Por Flavio Bermudes e Guilherme Scorzelli
O advento dos computadores deu grande impulso à automação e esta foi potencializada pela possibilidade das máquinas se comunicarem pela internet. Nos últimos anos a inteligência artificial trouxe mais otimização a este processo. Desta forma, hoje dependemos de 100% de sistemas operantes para que possamos conduzir a vida de forma corriqueira. No entanto, este novo cenário trouxe outros desafios sendo os ataques cibernéticos um deles. Estes estão cada vez mais complexos, atingindo toda e qualquer área de uma empresa que possa resultar em retorno vantajoso para terceiros mal-intencionados.
Em que pese que tradicionalmente, quando se fala em danos, imediatamente se visualiza a figura de danos físicos, os ataques cibernéticos podem resultar em danos de diversas naturezas, especialmente prejuízos financeiros, visíveis apenas no caixa da empresa. Estes ataques não podem ser evitados. Mas a forma como a empresa vai lidar com isso decidirá o que o invasor conseguirá se beneficiar.
O mercado de seguros identificou esta vulnerabilidade e complexidade do tema e se adiantou se protegendo destes ataques. Desta forma, o mercado de seguros criou, mais especificamente no ramo marítimo, as cláusulas de excludente de responsabilidade para cobertura em caso de ataque cibernético.
Como exemplo, tem a LMA 5403 – Marine Cyber Endorsement, que foi emitida pelo mercado do Lloyd’s em 2019. Essa cláusula exclui qualquer perda, dano ou custos de responsabilidade, direta ou indiretamente, pelo uso de um computador e seus sistemas e software, como meio de infringir danos. No seguro de cascos e máquinas de embarcações por exemplo, esta cláusula de exclusão é padrão.
Regulamentação em shipping
Por outro lado, diante da crescente e inevitável “indústria de ataques cibernéticos”, organizações internacionais têm fornecido importantes resoluções para tratar do assunto.
Aumentar a conscientização e tomar todas as medidas proativas necessárias contra ameaças cibernéticas será o próximo desafio para o transporte marítimo e sua logística para proteger a economia global e o bem-estar da sociedade.
Um exemplo é a IMO, International Maritime Organization, que emitiu a Resolução MSC 428 (98) que cobre diretrizes sobre gerenciamento de riscos cibernéticos marítimos. Os requisitos para integrar o risco cibernético aos sistemas de gerenciamento de segurança a bordo entraram em vigor em 1º de janeiro de 2021.
A resolução detalha o seguinte:
- Afirma que um sistema de gestão da segurança aprovado deve ter em conta a gestão dos riscos cibernéticos em conformidade com os objetivos e requisitos funcionais do código ISM;
- Incentiva os administradores a garantir que os riscos cibernéticos sejam abordados nos sistemas de gerenciamento de segurança até a primeira verificação anual do documento de conformidade da empresa após 1º de janeiro de 2021;
- Reconhece necessidade de precauções necessárias para preservar a confidencialidade de certos aspectos da gestão dos riscos cibernéticos.
Na linha da resolução da IMO, a Diretoria de Portos e Costas, DPC, do Brasil determinou as capitanias dos portos realizarem, através dos “port e flag state control”, inspeções das embarcações visando saber se estão de acordo com os requisitos estabelecidos nas convenções e códigos internacionais ratificados pelo Brasil.
O mesmo acontece em sociedades classificadoras. Em janeiro de 2024, a IACS – International Association of Class Societies, emitiu novos requisitos que se tornaram mandatórios, a saber:
- UR E26 – resiliência cibernética para navios;
- UR E27 – resiliência cibernética para equipamentos;
Para todos os contratos assinados após 1º de janeiro de 2024, os estaleiros e fornecedores de equipamentos terão que atender aos requisitos UR E26 e UR E27 para que uma nova construção seja aceita por uma sociedade de classe. Eles também terão que fornecer a documentação que ateste a conformidade da embarcação, que os armadores terão que atualizar durante todo o seu ciclo de vida.
É importante lembrar que os contratos de afretamento geralmente dispõem que a embarcação afretada deve estar em condição de navegabilidade (seaworthy). O conceito de seaworthy pressupõe a segurança cibernética (cyberworthy). Desta forma, uma embarcação que não está com a segurança cibernética em dia, não está apta a navegar. Ato contínuo, caso o armador coloque a embarcação para navegar, ele quebrará uma cláusula contratual. Consequentemente, o armador perderá todas as defesas/excludentes contratuais. Isto é relevante principalmente no ambiente da indústria offshore, pois os contratos tendem a seguir o padrão knock for knock. Estes contratos dispõem que cada parte responde por sua perda, não sendo o armador responsável por perdas a plataformas de produção e perfuração por exemplo.
Medidas protetivas
Não há como evitar de sofrer ataques cibernéticos. Mas os armadores têm o dever de administrar tais riscos, realizando várias ações para avaliar e mitigar os riscos de segurança cibernética, desenvolvendo, aplicando e mantendo metodicamente o gerenciamento de riscos de segurança cibernética em conformidade com a IMO. Esses incluem:
- Mapeamento de sistemas de tecnologia da informação (TI) e tecnologia operacional (TO), para construir um inventário abrangente de ativos digitais, incluindo sistemas, equipamentos, redes, interconexões, mecanismos de segurança;
- Realizar uma avaliação de risco, incluindo todos os sistemas de TI e TO para identificar ativos críticos vulneráveis a ameaças externas e internas de segurança cibernética;
- Estabelecer planos de gestão, políticas e procedimentos para responder a incidentes cibernéticos;
- Incorporar medidas de segurança cibernética aos sistemas de gerenciamento de riscos de segurança existentes;
- Garantir que a tripulação esteja ciente e treinada adequadamente;
Do seguro
Alguns mercados disponibilizam coberturas de seguros para danos físicos (o que é normalmente descoberto pela apólice de Cyber Risks) causados por ataque cibernético. Para tanto, o segurado precisa inicialmente demonstrar que possui um robusto e atualizado gerenciamento de risco. Há muito trabalho a fazer no conjunto seguradora, segurado e contando sempre com o valioso suporte do broker assegurando que uma solução taylor made será entregue.