Implementar medidas de segurança e prevenção para conter e erradicar os efeitos do cibercrime é uma questão de alta prioridade, basta dar uma olhada no custo causado pelos ataques cibernéticos em 2020, cujo impacto foi de cerca de 945 bilhões de dólares segundo estimativas da McAfee.
Com base no estudo Ciberseguro: fortalecendo a resiliência para a transformação digital, elaborado pelo Swiss Re Institute, a vida no mundo apresenta uma clara e crescente instabilidade geopolítica e econômica multifatorial causada, entre outros agravantes, pela guerra na Ucrânia e pelas tensões latentes entre Estados Unidos e China.
A fonte aponta que, paralelamente a isso, muitas facetas da vida se tornaram rapidamente mais digitais e todas elas com forte exposição ao espectro dos ataques cibernéticos.
A Swiss Re enfatiza que a possibilidade de um ataque privado ou patrocinado pelo Estado a outro país ou região com consequências catastróficas é muito real. Pode até assumir a forma de um ataque a instalações de infraestrutura, como redes elétricas ou sistemas de comunicação importantes, entre outros.
Portanto, as perdas resultantes de um evento cibernético sistêmico podem ser enormes, impactando os negócios, a economia em geral e a sociedade. Felizmente, acrescenta, até agora não houve um incidente sistêmico desse tipo. No entanto, quando se trata de risco cibernético, o cenário está evoluindo rapidamente, com incidentes de ransomware e preocupações com segurança cibernética de empresas e governos em alta.
Os ataques tornaram-se mais sofisticados. Os hackers agora usam técnicas de “extorsão tripla” e, para combater isso, o ransomware serviu para diminuir as barreiras à entrada de criminosos cibernéticos.
Pequenas e médias empresas (PMEs), a maioria das quais com pouca capacidade de defesa, tornaram-se alvos fáceis para cibercriminosos, enquanto a digitalização de indústrias, incluindo os setores de saúde e infraestrutura crítica, correm maior risco em toda a cadeia de suprimentos.
Antes do ataque NotPetya de 2017, os riscos cibernéticos se concentravam em violações de dados e responsabilidade de terceiros. Para as resseguradoras, a proliferação de regulamentações de privacidade de dados abre as portas para processos judiciais e aumenta a exposição ao risco de cauda longa”, destaca o estudo.
Nos últimos dois anos, as reivindicações se tornaram comuns, com incidentes de ransomware do crime organizado. Empresas, seguradoras e governos intensificaram os esforços de gerenciamento de riscos, e associações e seguradoras do setor trabalharam juntas para abordar a questão relacionada do “cibersistema silencioso” ao esclarecer o escopo das políticas tradicionais.
Neste panorama, acrescenta o documento, os seguros desempenham um papel fundamental, proporcionando não só a transferência do risco, mas também o incentivo à mitigação do risco, apoiando a monitorização e auxiliando na resposta a ataques cibernéticos.
Mas a lacuna de proteção cibernética continua grande, com prêmios representando apenas uma fração das perdas totais de ataques cibernéticos. A maioria das empresas não tem seguro ou tem seguro insuficiente para riscos cibernéticos.
Em uma pesquisa recente, apenas 55% das empresas relataram ter cobertura cibernética e menos de uma em cada cinco tem limites de cobertura acima da demanda média por ransomware.
A Swiss Re estima que as reivindicações totais decorrentes de um ataque cibernético direcionado a uma PME são três vezes maiores do que as de grandes corporações e variam de US$ 20.000 a US$ 100.000 para uma empresa com faturamento inferior a US$ 50 milhões.
O aumento dos ataques de ransomware ampliou as taxas de perda em 2020. As seguradoras responderam aumentando os preços, melhorando a disciplina de subscrição, introduzindo sublimites de cosseguro, esclarecendo termos e condições e excluindo (ou preço explícito) exposições cibernéticas em outras apólices de propriedade e responsabilidade civil. Essas ações tiveram algum sucesso: os índices de sinistralidade estagnaram em 2021″, indica a investigação.
Alguns dos riscos cibernéticos de hoje não atendem totalmente às características típicas de segurabilidade. Em particular, a agregação de perdas pode afetar rápida e significativamente a diversificação ou desafiar a capacidade do mercado, adverte o Swiss Re Institute.
Por outro lado, o risco é difícil de quantificar devido a dados imaturos e falta de consenso do modelo. Segurabilidade limitada restringe a capacidade apesar da demanda crescente, criando desafios para o crescimento do mercado a longo prazo.
Lidar com essas limitações requer mais talento cibernético, dados padronizados e melhor modelagem. Consistência nos contratos e novas fontes de capital são necessárias. Também há espaço para considerar oportunidades para novos tipos de mecanismos de compartilhamento de riscos público-privados.
Por fim, Swiss reconsidera que essas medidas podem ajudar a mitigar exposições gerais, melhorar a compreensão do risco e ajudar a tornar a sociedade mais resiliente a ataques com efeitos devastadores e consequências potencialmente sistêmicas. A natureza humana e em rede do ciberespaço significa que o risco continuará a evoluir, exigindo uma resposta coordenada. Melhorar a resiliência exigirá, em resumo, colaboração entre corporações, seguradoras e governos.