Cyber risk e a cobertura de seguro marítimo

Segurança cibernética marítima: Descubra como mitigar ameaças cibernéticas no setor marítimo.

Por Flavio Bermudes e Guilherme Scorzelli

O advento dos computadores deu grande impulso à automação e esta foi potencializada pela possibilidade das máquinas se comunicarem pela internet. Nos últimos anos a inteligência artificial trouxe mais otimização a este processo. Desta forma, hoje dependemos de 100% de sistemas operantes para que possamos conduzir a vida de forma corriqueira. No entanto, este novo cenário trouxe outros desafios sendo os ataques cibernéticos um deles. Estes estão cada vez mais complexos, atingindo toda e qualquer área de uma empresa que possa resultar em retorno vantajoso para terceiros mal-intencionados.

Em que pese que tradicionalmente, quando se fala em danos, imediatamente se visualiza a figura de danos físicos, os ataques cibernéticos podem resultar em danos de diversas naturezas, especialmente prejuízos financeiros, visíveis apenas no caixa da empresa. Estes ataques não podem ser evitados. Mas a forma como a empresa vai lidar com isso decidirá o que o invasor conseguirá se beneficiar. 

O mercado de seguros identificou esta vulnerabilidade e complexidade do tema e se adiantou se protegendo destes ataques. Desta forma, o mercado de seguros criou, mais especificamente no ramo marítimo, as cláusulas de excludente de responsabilidade para cobertura em caso de ataque cibernético.

Como exemplo, tem a LMA 5403 – Marine Cyber Endorsement, que foi emitida pelo mercado do Lloyd’s em 2019.  Essa cláusula exclui qualquer perda, dano ou custos de responsabilidade, direta ou indiretamente, pelo uso de um computador e seus sistemas e software, como meio de infringir danos. No seguro de cascos e máquinas de embarcações por exemplo, esta cláusula de exclusão é padrão.

Regulamentação em shipping

Por outro lado, diante da crescente e inevitável “indústria de ataques cibernéticos”, organizações internacionais têm fornecido importantes resoluções para tratar do assunto.

Aumentar a conscientização e tomar todas as medidas proativas necessárias contra ameaças cibernéticas será o próximo desafio para o transporte marítimo e sua logística para proteger a economia global e o bem-estar da sociedade.

Um exemplo é a IMO, International Maritime Organization, que emitiu a Resolução MSC 428 (98) que cobre diretrizes sobre gerenciamento de riscos cibernéticos marítimos.  Os requisitos para integrar o risco cibernético aos sistemas de gerenciamento de segurança a bordo entraram em vigor em 1º de janeiro de 2021. 

A resolução detalha o seguinte:

  • Afirma que um sistema de gestão da segurança aprovado deve ter em conta a gestão dos riscos cibernéticos em conformidade com os objetivos e requisitos funcionais do código ISM;
  • Incentiva os administradores a garantir que os riscos cibernéticos sejam abordados nos sistemas de gerenciamento de segurança até a primeira verificação anual do documento de conformidade da empresa após 1º de janeiro de 2021;
  • Reconhece necessidade de precauções necessárias para preservar a confidencialidade de certos aspectos da gestão dos riscos cibernéticos.

Na linha da resolução da IMO, a Diretoria de Portos e Costas, DPC, do Brasil determinou as capitanias dos portos realizarem, através dos “port e flag state control”, inspeções das embarcações visando saber se estão de acordo com os requisitos estabelecidos nas convenções e códigos internacionais ratificados pelo Brasil.

O mesmo acontece em sociedades classificadoras.  Em janeiro de 2024, a IACS – International Association of Class Societies, emitiu novos requisitos que se tornaram mandatórios, a saber:

  • UR E26 – resiliência cibernética para navios;
  • UR E27 – resiliência cibernética para equipamentos;

Para todos os contratos assinados após 1º de janeiro de 2024, os estaleiros e fornecedores de equipamentos terão que atender aos requisitos UR E26 e UR E27 para que uma nova construção seja aceita por uma sociedade de classe. Eles também terão que fornecer a documentação que ateste a conformidade da embarcação, que os armadores terão que atualizar durante todo o seu ciclo de vida.

É importante lembrar que os contratos de afretamento geralmente dispõem que a embarcação afretada deve estar em condição de navegabilidade (seaworthy). O conceito de seaworthy pressupõe a segurança cibernética (cyberworthy). Desta forma, uma embarcação que não está com a segurança cibernética em dia, não está apta a navegar. Ato contínuo, caso o armador coloque a embarcação para navegar, ele quebrará uma cláusula contratual. Consequentemente, o armador perderá todas as defesas/excludentes contratuais. Isto é relevante principalmente no ambiente da indústria offshore, pois os contratos tendem a seguir o padrão knock for knock. Estes contratos dispõem que cada parte responde por sua perda, não sendo o armador responsável por perdas a plataformas de produção e perfuração por exemplo.    

Medidas protetivas

Não há como evitar de sofrer ataques cibernéticos.  Mas os armadores têm o dever de administrar tais riscos, realizando várias ações para avaliar e mitigar os riscos de segurança cibernética, desenvolvendo, aplicando e mantendo metodicamente o gerenciamento de riscos de segurança cibernética em conformidade com a IMO. Esses incluem: 

  • Mapeamento de sistemas de tecnologia da informação (TI) e tecnologia operacional (TO), para construir um inventário abrangente de ativos digitais, incluindo sistemas, equipamentos, redes, interconexões, mecanismos de segurança;
  • Realizar uma avaliação de risco, incluindo todos os sistemas de TI e TO para identificar ativos críticos vulneráveis a ameaças externas e internas de segurança cibernética;
  • Estabelecer planos de gestão, políticas e procedimentos para responder a incidentes cibernéticos;
  • Incorporar medidas de segurança cibernética aos sistemas de gerenciamento de riscos de segurança existentes;
  • Garantir que a tripulação esteja ciente e treinada adequadamente;

Do seguro

Alguns mercados disponibilizam coberturas de seguros para danos físicos (o que é normalmente descoberto pela apólice de Cyber Risks) causados por ataque cibernético. Para tanto, o segurado precisa inicialmente demonstrar que possui um robusto e atualizado gerenciamento de risco. Há muito trabalho a fazer no conjunto seguradora, segurado e contando sempre com o valioso suporte do broker assegurando que uma solução taylor made será entregue.

Compartilhe

Descubra como podemos fazer mais pelos seus riscos

Não importanta o tamanho da sua exposição, a gente tem soluções que mantém sua empresa a frente da curva

Rio de Janeiro

Rua Lauro Müller, 116, Sala 1905 - Botafogo CEP: 22290-160

são paulo

Rua Pequetita, 215 - 3º andar - Vila Olímpia CEP: 04552-060

© 2024 Inter Risk Services - Todos os direitos reservados.