A Securitização dos Riscos Cibernéticos
Principalmente para as pequenas e médias empresas, os seguros cibernéticos e seus correlatos podem ser estratégicos tanto para a prevenção dos riscos quanto para a contenção de danos no caso de crises cibernéticas.
Americanas, Anvisa, Superior Tribunal de Justiça. Três grandes organizações passando uma clara mensagem: ninguém – repita-se: ninguém – está livre de um incidente de segurança cibernética, por mais sofisticados que sejam os seus sistemas de proteção. Há anos o risco de ciberataques já vem mapeado pelo Forum Econômico Mundial, em seu conhecido The Global Risk Report (atualmente na 16ª Edição, 2021), como um risco de alto impacto e alta probabilidade que ameaça organizações de todos os tamanhos e matizes. São vários os fatores que tornam o mercado tão suscetível a eventos cibernéticos, tais como a automação industrial, a virtualização do comércio e dos métodos de pagamento, até o uso mais intenso da modalidade de trabalho remoto por conta da pandemia. A crescente vulnerabilidade é ainda impulsionada pelo desenvolvimento de uma verdadeira indústria de hackers e de crimes cibernéticos, incentivado por um dado nada alentador: nos Estados Unidos, onde sistema de justiça é organizado e consistente, a probabilidade de que um ataque seja detectado e punido é inferior a 0,05% (Global Risk Report, 2020).
Especialistas chegam a admitir que o risco de um ataque cibernético não é mais uma questão de “se” vai ocorrer, e sim de “quando” vai ocorrer. Por isso, alertam que os investimentos em prevenção e treinamentos – conquanto muito importantes – não são mais suficientes e sugerem que as organizações devem alocar mais investimentos em planos de contingência, isto é, em planos de resposta a incidentes e de continuidade dos negócios. Isso porque, em algum momento, todas estarão face a face com o problema, a despeito do nível de precaução que adotarem.
É neste contexto que se desenvolve o mercado do seguro cibernético como uma alternativa para a gestão e transferência dos riscos. Esses seguros são ferramentas para cobertura de riscos que englobam o mundo digital, cujo objetivo é amparar seus segurados em prejuízos decorrentes de ataques cibernéticos. O maior desafio desta modalidade é a constante evolução tecnológica, o que cria a necessidade das condições gerais claras de apólices e de coberturas abrangentes que amparem um incidente.
Comparado às outras modalidades de seguro, o mercado do seguro cibernético é ainda bastante imaturo e muitas dúvidas pairam a respeito da extensão das coberturas e da quantificação dos danos diretos e indiretos causados por eventos cibernéticos. Sendo um produto relativamente novo, ainda não conta com os balizadores da jurisprudência para os casos divergência interpretativa nos contratos e das práticas comerciais consolidadas no mercado. Além disso, a natureza da organização e dos dados disponíveis em seu sistema de informação, seu porte, a qualidade de suas equipes de tecnologia, a maturidade do seu sistema de segurança e de governança dos dados, tudo isso tem um grau de especificidade que sugere que o seguro cibernético é um produto sob medida que não combina com apólices genéricas como se o produto fosse tamanho único.
Na comercialização deste produto encontram-se apólices que podem ser customizadas de acordo com a cobertura necessária para as operações de cada negócio. Dentre as coberturas, podemos destacar o reembolso de custos de defesa, de indenizações ou acordos judiciais celebrados no contexto de demandas e reclamações de terceiros prejudicados em virtude do sinistro, a indenização dos danos à imagem e/ou à reputação da empresa, dos danos decorrentes da interrupção da atividade empresarial e laborativa, o ressarcimento de valores despendidos com investigação forense, honorários da equipe técnica especializada pela condução da investigação, honorários de profissionais especializados em relações públicas para administrar a imagem da empresa segurada, dentre outras. Por isso é importante que as empresas definam suas necessidades, de modo que as apólices contratadas possam realmente satisfazê-las.
Mirando nas diversas necessidades envolvidas no contexto, uma parte das seguradoras que atuam nesse setor não oferece apenas o seguro e a transferência do risco, dispondo também de consultoria para avaliação, organização e funcionalidades para prevenção e detecção de ameaças cibernéticas, além de serviços de assistência na gestão de crise no caso de incidentes, investigação interna e auditoria externa para a verificação da higidez das evidências coletadas. Há uma tendência em que este tipo de contratação efetive um modelo colaborativo de negócio entre as seguradoras e as organizações, comportando a indicação de parceiros pela seguradora, ante o grau de especificidade técnica de cada frente necessária para a plena recuperação do ambiente atingido pelo incidente (SIEGEL, Michael, 2018, p.21).
Nesse sentido, é comum que se ofereça um painel de prestadores para atender os segurados em várias frentes, tão logo a seguradora seja notificada do incidente cibernético. Também são introduzidos fornecedores de ferramentas de Diagnóstico de Risco Cibernético, os quais auxiliam a identificação dos principais fatores internos e externos que podem afetar o nível de exposição a esses riscos. Esse segmento fornece orientações práticas relativas à estrutura de governança, que as empresas podem adotar como estratégia eficaz de gerenciamento de riscos cibernéticos e, com tal perspectiva, incrementar as práticas de compliance já adotadas.
Em geral, o processo de contratação de um seguro cibernético é complexo e, idealmente, deve ser precedido de uma avaliação da maturidade e de realização de melhorias no sistema de segurança, de modo a reduzir o impacto das subjetividades na composição do prêmio. O processo em si é uma excelente oportunidade para a organização entender melhor sua exposição aos riscos, suas vulnerabilidades e abordar os pontos que exigem melhorias focais que podem ser facilmente implementadas. Há um estudo realizado em colaboração com pesquisadores do Massachusetts Institute of Technology – MIT, mostrando que principalmente as pequenas e médias empresas podem se beneficiar deste processo. Isso porque, em geral, elas não contam com a expertise e tecnologia necessárias para lidar com os riscos cibernéticos de forma eficiente, e muitas sequer tem consciência a respeito de suas vulnerabilidades e do seu grau de exposição ao risco incidente (SIEGEL, Michael, 2018, p.17).
Por conta dessa realidade, o seguro cibernético poderá significar uma condição de sustentabilidade a esses negócios ou, pelo menos, agregará mais valor a essas empresas, reduzindo sua exposição, unindo-as aos parceiros adequados, oferecendo o aconselhamento correto e permitindo que gerenciem os seus riscos de forma adequada (SIEGEL, Michael, 2018, p.19).
De parte essas vantagens, o auxílio na gestão da crise decorrente do sinistro em que os riscos cibernéticos se concretizam será de vital importância. A gestão de crise em razão de ciberincidente é um ponto particularmente sensível, pois impõe à organização o dever de enfrentar muitas questões simultaneamente, tais como: (a) questões técnicas para a contenção das ameaças e recuperação do sistema (TI/SI), (b) a comunicação com as autoridades (jurídico), com a mídia e com o público (RP, marketing), com os investidores (RI); (c) a solução dos problemas enfrentados pelos usuários afetados que chegam pelos canais de atendimento (SAC), e (d) também os aspectos jurídicos que terão repercussão criminal (crime cibernético), regulatória (perante a ANPD no caso de comprometimento de dados pessoais) e civil (responsabilidade patrimonial, contratual e extracontratual). Exige-se, portanto, a alocação de diversas equipes para fazer frente às diferentes habilidades requeridas para mitigar os impactos imediatos e potenciais causados por esse tipo de evento, de modo que toda experiência com este tipo de situação será necessária e bem-vinda.
Por tudo isso, a opção pelo seguro de riscos cibernéticos não é de ser menosprezada. Diante da classificação dos ciberincidentes como riscos de alto impacto e alta probabilidade, para muito além das medidas de prevenção que, na análise dos especialistas, são importantes mas não são suficientes, esses seguros são estratégias de mitigação de riscos e contenção de danos que poderão, nos casos mais exacerbados, fazer a diferença entre a quebra e a continuidade dos negócios.
Ana Paula Ávila – Advogada, membro efetivo da COPEC
Niris Cristina Cunha – Advogada, membro efetivo da COPEC
14 de março de 2022
Fonte:
Global Risk Report 15th edition, 2020, p. 53
