
Receio de uma invasão, que impeça a realização de suas atividades, como vendas, impactando diretamente seu lucro;
Gasto com notificação e monitoramento devido a vazamento de dados de terceiros (clientes ou até funcionários).
“O grande aumento da sinistralidade [relação entre o custo para acionar o seguro e o valor pago pelo segurado] nos anos 2020 e 2021 levou a um aumento da procura pelo produto. Esse é um ponto bem importante. E lembrando que seguro é uma ferramenta que vai ajudar na mitigação do risco, porque [o segurado pode] transferir parte do risco, mas nunca sua totalidade”, explica Fontes.
O executivo avalia que desde o primeiro seguro cibernético lançado no país, em 2012, voltado para Pessoas Jurídicas, vem crescendo o interesse dos empresários brasileiros em buscar proteção para os riscos envolvidos no funcionamento dos negócios, bem como por seguradoras que ofereçam coberturas a esse público. Em 2022, haviam nove companhias operando no ramo, enquanto no início de 2023 a Susep aponta 11 players – ou seja, ressalta Fontes, duas a mais.
Segundo os especialistas em riscos cibernéticos consultados pelo InfoMoney, de forma geral, as coberturas cibernéticas disponíveis hoje no mercado segurador brasileiro atendem o cliente PJ de diferentes portes e segmentos nos casos de incidentes cibernéticos, como ataques de hackers, roubo de dados e interrupção de serviços. “São produtos que hoje conseguem amparar empresas com faturamento entre R$ 10 mil e R$ 150 milhões/ano com coberturas que variam entre R$ 5 milhões e R$ 10 milhões”, exemplifica André Oliveira, assessor da Camillo Seguros.
Ele explica que o seguro cibernético pode ser utilizado em 2 momentos após a identificação do problema:
O primeiro é quando ocorre a violação e o esforço é auxiliar na resposta ao incidente de segurança da informação, que pode ser um ataque de ransonware (software de extorsão que bloqueia acesso ao sistema e exige um resgate para desbloqueá-lo) ou o vazamento dos dados de terceiros, como um banco de dados de clientes. Nesse caso, a seguradora disponibiliza um suporte com especialistas para “estancar” o problema e avaliar a extensão dos danos, podendo resultar em indenização que cubra os valores gastos com despesas legais com advogados, notificação de violação de dados, de recuperação de dados e interrupção de negócios. O segundo momento de atuação do seguro cibernético é quando ocorre a reclamação de terceiros que foram comprovadamente prejudicados com o vazamento dos dados no incidente vivido pela empresa. Aqui, o seguro provê à empresa segurada, que contratou a cobertura de responsabilidade civil por danos causados a terceiros, o valor desembolsado para ressarcir quem foi prejudicado.
De acordo com os especialistas consultados, as grandes empresas ainda são os principais compradores do seguro cibernético hoje, até por contarem com orçamento maior e departamentos especializados em gerenciamento de riscos – o que não as isenta dos riscos que são crescentes.
Uma pesquisa da consultoria EY, divulgada este mês, que ouviu 500 empresas de diferentes regiões do mundo com faturamento superior a US$1 bilhão ao ano, apontou que 32% dos respondentes sofreram 50 incidentes de segurança cibernética ou mais em 2022. Isso representa uma alta de 75% no aumento ataques conhecidos nos últimos cinco anos.
Para Demetrio Carrión, sócio-líder de Cybersecurity da EY para LAS & Brasil, “um dado bastante relevante que a pesquisa traz é que 76% dos entrevistados globais levam seis meses ou mais para detectar e responder a um incidente. Isso indica que, independentemente da região geográfica, o mercado ainda tem muito a evoluir para conseguir mitigar esses problemas”.
Pequenos e médios negócios
Se as grandes empresas globais podem ter dificuldades para lidar com o risco cibernético, como ficam os pequenos e médios empresários, que são a maioria no país?
Um levantamento realizado em março deste ano pela seguradora Akad fornece uma amostra do cenário atual: sete em cada dez PMEs (pequenas e médias empresas) que fizeram a cotação do novo seguro de proteção cibernética acabaram reprovadas no teste obrigatório de vulnerabilidade da seguradora.
Os principais problemas encontrados foram:
falhas de segurança críticas ou graves nos sistemas;
falta de controle sobre atualizações de software;
e descuido com ‘portas de acesso’ e credenciais vazadas.
A seguradora compartilha o teste de vulnerabilidade a todas as empresas que buscam a cotação e as que são reprovadas recebem recomendações de quais práticas adotar e só podem voltar a fazer uma nova cotação após melhorarem a maturidade de proteção a riscos cibernéticos.
Isso pode exigir:
contratação de backups mais confiáveis;
adoção de senhas fortes para acesso à rede;
e uso de softwares originais atualizados.
“A intenção do nosso produto é educar o cliente e informar que o risco de um crime cibernético está mais próximo do que se imagina”, esclarece a head de Cyber da Akad, Mariana Bruno.
Na avaliação de Oliveira, falta ao pequeno empresário entender o risco ao qual ele está exposto. Para ele, nem mesmo a primeira multa gerada a uma empresa brasileira por desrespeito à LGPD pode mudar essa compreensão das PME no curto prazo.
“Acho que o impacto é perto de zero porque o empresário sequer sabe o que é LGPD. É diferente se a lei tivesse sido muito bem explicada nesse período de três anos em que ela foi implementada”, observa. Vale lembrar que as punições financeiras por descumprimento à LGPD vão de multa simples de até 2% do faturamento da empresa.
As grandes ajudam as pequenas
Essa situação pode mudar com o “incentivo” dado pelas grandes empresas. Segundo Eduardo Bezerra, head de Cyber Insurance na corretora Wiz Co, as empresas de pequeno porte, que faturam até R$ 10 milhões por ano, têm sido obrigadas a contratar o seguro cyber por exigência das médias e grandes empresas com as quais mantêm a prestação de serviço.
A proteção garante que, caso sofra um ataque cibernético seguido de vazamento de dados, a companhia será responsabilizada e terá condições financeiras de responder a esse incidente.
Bezerra cita, por exemplo, o caso da Atento, prestadora de serviços de telemarketing, que sofreu um ataque hacker em 2021 e arcou com um prejuízo estimado em cerca de R$ 240 milhões.
“A Atento sofreu um cyber ataque, porém a rede dela estava conectada à rede de bancos [clientes], e o que que aconteceu? Esse ataque automaticamente tentou ir para a rede de cada um desses bancos que tinha conexão com Atento. Como os bancos têm um nível de maturidade de segurança muito grande, a maioria deles conseguiu interromper e cortar a operação com a Atento para que o ataque não conseguisse acessar seus sistemas. Já parou para pensar o quanto isso impactou financeiramente esses bancos? Eles têm contratos de SLA [que estabelecem regras para a qualidade do atendimento, como o prazo de resposta]”, ressalta o executivo da Wiz Co.
Segundo Bezerra, a corretora vem registrando aumento no interesse das pequenas e médias empresas que buscam adquirir o seguro cibernético. Ele conta de uma apólice contratada recentemente por um empresário dono de três concessionárias de veículos multimarcas que sofreu um ataque de ransonware. “Ele ficou simplesmente de mãos atadas, não conseguia faturar, não conseguia vender, não conseguia ter histórico de nada e ele pagou o equivalente a R$ 750 mil para ter acesso às informações de volta”, diz. De acordo com Bezerra, o risco do empresário foi aceito pela seguradora após o reforço na segurança cibernética do negócio.
Embora o seguro cibernético seja uma opção importante para mitigar os riscos, outras medidas tecnológicas podem ajudar as organizações a aumentar sua segurança e reduzir os custos associados ao seguro. O diretor de Infraestrutura e Segurança da Confirp Contabilidade, Júlio Rodrigues, elenca 7:
Estabelecer regras claras de segurança é o primeiro passo para proteger os ativos digitais, o que inclui a criação de senhas fortes e únicas, a atualização regular de senhas, a implementação de políticas de acesso restrito e a conscientização dos funcionários sobre boas práticas de segurança;
Hospedar seus servidores na nuvem, em um datacenter confiável, pode trazer diversos benefícios em termos de segurança, como controle de acesso rigoroso, monitoramento 24/7 e criptografia de dados;
Certificar-se de utilizar um antivírus confiável e robusto, mantendo-o atualizado, além de realizar verificações regulares em seus sistemas para identificar e eliminar possíveis ameaças;
Utilizar softwares operacionais legalizados não apenas garante o cumprimento das leis de direitos autorais, mas também oferece proteção própria. Esses softwares geralmente são acompanhados de atualizações de segurança regulares, corrigindo vulnerabilidades conhecidas e reduzindo os riscos de exploração por hackers;
Redes físicas e Wi-Fi são pontos de acesso críticos para a empresa, por isso é essencial implementar boas práticas, como o uso de criptografia nas redes Wi-Fi, que devem ser isoladas ou segmentadas da rede física para limitar o acesso a áreas sensíveis e o uso de firewalls para monitorar e controlar o tráfego de dados na rede;
Ter um plano detalhado para detectar, responder e conter incidentes de segurança da informação é fundamental para minimizar o impacto e a propagação de uma violação de dados;
Ter um plano de recuperação de desastres e um sistema de backup garante a continuidade dos negócios em caso de interrupções graves. Isso inclui a realização regular de backups de dados críticos e a verificação da integridade e da capacidade de restauração desses backups.
Fonte: InfoMoney – Online