Seguro cibernético não substitui segurança

O ransomware está se tornando cada vez mais pernicioso – recentemente, o ataque DarkSide interrompeu o fluxo de um importante oleoduto dos Estados Unidos. Logo após, outro ataque de ransomware teve como alvo quatro países conectados com as operações asiáticas de uma subsidiária global de seguros.

De modo geral, os ataques estão mais frequentes, fazendo com que as demandas de resgate também aumentem e, consequentemente, levem o setor de seguro cibernético a uma encruzilhada. Haja vista que agora ele não pode ser usado pelas vítimas de um ataque de ransomware como um substituto para soluções e práticas de segurança cibernética inadequadas.

Isso faz com que a próxima geração de soluções de segurança cibernética tenha que atuar contra esses tipos de ataques. Então, os segurados precisarão, mais do que nunca, mostrar às seguradoras que estão fazendo sua parte para evitar tais ataques, sob risco de não renovação de sua apólice.

As seguradoras cibernéticas enfrentaram dificuldades financeiras substanciais nos últimos dois anos, devido ao aumento significativo nos ataques de ransomware e ao montante exigido nos resgates, o que gerou mudanças significativas no mercado de seguros cibernéticos. Por isso, cada vez mais as organizações que contam com um seguro são exigidas no sentido de garantir as estratégias e tecnologias de segurança adequadas ao combate das ameaças de ransomware. Em meio a este cenário, é preciso estar atento à apólice, já que o seguro privado não preenche a lacuna dos padrões de segurança cibernética.

Outro ponto importante a se destacar é que toda organização tem a obrigação de tomar medidas razoáveis para proteger seus ativos, já que a mera transferência do risco de perda devido a uma violação cibernética não alivia essa obrigação. Da mesma forma, é mandatória a implementação de estratégias abrangentes de gerenciamento de riscos, que devem incluir a mitigação e a transferência de riscos, uma vez que ambas são bases críticas para a proteção da empresa.

As seguradoras cibernéticas estão cada mais diligentes e exigentes no tocante à transparência dos segurados, fazendo com que estes tomem medidas razoáveis para se proteger contra uma violação cibernética, como implantação de antivírus de última geração e detecção e resposta heurística de endpoint (EDR), bem como a implementação de autenticação multifator (MFA), que possibilitam a criação de backups regulares e off-line/offsite, corrigindo regularmente sistemas e softwares críticos, educando seus funcionários sobre riscos cibernéticos e treinando-os em antecipação a uma violação.

Se uma empresa seguir este script à risca, provavelmente evitará o pior dos prejuízos causados por pedidos de resgate, que consiste na perda de propriedade intelectual e /ou informações confidenciais, além da exposição a litígios de terceiros. No entanto, mesmo com todos esses esforços, é impossível aliviar todos os riscos cibernéticos. E é aí que o seguro cibernético entra em cena de forma adequada. É importante sempre ter em mente que ele não se destina a cobrir a negligência grave de uma empresa por ignorar seu risco cibernético, mas, sim, para cobrir riscos que existem mesmo depois de feitos esforços razoáveis para minimizá-los.

Dentro do mercado de seguros, existe um nicho que segue em constante expansão, o das “insurtechs”, que se dedicam ao mercado cibernético. Suas apólices são precificadas com base na adoção da tecnologia oferecida pela empresa que subscreve o risco pelo segurado. Em alguns casos, a insurtech oferece a sua própria tecnologia e, outras vezes, agrupa o seguro com soluções de terceiros.

Como alternativa ao agrupamento de uma oferta de cibersegurança em uma apólice, a maioria das grandes seguradoras cibernéticas oferece a seus segurados uma lista verificada de produtos e serviços de cibersegurança, geralmente com descontos prenegociados de preços de “varejo”. Essas seguradoras dedicaram esforços e investimentos para avaliar e selecionar ofertas que acreditam reduzir o risco que subscrevem, mas, infelizmente, a taxa de adoção desses programas é desanimadora – geralmente menos de 3% da carteira de seguro cibernético.

A falta de sucesso desses programas se deve a uma série de fatores, entre eles o receio de ser percebido como tendencioso (por “favorecer” uma solução de segurança cibernética específica) e a incapacidade de incentivar o mercado de seguros a abraçar e promover esses programas para seus clientes. Expandindo esse último fator, é absolutamente essencial que o ciberseguro esteja intimamente ligado à cibersegurança, pois, desta forma, as corretoras de seguros terão assertividade na condução do relacionamento direto com os segurados.

O setor de seguros cibernéticos faz progressos na conscientização sobre os riscos cibernéticos, fornecendo acesso a soluções eficazes e oferecendo ampla cobertura aos seus segurados. O ano de 2021 será o primeiro em que empresas despreparadas enfrentarão aumentos significativos de prêmios pela cobertura que tiveram no ano passado (de 30% a 100%) e, possivelmente, até mesmo a não renovação. E, pela primeira vez, muitos clientes nem mesmo receberão uma cotação, a menos que efetivamente demonstrem possuir controles suficientes implementados.

Seguindo essa projeção, muitas empresas serão obrigadas a fazer investimentos substanciais em segurança cibernética, o que, esperançosamente, preencherá a enorme lacuna de comunicação que existe entre muitos CFOs e CISOs. Esperamos que o setor de seguro cibernético ajude a promover uma abordagem proativa da segurança cibernética nos próximos anos.

* Jeferson Propheta é country manager da CrowdStrike