A importância do cyber seguro para agentes públicos e privados

Embora ainda pouco comentados pela mídia nacional, os ataques cibernéticos têm se tornado cada vez mais comuns, principalmente no Brasil, onde há um flagrante déficit de cultura sobre a segurança da informação. Além disso, a escassez de investimentos na área e as máquinas defasadas (com sistemas que não mais permitem atualizações) também contribuem para a exposição brasileira.

Um dado que demonstra o quão tais riscos são negligenciados em nosso país é o fato de que, na América do Norte, o risco cibernético aparece como a primeira preocupação das companhias, enquanto, na América Latina, o mesmo risco ocupa a modesta 18ª colocação.

Um dos reflexos deste resultado é o fato do Brasil ser o sexto país mais vulnerável a vírus que captam informações no mundo. Estima-se uma perda de 22 bilhões de dólares com ataques cibernéticos no país em 2017, sendo alguns exemplos marcantes: (i) o cyber ataque que paralisou as atividades do INSS (Instituto Nacional de Seguridade Social) por cerca de três dias, e (ii) o caso do Tribunal de Justiça de São Paulo, que teve mais de mil computadores afetados e precisou interromper seus atendimentos.

O seguro cyber foi regulamentado em 2007 no Brasil pela Superintendência de Seguros Privados (SUSEP). Este serviço visa resguardar os segurados contra riscos cibernéticos, oferecendo proteção em casos que envolvam responsabilidade civil decorrentes de ameaças cibernéticas ou atos de violação de privacidade e segurança.

Em caso de um ataque coberto pela apólice, a seguradora fica responsável por cobrir todos os gastos para resolver a situação, desde o pagamento de honorários e custas judiciais em disputas decorrentes dos ataques até os lucros cessantes que o segurado deixar de auferir ante a paralisação de uma operação online.

Pesquisas apontam que os setores com maior preocupação com ataque cibernético costumam ser o de aviação, educação e o governamental, sendo, este último, os maiores alvos dos hackers e cyber criminosos, por conta da quantidade de informações confidenciais que coletam.

Em 2013, já existiam discussões acerca da contratação destes seguros pelos entes públicos, no entanto, as vendas ao governo ainda eram escassas. As razões para as entidades públicas não contratarem eram: (i) o fato das autoridades terem dificuldade em descrever com precisão os detalhes de como seus dados eram protegidos; (ii) os órgãos públicos afirmavam que sua legislação os proibiam de adotar uma política que se estendesse além da cobertura mínima de responsabilidade; e (iii) o alto valor do seguro.

Porém, este cenário parece estar sofrendo alterações, como informa Dan Lohrmann, diretor de segurança da Security Mentor, uma empresa de treinamento em segurança nacional que trabalha com órgãos públicos. Segundo o diretor, o seguro está fazendo com que as autoridades públicas mantenham os seus programas de proteção e segurança sempre atualizados, tendo em vista que as seguradoras não vendem o cyber seguro aos órgãos públicos sem que eles atendam a certos padrões, incluindo – mas não se limitando – treinamento de funcionários, criptografia dos dados confidenciais e atualização de servidores.

Assim, tal situação pode ser vista como uma via de mão dupla de alta proteção, pois, ao mesmo tempo que a entidade conseguirá diminuir seus prejuízos em caso de sinistro, terá que aperfeiçoar seus sistemas para buscar níveis maiores de segurança.

O Estado de Montana, nos EUA, foi o primeiro daquele país a adquirir um seguro cibernético, ainda no ano de 2011, tendo sofrido um ataque três anos após a contratação em um servidor que possuía dados do Departamento de Saúde Pública e Serviços Humanos. A diretora de segurança de TI, Lynne Pizzini, informou que a cobertura foi de grande ajuda, significando uma considerável economia aos cofres públicos.

Naquela ocasião, a seguradora colaborou com as correspondências, montou um call center, prestando assistência jurídica e de comunicações e monitoramento de crédito. Nas palavras da diretora: “We used all of the services in our insurance policy,” (…) “It would have cost us a ton more than the premium we pay.” (Usamos todos os serviços em nossa apólice de seguro”.(…) “Isso nos custaria muito mais dinheiro do que o prêmio que pagamos”).

Atualmente, observa-se que mais de uma dezena dos estados dos EUA possuem cyber seguro, inclusive pelo fato de que hackers e cyber criminosos terem como alvos principais as redes dos governos estaduais e locais, que contêm informações que envolvem a seguridade social, número de contas bancárias, e cartões de crédito de créditos de milhões de pessoas e empresas.

O diretor de informações do estado de Connecticut, Mark Raymond, alerta sobre o risco de possibilidade de cyber ataques que possam interferir nas atividades rotineiras da administração pública: “ State governments also need to be aware of how cyber attacks can result in lost productivity, lost trust of government, and increased risk of bad decisions – such as a cyber criminals directing the state to let someone out of jail who isn’t supposed to be, or putting someone in jail that’s not supposed to be there” (Os governos estaduais também precisam estar cientes de como os ataques cibernéticos podem resultar em perda de produtividade, perda de confiança do governo e aumento do risco de más decisões – como um criminoso cibernético que direciona o Estado para deixar alguém fora da prisão que não deveria estar, ou colocar algum inocente na cadeia).

É preciso reforçar que o cyber seguro não vai impedir que ataques cibernéticos ocorram, porém, os efeitos destes ataques serão mitigados e os prejuízos repartidos entre quem sofreu o dano e sua seguradora. É necessário também ter em mente que, embora a cobertura possa ser uma grande ajuda, os agentes públicos precisam investir em segurança, manter sua tecnologia sempre atualizada e estarem preparados para as tentativas de invasão dos cyber criminosos, devendo ser o cyber seguro interpretado apenas como mais um elemento dentro da estratégia de proteção da companhia, nunca sendo o único modo de defesa, pois, principalmente quando se trata de segurança em tecnologia, “é melhor prevenir do que remediar”.

 

Referências:

http://www.revistacobertura.com.br/2018/02/05/brasil-perdeu-us-22-bilhoes-em-2017-com-ataques-ciberneticos/

https://oglobo.globo.com/economia/brasil-considerado-6-pais-mais-vulneravel-virus-que-sequestra-informacoes-de-computadores-21370922

https://www1.folha.uol.com.br/mercado/2017/06/1890267-procura-por-seguro-contrabrhackers-cresce-200.shtml

https://g1.globo.com/distrito-federal/noticia/inss-desliga-sistemas-no-df-e-libera-servidores-por-ameaca-de-invasao-hacker.ghtml

http://www.govtech.com/pcio/Why-Most-Governments-Dont-Carry-Cyber-Insurance.html

http://www.govtech.com/pcio/articles/Are-Governments-Ready-to-be-Buyers-of-Cybersecurity-Insurance.html

http://www.pewtrusts.org/en/research-and-analysis/blogs/stateline/2017/11/10/worried-about-hackers-states-turn-to-cyber-insurance

http://riskandinsurance.com/public-sector-upgrading-cyber-security/

https://link.estadao.com.br/noticias/cultura-digital,no-brasil-orgaos-publicos-foram-os-mais-afetados-pelo-wannacry,70001816480

 

Por Pedro Cavalcanti Rocha e Gabriella Salles

Fonte: https://www.lexmachinae.com/2018/06/26/cyber-seguro-agentes-publicos-privados/

Comentários

Comentários