Seguro cibernético explicado e porque você precisa dele
Cada empresa deve avaliar se é necessário, ou não, o seguro cibernético
O seguro cibernético, também conhecido como seguro de risco cibernético ou cobertura de seguro de responsabilidade cibernética (CLIC), é uma apólice com uma seguradora para mitigar a exposição ao risco compensando os custos envolvidos com danos e recuperação após uma violação de segurança relacionada à cibernética ou evento semelhante.
O que uma apólice de seguro cibernético cobre?
As apólices de seguro cibernético estão se tornando mais diversificadas à medida que o mercado amadurece, e os detalhes mais precisos sobre o que uma apólice pode cobrir podem ser um pouco diferentes de outra, dependendo de vários fatores. No entanto, Lori Bailey, Diretora de Seguros da fornecedora de seguros comerciais Corvus, disse ao CSO que existem semelhanças gerais na maioria das apólices de seguro cibernético:
- Perdas resultantes de interrupção de negócios (receita perdida devido a sistemas inativos ou criptografados)
- Interrupção contingente de negócios (receita perdida por causa de sistemas inativos devido à falha de um terceiro, como um fornecedor de TI)
- Destruição de ativos digitais
- Custos de recuperação de dados e restauração do sistema
- Falha de sistema
- Extorsão cibernética/ransomware
- Despesas de resposta a violação e remediação
- Engenharia social e crimes cibernéticos e segurança de rede e responsabilidade de privacidade
Richard Hodson, Diretor e Corretor de Seguros do UKGlobal Broking Group, acrescenta que as apólices também cobrem comunicações e relações públicas após incidentes. “Agora estamos vendo mais e mais políticas oferecendo fundos pós-violação também, que incluem treinamento para a equipe para evitar ocorrências repetidas e diagnósticos completos do sistema”.
Nem todas as apólices são criadas iguais, e essas coberturas seriam incluídas em uma política cibernética independente e abrangente, mas não necessariamente na cobertura cibernética que é adicionada a uma apólice de pacote, acrescenta Bailey. Além do mais, nem todas as formas de risco cibernético são cobertas por seguro. “Por exemplo, os danos financeiros causados pela guerra e/ou terrorismo ou falha da infraestrutura interna não seriam cobertos, nem os custos de reputação que podem ocorrer após um ataque”. Da mesma forma, um vírus que não foi projetado ou criado especificamente para atingir a empresa afetada também pode ser excluído, diz Hodson.
Ransomware e litígios geram mudanças no seguro cibernético
O mercado de seguro cibernético está passando por um estado de fluxo à medida que as tendências de segurança cibernética desencadeiam mudanças. Organizações de todas as formas e tamanhos têm investido em apólices de seguro cibernético para agregar proteção. Enquanto isso, ameaças e riscos cibernéticos em evolução continuam a atormentar as organizações e a testar sua resiliência. Como resultado, os provedores de seguro cibernético estão se tornando mais versados e responsivos à segurança cibernética específica.
Liderando as tendências que afetam a demanda e o custo da cobertura, os termos e condições da política, os requisitos e os limites está o ransomware. Os atores estão empregando métodos mais astutos e sofisticados para extorquir (e multiextorquir) empresas por somas potencialmente enormes de dinheiro.
O aumento do ransomware fez com que mais organizações considerassem os investimentos em seguro cibernético, já que muitos viram o custo do ransomware causar enormes interrupções financeiras em outras empresas, diz Bailey. “Além dos custos diretos de um resgate, a recuperação desses ataques é cara. Em 2021, os custos de resposta a violações aumentaram de 29% para 52% dos custos gerais de reivindicações”.
Com o aumento da demanda, a oferta tem lutado para se recuperar, acrescentou Bailey. “As seguradoras estão aumentando as taxas e padrões para os riscos que estão dispostas a cobrir. Em termos de cobertura em si, algumas seguradoras reduziram o valor que cobririam para um ataque de ransomware ou reduziram o limite geral que estão oferecendo para empresas de um determinado tamanho”.
Mesmo que as seguradoras não tenham alterado significativamente a cobertura, é provável que tenham instituído subjetividades em suas apólices que exigem o cumprimento de certas medidas de segurança essenciais como condição da apólice, diz Bailey.
Pesquisas que destacam um declínio no ataque de ransomware e reivindicações de pagamento com organizações que priorizam a prevenção e a recuperação sugerem que as seguradoras cibernéticas podem estar inclinadas a olhar mais favoravelmente as empresas que buscam cobertura. No entanto, a seguradora global Beazley divulgou recentemente dados mostrando que os preços do seguro cibernético continuam a subir, apesar de uma trajetória de queda de sinistros, enquanto as taxas de prêmio para renovações aumentaram 23% com relação ao ano anterior no terceiro trimestre de 2021.
“Além do mais, a pandemia de coronavírus aumentou a vulnerabilidade de muitas organizações ao risco cibernético, à medida que milhares de sistemas mudaram para plataformas baseadas em nuvem para permitir uma força de trabalho remota”, disse Andrew Rose, CISO residente da Proofpoint. “Durante esse tempo, as seguradoras cibernéticas incentivaram as empresas a reavaliar suas apólices de seguro, pois a evolução de seus conjuntos de ferramentas e práticas de trabalho, e as ameaças que se aplicam a eles, podem não estar representadas em sua cobertura existente, deixando lacunas inesperadas e deficiências que podem ser catastróficas”.
Para o advogado de tecnologia e conformidade Jonathan Armstrong, o impulsionador mais significativo da mudança no seguro cibernético é a demanda por proteção financeira de litígios contra organizações na sequência de incidentes cibernéticos. “Vimos que um ataque ou violação pode ser seguido no dia seguinte ou depois por advogados que alegam que estão investigando um litígio contra a empresa que foi atingida”.
Esta questão esteve sob os holofotes recentemente no caso Lloyd vs Google no Reino Unido. Richard Lloyd alegou que o Google coletou dados de cerca de 4 milhões de usuários do iPhone entre 2011 e 2012 sobre seus hábitos de navegação sem seu conhecimento ou consentimento para fins comerciais, como publicidade direcionada. Ele procurou mover uma ação representativa em nome de todos os indivíduos afetados contra o Google para obter indenização, o que o Google se opôs.
A Suprema Corte do Reino Unido procurou estabelecer se tal reclamação por violação da legislação de proteção de dados pode ter sucesso sem danos pessoais distintos e se os reclamantes podem mover uma ação coletiva em nome de indivíduos não identificados, incluindo pessoas que podem nem mesmo estar cientes de que foram afetadas.
Em 10 de novembro de 2021, a Suprema Corte do Reino Unido decidiu a favor do Google em ambas as acusações, o que significa que a ação contra eles não pode prosseguir em sua forma atual. Isso será um alívio para os controladores de dados do Reino Unido, que estavam preocupados com o fato de que uma decisão a favor de Lloyd abriria as comportas para reivindicações caras e demoradas de pouco ou nenhum mérito.
“Resumindo, esse julgamento é uma restauração do status quo em relação às reivindicações de dados”, disse Will Richmond-Coggan, litigante de proteção de dados e Diretor do escritório de advocacia Freeths. “Espero que vejamos menos reivindicações sendo processadas, e as que são serão aquelas onde danos demonstráveis foram causados, portanto, devemos esperar que esses sejam mais fáceis de quantificar e liquidar em um estágio anterior. Mesmo as reivindicações de alto volume não meritórias dos últimos anos exigiram muito tempo e custo a serem despendidos para rechaçá-las, então a exclusão dessas reivindicações certamente melhorará o perfil de risco de violações de baixo impacto, e isso deve influenciar o preço de risco em todo o mercado de seguro cibernético”.
Independentemente do resultado, porém, Armstrong prevê que os litígios continuarão sendo uma tendência impactante no seguro cibernético. “No mínimo, podemos ver as reivindicações serem ameaçadas ainda mais rapidamente à medida que escritórios de advocacia e financiadores tentam recrutar requerentes para ações ‘opt-in’”.
Como avaliar suas necessidades de seguro cibernético
Depois que uma empresa entende o estado do mercado de seguro cibernético atual e o escopo da cobertura, ela pode explorar se uma apólice será benéfica. “O seguro é essencial para muitos aspectos da vida corporativa, e a segurança cibernética está rapidamente se tornando um deles”, diz Rose. “Cada empresa deve fazer a matemática sozinha, para equilibrar o custo do seguro, contra o custo do evento e o custo de oportunidade do dinheiro gasto com prêmios anuais. Identifique o que mais precisa ser protegido. Aplicar limites à cobertura pode reduzir o risco e ajudar a equilibrar o caso de negócios para esta cobertura cada vez mais essencial”.
Na verdade, as organizações precisam considerar quanto perderiam se seus sistemas fossem totalmente desligados após um ataque, diz Bailey. “Além disso, o custo médio de um resgate até o terceiro trimestre de 2021 permaneceu estável em torno de US $ 142.000, e esse valor aumenta consideravelmente quando você inclui os custos de ajuda de terceiros na recuperação. As organizações devem saber se podem pagar isso de forma realista e como isso pode afetar a estabilidade de seus negócios”.
O seguro cibernético pode ajudar a dar às organizações mais paz de espírito sabendo que existe uma camada de segurança extra e que eles monitoram regularmente os riscos, algo que está se tornando especialmente significativo para empresas menores, diz ela. “Embora, há alguns anos, talvez não tenhamos achado necessário que uma pequena empresa tivesse uma política cibernética independente e abrangente, os invasores estão cada vez mais visando essas empresas menores, que tendem a ter defesas mais fracas”.
Também é importante que as organizações vejam uma apólice de seguro cibernético como uma oportunidade de parceria para melhorar as estratégias gerais de risco de segurança, concordam Rose e Bailey. “Pode ser muito mais do que apenas transferência de risco”, diz Bailey.
“As seguradoras podem estar na vanguarda de uma nova onda de ‘padrões básicos’, que podem ser muito mais dinâmicos e responsivos ao cenário de ameaças do que qualquer padrão internacional ou regulador do setor”, acrescenta Rose.
O que as seguradoras cibernéticas esperam dos clientes?
Se uma organização se inscrever para uma apólice de seguro cibernético, alguns fatores-chave podem ser essenciais para o sucesso. Isso se resume a ser capaz de mostrar que uma empresa pode atender aos requisitos de controle de segurança que as seguradoras agora procuram ao considerar um potencial segurado para verificar seu status de risco. As seguradoras normalmente avaliam os controles de segurança pedindo aos candidatos que completem questionários detalhados.
A boa higiene cibernética é a chave aqui, diz Bailey. “Isso inclui uma estratégia de backup robusta, autenticação multifator em todos os pontos de acesso críticos e forte gerenciamento de patch. Também continuamos a ver o poder das tecnologias de varredura e proteção proativa de vulnerabilidades”. Organizações maiores e mais complexas provavelmente exigirão análises mais pesadas dos subscritores devido à complexidade de sua segurança de rede e descentralização de sua infraestrutura, acrescenta ela.
Richard concorda, dizendo que, demonstrando que sua organização tem um programa de conscientização de treinamento de equipe, nunca transfere dinheiro no recebimento de um e-mail/telefonema até que a verificação completa tenha ocorrido e tenha pago pela proteção antivírus e de endpoint também é importante. Para obter orientação e suporte, ele aconselha as empresas a falarem com um corretor de seguros com experiência em ciber e que possa explicar em termos simples o que você precisa e o que deve procurar fazer. “Já existe muito jargão em seguros, não precisa se complicar com a adição de termos de tecnologia confusos”.