Informe-se Notícias

LGPD, digitalização e adoção do home office estimulam busca por proteção

Apólices contam com serviços para atendimento pós-invasão, realizados por terceiros


Fonte: Valor Econômico - 25 de Agosto de 2020

Apesar de modesto em volume, o seguro cibernético cresceu 115% no primeiro semestre sobre o mesmo período de 2019, atingindo R$ 18 milhões em prêmios. Em 2019, o resultado anual foi de R$ 21 milhões. A aprovação da Lei Geral de Proteção de Dados (LGPD) e o número de ataques cibernéticos com prejuízos milionários estimularam o interesse das empresas Este ano, o aumento do perímetro suscetível a ataques com o home office e a digitalização a toque de caixa aumentaram a necessidade de proteção.
 
 
“O seguro cibernético é respaldo adicional para reforçar políticas de proteção de dados e planos de continuidade de negócios”, explica Flávio Sá, coordenador da subcomissão de linhas financeiras da Federação Nacional de Seguros Gerais (FenSeg). Os fornecedores ampliaram as ofertas para demandas cada vez mais complexas, já que um único evento pode acionar efeito cascata, de acordo com os tipos de danos acarretados.
 
Isso vai de prejuízos de terceiros com vazamento de dados até o pagamento de extorsões, paralisação de operações e abalos na reputação e imagem das companhias.
 
AIG inclui prevenção, como monitoramento da deep web para antecipar ataques orquestrados
 
A maior parte das seguradoras que atuam no ramo já contam com produtos pré-formatados para a economia digital. Eles chegaram ao Brasil com contratos globais pelas pioneiras AIG e XL, depois comprada pela AXA, mas ataques massivos mundiais como o provocado pelo malware Wanna Cry despertaram a atenção local a partir de 2017.
 

No ano passado, a AIG registrou aumento de 60% na contratação de apólices cibernéticas, somando R$ 10,3 milhões em prêmios. Em 2020, até junho, alcançou R$ 8,5 milhões. O aumento reflete a preocupação com a entrada em vigor da LGPD e com empresas que enfrentaram crises cibernéticas, segundo Tiago Lino, especialista em riscos cibernéticos da AIG.
 

A LGPD também estimula ramos como responsabilidade civil profissional, amparando reclamações por falha na prestação de serviços de empresas dedicadas a ajudar seus clientes a se adequarem à lei, como escritórios de advocacia.
 

As apólices, via de regra, contam com serviços adicionais para atendimento pós-evento, realizados por terceiros. A AIG inclui até prevenção, como monitoramento da deep web para antecipar ataques orquestrados a um determinado setor. No Brasil, oferece serviços como scanner de vulnerabilidades, treinamento em segurança de informação focados em prevenção e canal de primeira resposta, serviço de atendimento especializado operado pela Deloitte.
 

“O interesse das coberturas varia de acordo com o setor”, diz Ana Cristina Albuquerque, gerente de linhas financeiras da Willis Towers Watson. Além de questões como custos de defesa e multas impostas pela nova lei, o e-commerce pode mirar vazamento de informações de clientes e a indústria, cobertura de interrupção de negócios, lucros cessantes e despesas operacionais para restauração. A executiva explica que costuma haver dúvidas sobre o funcionamento da apólice. “Cobertura de danos materiais devem ser verificadas dentro das apólices de propriedades”, exemplifica.
 

Pesquisa da empresa junto a clientes no primeiro trimestre mostrou que 40% das empresas indicaram ter sofrido ataques digitais, principalmente com objetivo de entrar em redes bancárias, obter informações financeiras e furtar recursos corporativos e de pessoas físicas. Mas os prejuízos vão além.
 
Honda, Natura, Energisa, Light e CPFL são empresas que sofreram ataques graves este ano
 
Só em 2020, a Honda, por exemplo, foi afetada por ramsomware que impediu o uso de sistemas computacionais e provocou suspensão de parte da produção, incluindo Brasil. A Natura informou “acidente cibernético” e operações parcialmente afetadas. No setor elétrico, a Energisa teria pago resgate de R$ 3 milhões depois de 120 horas de ataque. Light e CPF também registraram incidentes. A Aneel chegou a abrir consulta pública para estruturar um quadro cibernético para o setor.
 

“Até o começo do ano a procura era para complementação da LGPD. Mas a digitalização só vai aumentar e depois de abril a questão operacional ganhou mais atenção”, diz Marta Schuh, superintendente de riscos cibernéticos da Marsh Brasil, que tem sinistros abertos nas áreas de serviço e indústria. Entre as ofertas do mercado ela destaca, além da AIG, a AXA, com parceria com Accenture, a Chubb, com apetite para riscos industriais complexos, o trabalho de avaliação da Zurich e a emissão para pequenas empresas da Tokyo Marine.
 

Claudio Macedo Pinto, fundador da corretora especializada Clamapi, conta que a empresa já emitiu 15 apólices, no Brasil e no exterior, e tem mais 20 para emissão até o fim do ano com base em responsabilidade civil sobre dados de terceiros, danos próprios, como contratação de perito forense, advogados, resgate, lucro cessante ou multas, e assistência 0800, com serviços terceirizados ou quarteirizados. “Muitas empresas não estão preparadas e a seguradora vira um plano de resposta a incidente”, diz ele.
 

Entre os exemplos de exclusões ele menciona ameaça material ou pessoal para acesso a sistemas, o que seria alvo de seguro extorsão.
 

O pagamento de resgate para recuperação de sistemas não é tão incomum. No início de agosto, a marca de relógios inteligentes Garmin pagou US$ 10 milhões ao sequestrador. “O custo da descriptografia pode ser superior ao do resgate”, acrescenta o vice-presidente e chief underwriting officer da Chubb Brasil, Leandro Martinez.
 

Segundo ele, a LGPD contribuiu para aumentar a consciência e a percepção subjetiva do risco cibernético no país. A marca oferece produto amplo em responsabilidade (terceiros) e dano próprio (primeira pessoa), com diversas subcoberturas.
 

O primeiro caso inclui responsabilidade por privacidade do dado, indenização decorrente de exposição, segurança e restabelecimento de rede e conteúdo eletrônico, como no caso de ação por alguém que se sinta ofendido por publicação da empresa. Já o segundo envolve cobertura para extorsão, ativos digitais e lucro cessante. As coberturas estão relacionadas, assim como a LGPD, a dados de pessoas físicas. Não incluem questões como internet das coisas (IoT) - a parada de uma fábrica controlada por sistema de automação colapsado por invasão passaria para a esfera de responsabilidade profissional, seja da própria empresa, seja do fornecedor de tecnologia.
 

A AGCS, cuja carteira cresceu 204% no primeiro semestre de 2020 em relação ao mesmo período de 2019, ampliou sua rede de parceiros e detalhou melhor cláusulas como sinistro de negação de serviço por ataque maciço de acessos fictícios (DDoS) e uso de capacidade de processamento e sistemas para mineração de bitcoins. Além de terceira parte e dano  próprio, as coberturas incluem questões regulatórias, explica o subscritor de linhas financeiras América do Sul Jacopo Angelozzi.
 

“O próprio questionário para cotação e o levantamento de riscos já ajudam a criar cultura de segurança”, avalia Angelozzi. A Zurich oferece até ações educacionais para corretores, empresas e colaboradores do segurado para abordar riscos como phishing e outros.
 

A empresa trouxe o produto para o Brasil em 2016 por contratação global e colocou o produto em prateleira no ano seguinte para proteger dados, seja decorrente de ataques ou até de erros humanos. “É um dos grandes vetores de ataque, assim como a falta de atualização de sistema operacional”, explica Fernando Saccon, superintendente de linhas financeiras e seguro garantia da Zurich.
 

Marina Ortiz, head de cyber insurance Iberia & Latam da Generali, lembra que segundo dados da IBM o número de ataques cibernéticos no Brasil aumentou 300% depois de março. A empresa conta com parceiros locais especialistas em cibersegurança, como KPMG e Tempest, além de contar com a expertise da resseguradora Beazley. “A procura local cresceu pelo menos 50%”, afirma.
 
 
 
 
 
 
 
 
 
 
 
 

.
 

 
 

 
 
 
 

 
 
 
 
 
 
 
 
 
 
.
 
 
 
 
 

 
 

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
.
 
 
 
 
 
 
 
 
 
 
 

 
 
 
 
 
 

 
 
 
 

 
 
 
 
 
 
 
.
 

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
.
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
.