A atual conectividade digital modificou radicalmente nossa vida. As conexões na internet permitem efetivamente acessar dados, sistemas e organizações inteiras em âmbito mundial. No entanto, o lado negativo é que estas conexões podem também levar a perdas crescentes, na medida em que os riscos aumentam com interações mais intensas na rede. O crime cibernético – atos criminosos cometidos via internet visando a ganhos financeiros, políticos ou espionagem – representa um risco que não podemos nos dar ao luxo de ignorar.
A gama e complexidade dos incidentes cibernéticos são enormes: de um único laptop perdido até o nível de violação sofrido pela Sony, TJX, Target ou eBay. Com frequência, inicialmente estes incidentes não são detectados pelas próprias vítimas, sendo que as companhias muitas vezes ficam sabendo do ataque cibernético apenas quando notificadas pelas autoridades ou quando alguma atividade incomum é verificada nas contas dos clientes. Muitas das violações de grande magnitude parecem ter sido divulgadas em blogs antes das notificações formais das companhias. Ataques de malware não são problemas apenas de grandes varejistas, embora sejam certamente um alvo lucrativo para os criminosos cibernéticos.
As pequenas e médias empresas também correm risco, como deixou claro uma violação sofrida pela Staysure Insurance UK. A Staysure, corretora especializada em produtos de seguro de viagem para pessoas com mais de 50 anos, precisou entrar em contato com 93.389 clientes depois do ataque. A seguradora acreditava que os hackers provavelmente haviam roubado números de código secretos dos cartões dos detentores de apólices. Felizmente, a companhia conseguiu declarar publicamente que tinha cobertura de seguro apropriada, o que permitiu que tratasse a violação de maneira efetiva e informasse prontamente todas as autoridades competentes.
Em escala global, a maior parte das vítimas descobriu a violação da eBay por meio da cobertura da mídia, com informações no site da companhia em seguida. A eBay solicitou que 233 milhões de clientes trocassem as senhas. A varejista online afirmou categoricamente que nenhum dado financeiro havia sido furtado, mas poderia haver riscos aos clientes que usam as mesmas senhas em múltiplos sites. As informações furtadas eram de grande valor, pois incluíam endereços postais, endereços de e-mail, números de telefone e datas de nascimento. Os riscos não se limitam à internet, pois uma série de empresas usa endereço e data de nascimento no processo de confirmação em seus serviços bancários por telefone.
Custos dos riscos cibernéticos
Em consequência de um ataque cibernético, as companhias se deparam com custos consideráveis como, por exemplo, a interrupção de negócios. Enquanto os sistemas estão indisponíveis interna e externamente, são incorridos custos pela perda de negócios. Os valores envolvidos dependem do tempo necessário para restaurar os sistemas ou realizar investigações criminais.
Já os danos a terceiros é um aspecto importante, particularmente, na atuação dos tribunais dos Estados Unidos. Tendo em vista a alta exposição da responsabilidade civil, as companhias devem cumprir os requisitos legais em todas as circunstâncias – mesmo que apenas por precaução contra processos jurídicos por parte dos clientes e ações coletivas com sinistros de indenização potencialmente exorbitante.
Há também os custos judiciais, que não devem ser subestimados. Custos de defesa e indenizações por danos morais podem ser extremamente elevados. Incluem honorários advocatícios, não apenas para a defesa, mas também pelos esforços para manter a questão fora dos tribunais, assim como custos de análises jurídicas da situação e recomendações sobre o procedimento correto.
São inclusos outros custos para resguardar da reputação, notificação e restauração do sistema, assim como custos de investigações forenses. Após um ataque cibernético, maiores custos são incorridos com o trabalho de relações públicas e campanhas de publicidade destinadas a resgatar a reputação da companhia. Algumas seguradoras incluem um pacote de RP em suas coberturas de riscos de TI. No entanto, o risco de reputação deve ser visto como risco à parte e deve ser desenvolvida uma solução especial de seguro para cobri-lo. A extorsão – atualmente uma indústria em crescimento, embora criminosa – poderá fazer disparar os custos ainda mais. Os criminosos cibernéticos procuram extorquir dinheiro das companhias em vários estágios: apenas devolvem as senhas, descriptografam servidores ou restabelecem os serviços interrompidos quando um valor correspondente é pago. Na maior parte destes ataques, as companhias devem pagar os custos de investigações forenses.
Conjuntura legislativa
A conjuntura legislativa geral atualmente é complexa e incerta. Nos Estados Unidos, embora considerada na vanguarda do combate aos ataques cibernéticos de maior visibilidade, há também falta de uniformidade entre os vários estados. Muitos especificam sua definição de informações de identificação pessoal de forma diferente, e os resultados variam.
No cômputo geral, restam bons argumentos de que a perda de dados em si não constitui dano salvo se forem oferecidas garantias específicas. Espera-se que isto continue a ser questionado pelos advogados dos reclamantes. A maioria dos estados norte-americanos possui requisitos obrigatórios de notificação de violação, mas existem menos similaridades na definição do que constitui violação.
A divulgação de informações sobre o estado de saúde é considerada um risco importante e penalidades específicas se aplicam à sua divulgação e publicação de forma incorreta, acarretando custos significativos aos provedores. Isto também enfatiza a necessidade de as companhias formarem parcerias com sofisticados e experientes provedores de serviços que podem ajudá-las a enfrentar tais complexidades.
Estratégia certa para encontrar ótima solução
Esperamos que a crescente conscientização do dano que os riscos cibernéticos podem causar a uma companhia possa impulsionar a demanda por opções de cobertura de riscos cibernéticos na América Latina. Em conjunto com seus clientes locais, a Munich Re concentra um grande esforço na análise de novos riscos ou riscos aprimorados e no desenvolvimento de soluções de seguro personalizadas.
Os riscos cibernéticos constituem um fenômeno muito mais recente do que os riscos de terremoto, por exemplo, e se modificam em ritmo acelerado. É, portanto, impossível aplicar os processos normais de análise e pesquisa de tendências. Os riscos cibernéticos exigem seus próprios componentes de cobertura claramente delineados e não deverão simplesmente ser incluídos em apólices comuns de seguro patrimonial ou de responsabilidade civil.
A Munich Re vem trabalhando há vários anos no detalhamento dos modelos de riscos cibernéticos e aperfeiçoando as opções de cobertura. Também estamos preparados para ressegurar riscos sujeitos a acúmulos, tais como perdas relacionadas com worm e vírus.
Esta é uma situação em que os clientes, particularmente, se beneficiam da experiência da Munich Re. Afinal, na qualidade de resseguradora, a Munich Re detém uma visão geral dos danos incorridas e está, assim, em melhor posição para desenvolver cenários de perdas. Graças a nossa presença internacional, estamos familiarizados com as soluções usadas em diferentes mercados e podemos ajudar nossos clientes a se ajustar a parâmetros em constante mudança e desenvolver ótimos produtos.
Cada violação é diferente
Em outubro, será realizada a Fides 2015 em Santiago do Chile. A Munich Re escolheu a cibernética, entre outros, como um dos tópicos de maior interesse para sua participação na conferência, devido à atual importância e desafio que representa. Os visitantes poderão descobrir e tomar parte em diferentes experiências a este respeito.
*Andrea Kotter, Underwriter Casualty Treaty at Munich Re – Munich
**Andreas Moser, Head of Client Management Latin America South at Munich Re – Munich