Cada vez mais populares entre as empresas brasileiras, essas apólices podem parecer atraentes para reduzir os custos de um incidente de segurança; porém, é necessário prestar atenção nas letras miúdas antes de contratar esse tipo de proteção.
De acordo com a Confederação Nacional das Seguradoras (CNseg), a procura por seguros cibernéticos cresceu 41,5% somente nos primeiros três meses de 2022; levantamos independentes da rede jornalística CNN estima que, durante esse período, foram gastos R$ 34,5 milhões na contratação desse tipo de apólice. Esses números não espantam — afinal, as mudanças tecnológicas forçadas pela transformação digital acelerada assustaram muitas corporações, tal como o aumento no número de ataques contra grandes instituições (até mesmo órgãos governamentais) e a popularidade dos ransomwares.
Na teoria, um seguro cibernético parece ser bastante simples e funciona como qualquer outro seguro. Após uma análise de sua infraestrutura e sua média de faturamento anual, é estipulado um valor a ser pago e tetos máximos para prêmios no caso de incidentes variados, como sequestros de PCs, invasões em redes, infecções em endpoints, falhas de conformidade com legislações vigentes (sobretudo a Lei Geral de Proteção de Dados ou LGPD). Com isso, fica mais fácil cobrir prejuízos como extorsões, recuperação de dados, investigações, relações públicas, representação legal e até restituição de imagem.
De acordo com Dyogo Oliveira, presidente da CNseg, “ainda teremos um crescimento grande do setor. Os ataques cibernéticos têm sido cada vez mais frequentes e a proteção oferecida pelo seguro é uma tranquilidade a mais para as empresas evitarem maiores prejuízos”. Contudo, por mais que o mercado de seguros cibernéticos no Brasil não seja tão maduro quanto no resto do mundo, é preciso estar ciente de que tais apólices podem não ser simples quanto muitos pensam. É crucial ler as letras miúdas e entender a fundo as políticas de cada seguradora antes de fechar um contrato.
Ciberguerra: vale ou não vale?
Antes de mais nada, vale a pena observar que grande parte do que discutiremos aqui é baseado no cenário global, mas pode se refletir no mercado nacional em um futuro próximo. Primeiramente, temos a questão das guerras cibernéticas. Cada vez mais comuns, conflitos entre duas nações que acabam causando prejuízos diretos ou indiretos para empresas privadas — fornecedoras de soluções de infraestrutura e terceirização de TI são alvos especialmente visados nesse tipo de situação. Basta analisar alguns incidentes recentes em corporações de grande porte e que atendem vários clientes internacionais.
Muitas seguradoras já deixaram claro que estão atualizando suas políticas e deixando de cobrir danos causados por guerras cibernéticas em suas apólices. Uma famosa seguradora sediada em Londres causou polêmica ao adotar tal medida em 2021. “Quatro cláusulas foram elaboradas para fornecer aos sindicatos e seus (res)segurados (e corretores) opções em relação ao nível de cobertura fornecido para operações cibernéticas entre estados que não são excluídos pela definição de guerra, guerra cibernética ou operações cibernéticas que têm um grande impacto negativo sobre um estado”, explicou a marca.
O argumento é óbvio e parece fazer sentido: esse tipo de incidente está fora do controle de quaisquer instituições do país atacado ciberneticamente, logo, não seria “justo” que a apólice cubra tais ataques. O problema é que é um tanto difícil saber se um ataque é resultado de um conflito internações ou não. Em uma das disputas mais famosas entre uma seguradora e um segurado, está o incidente NotPetya, um ransomware que se espalhou ao redor do globo em 2017 explorando a vulnerabilidade EternalBlue, do Windows. Tal ocorrido foi entendido como um ato de guerra por ter focado, sobretudo, em máquinas da Ucrânia.
Não basta só assinar o papel!
Indo além, se você pensa que basta contratar um seguro cibernético e receber um prêmio caso algo dê errado, saiba que não poderia estar mais enganado. Muitas seguras — inclusive brasileiras — já solicitam, anualmente, um relatório para garantir a renovação da apólice. Neste relatório, é necessário responder (de forma sincera, é óbvio, pois tais questionamentos podem ser confirmados em uma auditoria) se a sua empresa está adotando algumas práticas essenciais de cibersegurança para evitar os incidentes mais comuns que podem ocorrer.
Seus colaboradores são obrigados a utilizar autenticação multifatorial (MFA)? O uso de redes virtuais privadas (virtual private networks ou VPNs) é mandatório para acessar recursos remotos e ambientes na nuvem? A companhia possui uma ferramenta de detecção e resposta de endpoints (endpoint detection and response ou EDR)? Há alguma solução de filtragem de emails em uso? Existe uma estratégia e uma arquitetura robustas para a realização de backups, com um tempo de recuperação razoável? É nessas horas que você mesmo deve se perguntar se está fazendo a sua lição de casa.
Embora isso seja incomum, é possível que uma seguradora se recuse a renovar uma apólice ou aumente drasticamente o preço da própria caso perceba que o segurado, por pura negligência, está mantendo seus ambientes computacionais desprotegidos. Afinal, um seguro cibernético é como um seguro automotivo ou residencial: você dificilmente conseguirá resgatar o prêmio caso, após uma investigação, fique constatado que a culpa do incidente foi única e exclusivamente sua, sendo que este poderia ter sido evitado com algumas medidas básicas. Fique de olho!