Seguros cibernéticos: geração de valor ou custo desnecessário?

O rápido avanço na tecnologia está impulsionando enormes mudanças em diversas indústrias. Como resultado, grandes quantidades de dados são geradas, algo que pode ser aproveitado em informações para facilitar e entender um mundo em constante movimento. Dados são agora considerados um gerador de riqueza para o século XXI. Consequentemente, os custos financeiros da perda de dados devido a eventos cibernéticos podem ser assustadores. Por exemplo, o ataque largamente divulgado na Target custou à empresa e a instituições financeiras uma quantia astronômica de US$ 348 milhões.¹ Outro ataque cibernético caro foi o da cadeia de hotéis Wyndham, que não apenas perdeu os dados de cartão de crédito de mais de 619.000 clientes, causando uma perda de US$ 10,6 milhões, mas também sujeitando a empresa a um processo pelo governo americano por práticas empresariais empresariais enganosas, por ser invadida em três ocasiões.² Outro exemplo é o ataque usando CryptoWall, que causou US$ 18 milhões em perdas em 2014 relacionados a pagamentos de resgate para descriptografar dados pessoais.³

O foco na segurança cibernética provavelmente nunca foi tão alto, a medida em que criminosos continuam a elevar seu padrão com ataques mais sofisticados apoiados pela Dark Web, que é composta de sites que ocultam sua identidade e que são normalmente acessados por uma rede criptografada (por exemplo,Tor) que também esconde a identidade do usuário, possibilitando um lucrativo mercado negro de e-commerce com dados roubados de fontes legítimas. Embora o impacto a curto prazo de um ataque cibernético possa ser devastador, as implicações de longo prazo podem ser bastante graves. Algumas dessas implicações a longo prazo incluem:

• Interrupções na cadeia de suprimentos/continuidade empresarial
• Localização e correção de vulnerabilidades
• Consideração forense para gestão de registros e dados perdidos
• Restauração de dados
• Custo de notificação para os afetados pela violação
• Pagamento de resgate em extorsão cibernética
• Proteção contra furto de identidade e monitoramento de crédito
• Reemissão de cartões comprometidos
• Sanções civis e normativas
• Processos de acionistas contra a administração e conselho
• Honorários advocatícios durante investigações e audiências
• Perda em vantagem competitiva e mercados
• Danos à marca
• Perda de clientes, lucros e empregos

A probabilidade de sofrer um ou mais destes danos e o impacto que eles têm sobre uma organização depende de uma combinação dos fatores que inclui, entre outros:

• Tipo de ataque, por exemplo, negação de serviço distribuído (DDoS) x ransomware
• Escopo de ataque, por exemplo, toda a rede fora do ar por dias x o ataque de uma conta de mídia social por apenas algumas horas
• Complexidade da rede atacada, por exemplo, altas interconexões com diversos fornecedores terceirizados x impacto apenas e telecomunicações porque a TI está hospedada em uma nuvem segura
• Hora do ataque, por exemplo, durante negociações de fusão ou aquisição sensíveis x horas fora de pico
• Área de negócios afetada, por exemplo, tempo de inatividade de produtos/serviços de missão crítica impedindo atividades empresariais essenciais x a indisponibilidade de produtos/serviços não essenciais
• Capacidade de prontidão da organização afetada, por exemplo, políticas e procedimentos de recuperação não existentes x programa de resposta de incidentes bem definido

Uma pesquisa de 2016 detectou que 66% dos participantes dos EUA, 75% dos participantes do Reino Unido e 57% dos participantes da Alemanha estariam dispostos a parar de fazer negócios com uma organização comprometida.⁴ Embora empresas maiores possam estar melhor equipadas para suportar um ataque cibernético após suas consequências, de acordo com a Experian, 60% das pequenas empresas fecham as portas dentro de seis meses após um ataque,⁵ tornando os crimes cibernéticos uma oportunidade igual com consequências desiguais. Dessa forma, organizações estarão bem preparadas para utilizar estratégias de gestão de riscos para evitar, minimizar, aceitar e transferir. Em outras palavras, realizar todas as atividades empresariais manualmente em vez de usar qualquer forma de tecnologia pode ajudar a evitar o risco cibernético. Essa estratégia, no entanto, está suscetível a criar uma desvantagem competitiva na era moderna e provavelmente não será uma opção viável para a maioria das empresas. Proteger o perímetro de rede com firewalls e um sistema de prevenção de intrusos, realizar a aplicação pontual de patches para correção de vulnerabilidades e analisar configurações são métodos para mitigar, ou diminuir, o risco cibernético. Contar com um programa de monitoramento sólido, mas criar uma política formal para revisar registros de auditoria de forma não frequente devido a outras prioridades demonstra aceitação de riscos - isso é, o apetite de riscos consentidos da gerência. Com violações de dados e invasões e impacto negativo aparentemente inevitáveis, as empresas estão começando a levar em conta a segurança cibernética como um componente de estratégia de transferência de riscos. Em outras palavras, a organizações obrigam contratualmente uma seguradora a aceitar parte ou todo o seu risco no caso de um ataque e/ou violação cibernética.

Tipos de políticas

Uma política de responsabilidade geral e tradicional cobre apenas danos à propriedades, tornando-a insuficiente para tratar o componente cibernético uma vez que dados são propriedade intangível. Para tratar dessa falta, há cerca de 50 seguradoras locais oferecendo cobertura cibernética, sendo que 35 delas nos EUA.⁶ As operadoras oferecem alguma combinação dos quatro componentes a seguir (figura 1):⁷

1. Erros e omissões (E&O)—A apólice de E&O cobre pedidos de indenização provenientes de erros na realização de serviços.
2. Responsabilidade multimídia—A responsabilidade Multimídia trata da desconfiguração de sites, mídia, direitos de propriedade intelectual, violação de direitos autorais/marcas comerciais, difamação e calúnia. A cobertura aqui também pode ser ampliada para conteúdo off-line.
3. Responsabilidade de extorsão e segurança de rede—A responsabilidade de segurança de rede cobre os custos associados com uma falha na rede para proteção contra transmissão de vírus, perda de segredos comerciais ou inscrições de patentes e violações de dados. Ela inclui o custo de restauração de dados, notificação voluntária, gestão de riscos e RP, interrupção aos negócios e gestão de crises. Da mesma forma, a responsabilidade de extorsão cobre danos sofridos por extorsão, como sequestro de dados ou rejeição distribuída de serviço (DDoS) que exigem pagamento para acabar com o ataque.
4. Gestão de privacidade—A privacidade inclui a divulgação incorreta de informações de identificação pessoal (PII), informações de saúde e confidenciais. Ela inclui os custos de investigação, notificação, monitoramento de crédito, taxas normativas (por exemplo, a Comissão Federal de Negócios [FTC] dos EUA e promotor geral) e honorários jurídicos associados. A privacidade também pode incluir a perda de registros físicos, como arquivos indevidamente descartados, erros humanos (por exemplo, perda de notebook, envio de informações sensíveis para o endereço incorreto, uma fotocopiadora com um disco rígido contendo registros de cliente não apagados) ou a coleta indevida de informações.

A característica única sobre as coberturas de segurança de rede e privacidade é que há cobertura para custos de responsabilidades de terceiros e internos. A cobertura de internos se aplica aos custos diretos para responder a uma falha de segurança ou violação de privacidade. A cobertura de terceiros se aplica quando uma empresa é processada, recebe pedidos de indenização ou agências normativas exigem informações.

Por outro lado, o que a segurança cibernética não cobre é conhecimento prévio de problemas, litígios pendentes, danos à reputação, perda de receita no futuro, custo para melhorar sistemas de tecnologia interna, valor perdido de propriedade intelectual, ferimentos ou danos a propriedades e efeitos de ataques cibernéticos maliciosos. Algumas seguradoras, no entanto, começaram a fazer exceções à regra,e especialmente para as duas últimas limitações. Por exemplo, embora a Verizon tenha informado que os ataques patrocinados por nações/estados tenha triplicado entre 2012 e 2013,⁸ esse tipo de fonte de ataque ainda permanece sem cobertura devido à dificuldade de atribuir um ataque exclusivamente a um adversário nacional/estadual. A medida em que as ameaças continuam evoluindo, a seguradores e corretores de responsabilidades cibernética precisam personalizar continuamente as políticas de exclusão.

A linha certa

Embora haja diversas políticas disponíveis, cada uma foi elaborada de modo diferente por seguradoras individuais. Sem análise minuciosa, o segurado pode receber uma apólice que exclui a maioria das ameaças reais, tenha limites não cabíveis em outros e cubra excessivamente situações menos prováveis. Em especial, uma simples falha de notificação pontual para a seguradora pode ser uma razão comum para rejeitar a cobertura. Por exemplo, uma apólice pode exigir que a denúncia de uma violação seja feita antes ou até 60 dias do vencimento da apólice. No entanto, um estudo de 2015 do Instituto Ponemon descobriu que ataques cibernéticos não são detectados por oito meses, em média,⁹ que é tempo mais do que suficiente para profissionais de dados apagarem logs de auditoria para impedir análises forenses e limpar evidências jurídicas. Como consequência, uma empresa que não esteja consciente que foi violada até meses depois ou até ser notificada por um terceiro (por exemplo, seu processador de cartões de crédito ou agências da lei) terá perdido a data para entrar com um pedido de indenização.

Na mesma linha, algumas apólices podem excluir atualizações e melhorias mesmo se uma empresa for determinada qualificada para reembolso. O pagamento para recuperação não inclui a recuperação para um estado mais resiliente do que antes do ataque, somente trará a rede à mesma posição de quando estava exposta ao ataque. Os estudos de caso destacam a natureza completa e real de ataques cibernéticos e seu impacto sobre indenização de seguro de responsabilidade cibernética que muitas empresas enfrentam.

A Cottage Health System, uma empresa fornecedora de serviços de saúde, teve seu pedido de indenização de seguro cibernético rejeitado por uma violação de 2013 porque falhou em reavaliar continuamente sua exposição a ameaças de privacidade e segurança da informação e em seguir as práticas mínimas necessárias, como criptografia de registros médicos em um sistema totalmente acessível para qualquer um na Internet.¹⁰

A Ubiquiti Networks Inc. foi sujeita a um golpe de CEO cada vez mais popular em 2015. Criminosos cibernéticos copiaram (ou se passaram) pela conta de e-mail do CEO e depois enviaram a um funcionário em uma empresa subsidiária em Hong Kong instruções para transferir US$ 39 milhões para contas internacionais controladas por hackers. Uma vez que o pagamento foi transmitido de modo voluntário pelo funcionário, "a empresa pode não ter sucesso para obter nenhuma cobertura de seguro", explicou a empresa em uma declaração.¹¹

BTC Media teve o e-mail de seu CEO comprometido, mas a violação incluiu um componente de engenharia social (spear-phishing). A conta do CEO comprometida enviou um e-mail para o diretor financeiro (CFO) de uma possível aquisição com instruções para revisar as modificações sobre o negócio proposto ao abrir um anexo, após o qual as credenciais de autenticação do CFO também foram roubadas pelo hacker. O CFO comprometido então instruiu seu CEO, antes do negócio, a transferir 5.000 bitcoins avaliados em US$ 1,8 milhão para uma conta corrente falsa controlada pelo hacker. Uma vez que a fonte da fraude era a BTC Media, a seguradora da empresa a ser adquirida rejeitou seu pedido de indenização porque a apólice só cobria perdas de fraudes diretas.¹² A seguradora define "diretas" como significando sem nenhuma etapa ou fator interligado.

Desafios

Os estudos de caso mencionados acima levam uma questão: Como alguém avalia as diversas apólices e seleciona a cobertura que garanta reembolso adequado e pontual após um ataque? Embora as empresas sejam capazes de discutir suas necessidades de seguro cibernético com seguradoras, há questões importantes que ambas as partes devem resolver separadamente. Para iniciantes, corretores com um processo de avaliação rudimentar podem contar com questionários genéricos para avaliar como a segurança cibernética incorporada está na estratégia de gestão de riscos de uma empresa para definir prêmios de seguro. Apesar disso, não há uma referência padrão entre as seguradoras, dessa forma as seguradoras com questionários menos maduros podem ter maior exposição a riscos.

Para possíveis clientes de seguros, a interpretação de perguntas pode variar de forma significativa, especialmente se recursos técnicos não estiverem envolvidos no processo de resposta interno da empresa. Uma vez que medidas eficientes exigem diversas camadas de segurança, se uma ou mais camadas forem ignoradas ou não forem compreendidas corretamente, isso pode resultar em prêmios desnecessariamente superiores e/ou maiores restrições de política. Por exemplo, um sólido programa de conformidade não é igual a um programa de segurança de informação eficiente e vice-versa. Além disso, a adoção de um programa não corresponde necessariamente a uma redução de riscos. Com a segurança cibernética evoluindo dinamicamente, se a gerência, advogados ou corretores não possuírem o conhecimento necessário para avaliar perguntas e proteções ao seu dispor, eles podem perder a oportunidade de negociar uma linguagem de apólice de forma mais favorável para maximizar as proteções de responsabilidade. Por outro lado, o portfólio de cobertura que eles recebem pode não fornecer uma medida de proteção completa para o estado real da postura de segurança da organização. Além disso, uma aplicação de seguro concluída detalhando os controles em vigor pode não ser aceita pela seguradora até depois de um incidente ocorrer; dessa forma, se for detectado que informações enviadas pela empresa superam os controles reais em vigor, isso pode tornar toda a apólice inútil após o incidente.

Da mesma forma, seguradoras, corretoras e contratantes que conhecem apenas riscos financeiros e empresariais não possuem as habilidades necessárias para avaliar adequadamente as proteções e risco de tecnologia. A TI exige compreensão especializada, mas a segurança de TI precisa de experiência ainda mais focada, uma vez que o impacto do aspecto cibernético vai muito além do departamento. As boas práticas em segurança cibernética continuam a evoluir, reforçando a noção de que as soluções que funcionam bem hoje podem ficar obsoletas amanhã. Uma avaliação pontual da postura de segurança de uma empresa em um cenário de ameaça em constante evolução só aumenta a complexidade de determinar o escopo adequado e o custo de cobertura. A natureza interconectada de TI significa que quanto maior for o número de redes com as quais uma empresa única interage, a mais riscos ela estará sujeita. Para obter uma visão clara do risco real, cada rede terceirizada também deve ser avaliada, algo que não é fácil para uma seguradora. E as ameaças emergentes da maior adoção de usuários, mídias sociais e Internet das Coisas (IoT) não devem ser ignoradas. Por exemplo, pode ser difícil vincular um caso de roubo de identidade de forma conclusiva a um único vetor de ataque porque uma violação pode ocorrer por uma perda de telefone, acesso a um site infectado, roubo de dados em trânsito em tempo real ou um dispositivo de IoT conectado a uma rede de Wi-Fi pública. As seguradoras devem superar essa lacuna de conhecimento enquanto tentam descobrir o tipo, frequência e gravidade de ameaças cibernéticas que uma organização enfrenta.

O início das atividades dessa indústria apresentam desafios que valem a pena ser considerados. Por exemplo, pressões do governo para liberar detalhes de violação sem uma garantia de imunidade desestimulam empresas a compartilhar dados de análise de ataque. Da mesma maneira, a percepção negativa de mercado em relação à uma violação impede que empresas falem sobre seus incidentes cibernéticos, exceto caso seja absolutamente necessário. Esse paradoxo restringe o fluxo de dados e tendências históricas liberadas para o mercado com os quais as empresas de seguros poderiam de outra forma contar para fazer comparações entre elas e em diversas indústrias. De uma perspectiva legal, a linguagem de seguros cibernéticos em contratos ainda é relativamente nova e não está muito bem elaborada. Por essa razão, a falta de precedentes robustos leva tribunais a ficarem relutantes a ouvir casos cibernéticos, gerando disputas tratadas especialmente por meio de arbitragem.

Retorno sobre o investimento

O mercado para seguros cibernéticos é relativamente novo, imprevisível e carece de dados de tendência e amplos pacotes de cobertura. Maiores complexidades técnicas podem levar a uma linguagem contratual vaga ou complicada e maior trepidação com relação ao valor real dos seguros cibernéticos. A tangibilidade dos seguros cibernéticos demonstra que eles aumentam a segurança, reduzem a responsabilidade e são uma fonte confiável de alívio durante e depois de um ataque? O sentimento do mercado talvez seja melhor refletido em uma pesquisa de 2015 da KPMG, que descobriu que 74% das empresas informaram que não possuíam nenhum tipo de seguro de responsabilidade cibernética. Entre aqueles que tinham, apenas 48% acreditavam que a cobertura cobriria o custo real da violação.¹³ E, em um relatório separado da Reuters, sobre novas empresas que foram invadidas, os prêmios são triplicados na hora da renovação.¹⁴ Ainda assim, acionistas esperam que conselhos administrativos e gerência atendam a seus requisitos fiduciários para proteger os interesses da empresa. Além disso, não apenas as normas estão começando a exigir seguros cibernéticos, como transações de fusões e aquisições cada vez mais encaram a segurança cibernética como uma forma de limitar a responsabilidade.

Simplificando, uma violação pode ocorrer na infraestrutura e nas informações; a primeira é inevitável, mas a segunda pode ser evitada por meio de estratégias eficazes que não necessariamente exigem altos investimentos com tecnologia. Não é de se surpreender que empresas e conselhos administrativos são forçados a gastar dinheiro quando há uma violação ou quando enfrentam um processo civil após um incidente, mas medidas proativas podem na verdade ajudar a reduzir sua carga geral. Por exemplo, um programa de conscientização de segurança sólido, um plano de continuidade de negócios eficaz e um plano de resposta a incidentes podem fortalecer significativamente a prontidão e a reação de uma empresa a um ataque e ajudar a evitar uma violação.

As seguradoras cibernéticas podem exigir a implementação de medidas de segurança cibernética para evitar violar a cobertura. Dessa forma, o mero processo de solicitar seguros cibernéticos pode incentivar empresas a identificar boa práticas e ferramentas, realizar revisões avançadas e melhorar a comunicação entre partes envolvidas adequadas, como departamentos jurídico, TI, finanças e equipes de gestão de riscos, que eles poderiam não vir a considerar. Os benefícios residuais podem incluir maior chance de repelir um adversário e menores prêmios, a promessa que podemos incentivar organizações a tratar com seriedade suas defesas, além do padrão mínimo. Em uma amostra de 33 empresas nas áreas de TI, saúde, educação, varejo e serviços financeiros, os prêmios cibernéticos custam,em média, 1,2% de suas receitas totais.¹⁵ Os prêmios para empresas de saúde custam, em média, 2,8% de suas receitas totais, em grande parte devido ao risco superior e a violações cada vez maiores envolvendo dados de pacientes. No geral, diretores de segurança da informação (CISOs) poderão demonstrar um lucro líquido mensurável com suas iniciativas de segurança cibernética se as economias alcançadas da queda de incidentes, com os reembolsos de seguro cibernético, possam ultrapassar o custo de proteções e contramedidas.

Levando tudo em conta, a medida em que essa indústria emergente continua a amadurecer, ainda devemos esperar para descobrir se os seguros cibernéticos podem demonstrar valor suficiente para garantir adoção ampla como um componente necessário de uma estratégia de defesa cibernética geral.

Notas

¹ Chiarodo, J.; P., Beshara; “What Cyber Insurance Can Do for Contractors,” FCW, 07 de julho de 2015, https://fcw.com/articles/2015/06/30/comment_chiarodo_beshara.aspx
² Northrop, S.; “Is Your Business Ready for FTC Oversight of Data Security?,” IAPP, 21 de setembro de 2015, https://iapp.org/news/a/is-your-business-ready-for-ftc-oversight-of-data-security
³ Federal Bureau of Investigation, “Criminals Continue to Defraud and Extort Funds From Victims Using CryptoWall Ransomware Schemes,” USA, www.ic3.gov, 23 de junho de 2015, www.ic3.gov/media/2015/150623.aspx
⁴ Mann, B.; “Centrify Consumer Trust Survey: The Corporate Cost of Compromised Credentials,” Centrify, 08 de junho de 2016, http://blog.centrify.com/corporate-cost-of-compromised-credentials/
⁵ National Cyber Security Alliance, “3 Reasons Hackers Love Your Small Business Infographic,” StaySafeOnline.org, 2015, http://staysafeonline.org/ncsam/resources/3-reasons-hackers-love-your-small-business-infographic
⁶ Kirkpatrick, K.; “Cyber Policies on the Rise,” Communications of the ACM, vol. 58, no. 10, p. 21-23, http://cacm.acm.org/magazines/2015/10/192376-cyber-policies-on-the-rise/fulltext
⁷ Schutzer, D.; “An Assessment of Cyber Insurance,” CTO Corner, fevereiro de 2015
⁸ Ibid.
⁹ Ponemon Institute Research Report, 2015 Cost of Data Breach Study: Global Analysis, maio de 2015, https://nhlearningsolutions.com/Portals/0/Documents/2015-Cost-of-Data-Breach-Study.PDF
¹⁰ Greenwald, J.; “Insurer Cites Cyber Policy Exclusion to Dispute Data Breach Settlement,” Business Insurance, 15 de maio de 2015, www.businessinsurance.com/article/20150515/NEWS06/150519893
¹¹ Hacker, R.; “Fraudsters Duped This Company Into Handing Over $40 Million,” Fortune, 10 de agosto de 2015, http://fortune.com/2015/08/10/ubiquiti-networks-email-scam-40-million/
¹² Dotson, K.; “BitPay Hacked for $1.8 Million in Bitcoin During December 2014,” SiliconAngle, 17 de setembro de 2015, http://siliconangle.com/blog/2015/09/17/bitpay-hacked-for-1-8-million-in-bitcoin-during-december-2014/
¹³ Reeve, T.; “Cyber Insurance Not Trusted by Business, KPMG Claims,” SC Magazine UK, 01 de maio de 2015, www.scmagazineuk.com/cyber-insurance-not-trusted-by-business-kpmg-claims/article/412535/
¹⁴ Finkle, J.; “Cyber Insurance Premiums Rocket After High-Profile Attacks,” Reuters, 12 de outubro de 2015, www.reuters.com/article/us-cybersecurity-insurance-insight-idUSKCN0S609M20151012
¹⁵ Marciano, C.; “How Much Does Cyber/Data Breach Insurance Cost?,” Data Breach Insurance, 01 de junho de 2016, https://databreachinsurancequote.com/cyber-insurance/cyber-insurance-data-breach-insurance-premiums/