voltar

AMEAÇA ESTÁ MAIS PULVERIZADA

06.06.2022
Thiago Tristão no Valor Detalhe

Matéria originalmente produzida por Martha Funke para o Valor Econômico. 


A impossibilidade de receber nota fiscal da despesa do almoço no restaurante Varanda, em São Paulo, por ataque hacker ao sistema da casa, reforçou para Thiago Tristão, vice-presidente de riscos corporativos da corretora MDS, o nível de pulverização da ameaça cibernética. Este é um dos pontos que interferem diretamente no mercado de seguros para o segmento – e não é o único.  


O segmento ainda é pequeno, comparado ao volume total do mercado, mas o aumento de valores de prêmios e sinistralidade acelera a cada ano desde 2019, quando ganhou classificação própria pela Superintendência de Seguros Privados (Susep). Em 2021, o seguro de riscos cibernéticos arrecadou R$ 103 milhões, 149,9% sobre o ano anterior. As indenizações alcançaram R$ 75 milhões, aumento de 135% em relação a 2020. Nos dois primeiros meses deste ano, os prêmios já equivalem a faturamento de R$ 22 milhões, 55% mais que no mesmo período do ano passado, enquanto as indenizações avançaram 68,5%, com R$ 2 milhões.  

Em um primeiro momento as vendas foram incentivadas pela proximidade da Lei Geral de Proteção de Dados (LGPD), com o seguro assumindo papel de mitigador de multas em casos de exposição de informações de clientes, por exemplo. Mas, nos últimos anos, o aumento e a virulência dos ataques, principalmente de sequestros de sistemas com pedidos de resgate para recuperação (ransomware), provocaram crescimento, maior sofisticação na avaliação de riscos e aumento dos preços, com dificuldade de pulverização e falta de maturidade do mercado em relação à segurança cibernética.  

O risco cibernético compõe a lista dos dez maiores riscos globais no curto e no médio prazos, segundo relatório anual do Fórum Econômico Mundial, e encabeça o ranking de preocupações do Allianz Risk Barometer 2022, depois de ocupar a terceira posição no ano passado. Mesma coisa na última edição da pesquisa Global Risk Management, da Aon. As pesquisas, porém, foram realizadas antes da tensão extra provocada pelo conflito na Europa.  

A invasão da Ucrânia pela Rússia acendeu alertas diante da possibilidade de criação de novas armas digitais, inclusive com alcance global, já que ataques cibernéticos são essenciais nas modernas guerras híbridas."Guerras criam novas tecnologias”, resume Fernando de Falchi, da CheckPoint, especialista em segurança cibernética. A questão é que, a exemplo das armas convencionais, elas podem depois serem usadas em contextos extraestados.  

"Grupos (hackers) patrocinados por governos atuam há mais de 20 anos”, diz Fabio Assolini, analista sênior da empresa russa de segurança Kaspersky no Brasil. Em 2008, ataques de negação de serviço (DDoS, na sigla em inglês) saturaram computadores da Georgia antes da invasão militar russa. O código Stuxnet, projetado especificamente para destruir centrífugas de enriquecimento nuclear do Irã, teve criação atribuída aos Estados Unidos e a Israel.  

Ataques russos à Ucrânia são detectados desde 2014, quando forças de segurança ucranianas atribuíram ao país vizinho o bloqueio de comunicações por celular no país. Em 2015 e 2017, o abastecimento de energia foi cortado por ataques hackers. O grupo russo de criminosos cibernéticos Sandworm criou o vírus NotPetya, que chegou a sequestrar 10% dos computadores ucranianos e tomou o globo em 2017, com prejuízos calculados em US$ 10 bilhões.  

Para Ana Cristina Albuquerque, head de linhas financeiras da WTW Brasil, a guerra atual potencializou a tendência de risco elevado de ciberataque. Já Demétrio Carrion, sócio de cibersegurança da EY para Brasil e América do Sul, avalia que a falta de capacidade cirúrgica em armas cibernéticas pode conter ameaças ante a possibilidade de escalar o conflito para outros países – a Organização do Tratado do Atlântico Norte (Otan) já considera ciberataques graves contra aliados como gatilho para envolvimento da organização no conflito. Além disso, a Rússia tende a preservar a estrutura do país que busca controlar, diz ele. 

Mas a maior ameaça cibernética até agora são crimes tradicionais a que estão expostas empresas de todos os setores e portes. No ano passado, 66% das organizações globais e 55% das brasileiras sofreram com este tipo de ataque, segundo estudo da Sophos, especialista em segurança. O número de vítimas que pagaram resgates acima de US$ 1 milhão alcançou 11% do total. 

Só neste ano, ataques bem-sucedidos no Brasil envolveram sistema financeiro, varejo, indústria, saúde e tecnologia, entre outros. Os exemplos incluem vazamento de chaves Pix do Banco Central, invasão de sistemas de informação da Caixa, suspensão de vendas das marcas da Americanas SA e da AGCO. Em dezembro os sistemas do Ministério da Saúde foram derrubados e os sistemas internos e em nuvem tiveram de ser reconstruídos. A Porto Seguro foi alvo em outubro, com parte de seus sistemas afetada.  


O movimento levou as seguradoras a reformular suas ofertas. Ante o índice de sinistralidade, um dos impactos foi nos preços, que cresceram em torno de 40% nos últimos doze meses. Outro foi aumentar a régua para avaliação dos riscos e oferecer mais serviços para apoiar a segurança dos clientes.  

A Zurich reforçou sua estrutura de engenharia de riscos para ter um profissional capaz de conversar pessoalmente com a área de segurança ou tecnologia da informação na empresa. Os resultados geram avaliação qualitativa e quantitativa (escore) do risco, do ponto de vista da seguradora, e são entregues em relatório com recomendações de melhoria, se for o caso. O seguro-ciber também foi incluído no aplicativo da marca, o Risk Advisor, com diagnóstico e recomendações gratuitas.  

A procura do produto na companhia cresceu 50% nos últimos doze meses. Preços e franquias também subiram, diz Hellen Fernandes, gerente de linhas financeiras da Zurich, que aceita clientes a partir de R$ 100 mil de faturamento anual. "Taxas e franquias estão aumentando e as ofertas, diminuindo”, acrescenta Tiago Lino, especialista em riscos cibernéticos na AIG e membro da Comissão de Linhas Financeiras da Federação Nacional de Seguros Gerais (FenSeg). Segundo ele, a variação das taxas ficou entre 80% e 100% nos últimos doze meses e os limites também foram reduzidos, hoje com ofertas limitadas, em média, a R$ 5 milhões.  

A AIG foi uma das primeiras a levantar junto aos interessados informações específicas relacionadas a controles de ransomware, com 340 questões inseridas em seu questionário abordando tópicos como controle de autenticação, testes de ações fraudulentas capazes de expor a empresa a ameaças (phishing) e treinamento de funcionários.  

A avaliação e a precificação da seguradora são apoiadas por parceiros, como a Deloitte, responsáveis por mapear vulnerabilidades em sites públicos e questionar potenciais clientes a respeito de medidas adotadas. O serviço de monitoramento continua durante a vigência do contrato. 

Segundo Tiago Lino, o registro de sinistros na Susep fica abaixo da realidade do mercado, já que a sofisticação envolvida no cibercrime amplia o prazo de finalização. Outra característica do setor é o consumo de 100% da cobertura, geralmente em pagamento de prejuízos do próprio segurado, como custo de resposta a incidente, investigação forense e lucro cessante (cobertura de primeira parte), sem sequer chegar em questões como responsabilização por perdas com exposição de dados, por exemplo (cobertura de terceira parte). Como os principais clientes são grandes empresas, falta capacidade para atender toda a demanda e o mercado analisa formatos para ampliar a base, com formatos predefinidos para empresas com perfis determinados, por exemplo.  

A Tokio Marine se especializou no segmento de pequenas e médias empresas (PME) para aproveitar sua capilaridade. A exposição midiática dos ataques fez a procura crescer seis vezes nos dois primeiros meses do ano em relação ao primeiro bimestre de 2021. A empresa oferece junto da apólice sistemas de proteção, como backup e firewall da parceira Avast. Por falta de interesse dos criminosos, a sinistralidade no segmento fica em torno de 1% a 2%, observa Caroline Ayub, superintendente de linhas financeiras. O produto tem apoio da resseguradora Austral Re. "Optamos por um mercado desassistido”, diz a diretora Maria Victoria Barbará.  

O segmento atraiu a Argo, que se prepara para entrar no mercado no segundo semestre. A meta é simplificar a contratação com avaliação e venda digital e oferecer soluções tecnológicas mais sofisticadas para apoiar o seguro, diz Fernando Gonçalves, head de linhas financeira.  

Devido à complexidade e à falta de cultura em relação ao produto, os corretores passaram de evangelizadores a consultores especializados no ramo. Marta Schuh, da Marsh, usa o exemplo dos incêndios para mostrar o tamanho do risco cibernético – ambos paralisam operações, mas enquanto um se concentra em uma só localidade, o segundo pode ter impacto na companhia inteira.  

Marta observa que agora surge até demanda não atendida, por falta de maturidade cibernética do interessado, muitas vezes impulsionado por exigências regulatórias, como a LGPD. Por outro lado, a alteração relacionada a grandes riscos pela Susep permitiu flexibilização para inserir coberturas antes inexistentes. Um dos exemplos é a cobertura sobre a multa pelo tempo que um navio fica parado em porto sem partir (demurrage). "É possível negociar cláusulas particulares com maturidade do risco”, diz.  

Com um ciclo de venda que pode levar até seis meses, alguns setores estão ainda pressionados por regulações específicas, como empresas de energia, com necessidade de adequação a diretrizes da Agência Nacional de Energia Elétrica (Aneel) relacionada a riscos cibernéticos até julho. Por outro lado, o risco é tamanho que, além de limites, há seguradoras excluindo eventos de ransomware, responsáveis por 60% das indenizações, explica Daniela Reis, diretora da Gallagher.  

O crescimento de sinistros declarados, o risco da guerra e o incremento de ataques cibernéticos relacionados motivam a busca do seguro- cibernético, avalia a head de linhas financeiras da WTW Brasil, Ana Cristina Albuquerque. "A preocupação cresce ainda mais nas empresas que já tiveram concorrentes em situação de risco”, acrescenta Fernando Martinez, diretor de ramos elementares da corretora It´s Seg.  

Para Thiago Tristão, da MDS, além do crescimento provocado pelo prejuízo, com maior sinistralidade, um dos desafios do mercado é a concentração, já que AIG, Zurich e Tokio Marine respondem por 80% do mercado e, das dez ofertantes, uma anunciou saída do mercado em janeiro (a AXA). Segundo ele, hoje está mais caro descobrir, mitigar e calcular as perdas com o ataque do que a indenização em si e só 20% das empresas acoplam ao ciber-seguro crime, capaz de cobrir prejuízos diretos, como dinheiro roubado. Mas já surgem movimentos que miram a pulverização, como clientes de telefonia que buscam acoplar produtos ciber para pessoas físicas, diz.  

Outro desafio é a sofisticação dos atacantes, que também "precificam” suas vítimas com base em dados como valor de mercado, vendas e até seguros para calcular, por exemplo, o valor do resgate a ser solicitado. O pagamento, aliás, não garante a devolução de sistemas e dados. Segundo a Sophos, apenas 55% das empresas obtiveram seus dados restaurados após o pagamento de resgate no ano passado.  

Além disso, o ransomware dá margem a chantagem tripla, ante a ameaça de vazamento e venda dos dados para terceiros, diz Lúcio Anacleto, sócio da KPMG, parceira de algumas seguradoras do ramo, inclusive para definição de riscos.  

O risco só é menor porque há uma espécie de "ética do mal” entre os sequestradores. Se a vítima pagar e mesmo assim ter seus dados divulgados, por exemplo, o incentivo ao pagamento começa a cair e o próximo sequestrado pode não pagar, avalia Demétrio Carrion, da EY, outra que tem ajudado seguradoras a avaliar riscos de subscrição.  

Também parceira das empresas para avaliação dos riscos e cálculo de prêmios, a Capgemini formatou pacote para o segmento com oferta de revisões de políticas de segurança, acompanhamento preventivo e serviços de reposta a incidente, explica o executivo de segurança cibernética Leonardo Carissimi.