Notícias | 01 de agosto de 2022 | Fonte: CQCS Por: Joaquín Carvallo De Ferari
A América Latina enfrenta um aumento preocupante de ataques cibernéticos em suas diversas formas. É fato que estes ataques tiveram um impacto no aumento de sinistros relatados sob as apólices que cobrem este risco na América Latina, uma região que até recentemente não registrava tantos sinistros do tipo e que também não possui leis que penalizem os diferentes crimes que podem ocorrer em um ataque cibernético. As poucas exceções na região são o Brasil e o Chile, países que incorporam o padrão europeu, conhecido como Convenção de Budapeste, que procura homogeneizar as reações dos países aos crimes digitais.
O recente caso de “ransomware” do grupo Conti – que afetou alguns sistemas de TI do governo da Costa Rica no mês de abril deste ano – demonstra a sofisticação e complexidade desses ataques e os riscos enfrentados pelos cidadãos em geral, governos e empresas em nossa região e no mundo.
Assim como a tecnologia da informação evoluiu, também evoluiu o crime cibernético. Além de encontrar novas maneiras de violar os sistemas de segurança digital, eles expandiram o alvo de seus ataques. Não são mais necessariamente as grandes empresas ou aquelas que fornecem serviços em massa, financeiros, de saúde ou de varejo que sofrem mais ataques deste tipo; eles agora se espalharam para afetar outros tipos de negócios. Dados da empresa Kaspersky mostram um aumento de 300% nos ataques contra pequenas e médias empresas no México, Brasil, Colômbia e Chile até agora em 20221.
As modalidades de ataque também mudaram. De acordo com o relatório “Digital Trust Survey 2022”, elaborado por PwC, os ataques mais comuns esperados em 2022 são os que visam serviços de nuvem e ransomware (57%), seguidos por malware e ataques a software da cadeia de suprimentos e/ou e-mail corporativo (56%)2.
Dados da divisão de cyber-segurança da Accenture3 afirmam que apenas 5% das empresas no mundo inteiro têm uma estratégia eficaz de cyber-segurança. Uma afirmação que, juntamente com os dados compartilhados acima, nos faz refletir sobre a necessidade urgente de as empresas agirem sobre esta questão, especialmente no que diz respeito às apólices de seguro de risco cibernético.
Em seguida, compartilho alguns conselhos para empresas latino-americanas que estão procurando ou têm apólices para este tipo de risco.
Os riscos. Um ataque cibernético de segurança envolve diferentes variáveis e estágios. Antes de mais nada, é importante destacar que os riscos envolvidos não são mais os mesmos que foram originalmente previstos. Há algum tempo, as seções sobre cobertura de responsabilidade por violação de dados deixaram de ser tão preocupantes, já que o marco regulatório na América Latina – com poucas exceções – não penaliza as empresas pelo roubo de dados de clientes. Mas as perdas devidas a danos, a paralisia que esses ataques podem causar, ou os custos de recuperação das informações necessárias para o funcionamento normal da empresa, são riscos latentes que devem fazer parte das apólices.
Ser claro sobre os riscos cobertos pela apólice é um fator determinante para uma boa proteção. Os efeitos de um ataque cibernético são diversos, alguns não implicam na cessação das operações, mas geram custos e perdas, que podem ser previstos.
A resposta. Na ocorrência de um ataque cibernético, é essencial ter um plano de contenção e continuidade comercial para deter o ataque, recuperar os dados roubados, avaliar os danos e coordenar a resposta. A coordenação entre a empresa afetada e os especialistas contratados para conter o evento é facilitada por um gestor de incidentes, que procura mitigar potenciais perdas em decorrência de sinistros com essas características.
Na Crawford, entendemos que as novas tecnologias trazem consigo novos riscos. Portanto, temos uma equipe especializada, com presença na América Latina, o que nos permite dar uma resposta imediata e eficiente. Quer estejamos liderando como gestores de incidentes ou atuando em nosso papel habitual como reguladores de sinistros.
Experiência. A experiência é a chave para responder a cada uma das perguntas que tornam este tipo de reclamação complexa. Dentre os serviços prestados pela Crawford nesta área, além da regulação ou liquidação de sinistros, também atuamos como gestores de incidentes. Para isto, temos protocolos de ação, contatos e profissionais especializados em responder e mitigar os danos, fornecendo a nossos clientes o apoio, habilidades, recursos, tecnologia e experiência necessários para responder rápida e adequadamente.
Conhecimento. Outra complexidade recorrente, especialmente para os casos na América Latina, é a falta de conhecimento que os segurados têm das coberturas e, especialmente, das ferramentas que as apólices de risco cibernético oferecem, especialmente em relação aos serviços de primeira resposta acima mencionados, bem como os de análise e investigação forense.
É comum que o segurado confie o tratamento do sinistro a prestadores que não atendem aos padrões esperados, agravando as consequências do incidente. Ou eles ativam sua apólice tarde, complicando o trabalho de contenção e afetando seriamente as investigações forenses.
Neste sentido, o treinamento constante da seguradora e dos corretores ao segurado ou ao gerente de cyber-segurança de uma empresa provou ser um bom mecanismo de prevenção, ao qual você pode acrescentar a consulta de especialistas para revisar suas apólices ou aquelas que você planeja adquirir.
Em conclusão, o que é essencial para superar estas e outras complexidades envolvidas no tratamento destes sinistros é o conhecimento da apólice de risco cibernético, especialmente os serviços, a cobertura e as condições que ela contém. O aumento do número de casos e a sofisticação dos ataques obrigam as empresas a se prepararem para lidar com sucesso com este novo fenômeno.