Por João Roballo
Você já deve estar habituado a ouvir falar dos riscos cibernéticos, certo? Sabe por que é importante
mitigar esse tipo de risco no seu negócio? As linhas abaixo buscam responder a essas e outras
perguntas e visam trazer à tona esse tema atual e tão importante no mundo globalizado em que
vivemos, onde segurança de dados e inteligência artificial são os assuntos do momento. Em um
recente encontro dos especialistas da Inter com parceiros em Londres, Reino Unido, alguns dos
principais tópicos e mitos que envolvem os riscos cibernéticos no setor marítimo foram debatidos.
Inicialmente, é importante entendermos a definição de risco cibernético: é a probabilidade de
ocorrência de uma exposição de dados sensíveis, informações relevantes e sigilosas de uma organização.
O tópico trata também das chances de perdas financeiras de ativos críticos, assim como de danos à reputação de uma companhia como resultado de um ataque ou violação cibernética na rede de uma organização. Em outras palavras, podemos dizer que os riscos cibernéticos estão diretamente relacionados às tentativas criminosas de danificar, roubar ou destruir dados, comprometendo sites, servidores ou interrompendo infraestruturas inteiras de tecnologia; o que acaba por afetar não apenas a área de TI de uma empresa, mas sim o negócio como um todo.
Nesse sentido, a segurança cibernética é um tema de fundamental importância para qualquer empresa
da atualidade e deve ter seu escopo trabalhando por todas as instâncias das organizações; principalmente aquelas que geram ativos cruciais para a empresa, a sociedade em geral e, num contexto
mais amplo, até mesmo a economia nacional e, por que não dizer, global.
Você já pensou em quanto um banco, por exemplo, onde praticamente todas as transações ocorrem
“na nuvem”, precisa ter seus dados protegidos de maneira exemplar para evitar um colapso
do sistema financeiro? Atento à importância do tema, a indústria do seguro e do resseguro está cada vez mais ativa no desenvolvimento de soluções para atender esse tipo de risco e começa a difundir e trabalhar junto aos seus clientes a ideia de uma verificação da boa postura de segurança cibernética. Produtos inovadores para a gestão desse tipo de risco vêm sendo desenvolvidos, e a contratação de uma
apólice de seguro especializada em ciber segurança é parte fundamental de uma gestão eficiente de
um gestor de riscos atualizado às melhores práticas do mercado.
Na indústria marítima, por exemplo, onde a Inter tem forte atuação e é referência no mercado,
não tem sido diferente. Nossos programas de seguro e resseguro para clientes precisam incluir a
cibersegurança. A lista anterior traz importantes exemplos dos impactos negativos desse tipo de evento nas operações das companhias marítimas. Tais ocorrências
nos dão um bom indicativo do quanto uma atuação coordenada entre uma boa gestão de riscos e um seguro com as coberturas adequadas pode fazer diferença e não impactar questões regulatórias, contratuais e financeiras.
Os custos envolvidos em um incidente cibernético são diversos e podem atingir valores expressivos, desencadeando crises de gestão e financeira nas organizações. Envolvem, por exemplo, o gerenciamento de incidentes, a reconstrução de sistemas, a restauração de dados e até mesmo a reestruturação completa de negócios, quando toda uma cadeia produtiva é afetada.
Além desses impactos, deve-se considerar também outros prejuízos com a interrupção do negócio. Esses crimes eletrônicos podem afetar também a imagem institucional de uma empresa, um prejuízo subjetivo e difícil de mensurar. Outro prejuízo muito expressivo e não tão conhecido pelo público em geral são os altos valores envolvidos em um pagamento de ransomware (sequestro de dados, feito por meio de criptografia, que usa como refém os arquivos corporativos da empresa vítima). Cobra-se um resgate para se restabelecer o acesso a esses arquivos.
São vários os exemplos de empresas conhecidas internacionalmente que já sofreram com o sequestro de seus dados sigilosos e estratégicos. As ocorrências globais desse tipo de crime aumentaram mais de 200% nos últimos 4 anos, e os pagamentos seguiram a mesma tendência de crescimento vertiginoso.
Esse aumento no número de ocorrências tem provocado restrições na contratação desse tipo de seguro, e apenas as empresas preparadas para lidar com esse tipo de risco têm tido sucesso na aceitação de suas propostas.
Companhias que têm buscado adotar uma visão holística sobre segurança cibernética são as que têm tido sucesso na gestão desse tipo de risco e têm, em paralelo, conseguido cobertura securitária. Não focam apenas nos diversos prejuízos que a falta de segurança cibernética pode causar, mas consideram todo o contexto atual de gestão de dados e inteligência artificial. A ideia passa por se preparar para gerenciar seus riscos por meio do que vem sendo chamado de postura cibernética, onde o objetivo é traduzir o negócio em tecnologia e a tecnologia em negócio.
Essa abordagem visa permitir que se gerencie o risco cibernético em um ambiente controlado, considerando-se, como já dito, que o risco cibernético afeta todas as partes de um negócio. É um risco comercial, operacional, financeiro, envolve os recursos humanos e todas as demais vertentes de um ambiente corporativo; definitivamente, não é apenas um risco tecnológico.
Nesse sentido e em resumo breve, podemos dizer que o cyber risk precisa ser gerenciado envolvendo todas as funções-chave de uma companhia, seja qual for o tamanho da corporação.
Tendo em vista os diversos prejuízos que a falta de segurança cibernética pode causar e considerado o contexto atual de gestão de dados e inteligência artificial, o mercado passou a se preocupar com o tema de forma contundente e busca tratar esses riscos com a seriedade que o tema merece. Diversas são as soluções técnicas e produtos pensados para atender ao contexto atual. Torna-se assim fundamental contar com um time especializado, em seguro e resseguro, com o conhecimento técnico pertinente para apoiar suas decisões na gestão de seus riscos e encontrar as melhores coberturas para seu negócio.
Incidentes que impactaram o setor nos últimos anos
- Prejudicaram os sistemas de controle de TI a bordo dos navios
- Impediram as comunicações normais com os navios
- Causaram fechamentos de portos
- Levaram à imposição de sanções pela guarda costeira e outras autoridades reguladoras
- Provocaram roubos de IP comercialmente sensíveis
- Provocaram prejuízos significativos decorrentes do pagamento de resgates dos dados furtados
- Provocaram a violação das normas e regulamentos da indústria marítima com consequentes multas, causando uma perda material de valor para o acionista das empresas afetadas
- Causaram perdas por interrupção de negócios decorrentes da falha na prestação de serviços revistos
- Acarretaram aumento dos custos não previstos para responder a um incidente cibernético
- Ocasionaram o uso significativo de tempo não planejado de gerenciamento para responder aos incidentes cibernéticos