E agora? Quem irá pagar o meu resgate?

Alex Amorim *
21/10/2021
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Recentemente, circulou nas redes sociais uma reportagem sobre uma grande seguradora francesa que havia deixado de comercializar apólices de seguro para ataques de sequestro de dados (ransomware), um incidente que vem se repetindo pelo mundo inteiro em empresas dos mais diversos tamanhos.

Todos os dias recebemos notícias de empresas que se tornaram alvos de ciberataques neste contexto do novo normal. Nesta semana, recebemos a notícia de que uma grande seguradora nacional também foi vítima de um ataque de sequestro de dados – mais um nome de empresa grande numa lista que não para de crescer.

Embora saibamos que não existe nenhuma empresa 100% segura, ao ver a resposta nos primeiros momentos após um ataque podemos identificar justamente quais as empresas mais preparadas para enfrentar incidentes cibernéticos.

É importante ressaltar que para a contratação de um seguro cibernético é necessário atender minimamente a um conjunto de exigências para que a seguradora aceite a apólice pretendida. Desta forma, não adianta apenas querer ter um seguro cibernético sem minimamente estar em conformidade com os requisitos da seguradora. Vale ressaltar também que embora o nível de assessment a ser realizado pela seguradora possa não ser tão aprofundado, ela adota o princípio de boa fé do segurado. Caso ele falte com a verdade, poderá ter problemas com o recebimento da indenização.

Lembrando do processo de riscos corporativos existem basicamente quatro formas de realizar o tratamento: eliminar o risco, minimizar a exposição ao risco, transferir o risco e simplesmente não fazer nada e aceitar o risco. Quando uma empresa contrata um seguro cibernético, além de comprovar que está fazendo a lição de casa ela está fazendo uma transferência/compartilhamento do risco com uma seguradora.

Uma dúvida muito comum dos executivos é sobre o nível de cobertura de um seguro cibernético. Posso destacar alguns pontos, com base na documentação de uma seguradora:

Principais coberturas existentes

• Cobertura para violação de dados digitais, físicos, violações de segurança e erro humano

• Custos com especialistas de TI para resposta ao ataque – várias seguradoras dispõem desse serviço, que ajudam em todo o processo de resposta

• Investigação forense – especialistas que auxiliam na investigação das causas de incidentes

• Multas e penalidades civis e administrativas, incluindo multas da ANPD (mas não se limitando a apenas a elas)

• Multas PCI e custos de avaliação

• Pagamento de indenizações decorrentes de sentenças judiciais (trânsito em julgado), inclusive por danos morais

• Acordos, desde que tenham anuência da seguradora

• Lucros Cessantes – indenização para a empresa pelo lucro que ela deixou de ter em decorrência de um ataque

• Custos de defesa – paga todo o custo com defesa que a empresa vier a ter em decorrência do ataque em processos na ANPD e processos judiciais

• Consultoria Jurídica – presta toda a consultoria jurídica para a empresa tomar as melhores decisões nesse momento

• Custos de notificação e relações públicas – cobre os custos que a empresa tiver para notificar os titulares e demais envolvidos no incidente

• Custos de restauração – cobre os custos que a empresa tiver para recuperar o ambiente onde ocorreu o incidente

• Extorsão cibernética – há seguradoras que inclusive garantem pagar o resgate para descriptografar os dados, em último caso

• Atendimento 24 horas – assim como o seguro de carro, tem um serviço de atendimento 24 horas com especialistas para auxiliar em todos os momentos durante o evento, com equipe de especialistas em diversas áreas

*Importante ressaltar que com a maioria delas a empresa contrata um LMI (Limite Máximo de Indenização) global e as coberturas são limitadas ao LMI. No caso da Assistência 24 horas, não há desconto do LMI.

Para alguns casos, contudo, não há cobertura, como nestes destacados pela Tokio Marine em seu site:

• Atos dolosos, criminais ou fraudulentos.

• Falha, queda, ou rompimento de energia ou serviços de utilidade

• Fato ou circunstância conhecido(a) pelo segurado antes do início da vigência da apólice

• Custos para atualização ou melhora de aplicação, sistema ou rede do segurado

• Perda de qualquer mídia portátil não criptografada pelo segurado; tal mídia inclui, mas não está limitada a: laptops, smartphones, tablets e pendrives

• Qualquer violação de legislação anti-spam ou de telemarketing no mundo

Diante dessas informações, fica evidente que o seguro cibernético pode ser um bom aliado no processo de resposta a incidentes. Porém, a cada dia que passa os valores estão mais altos devido à pandemia de ciberataques que estamos vivendo. E devido também a casos como o da seguradora AXA, deixando de aceitar novas apólices. Com isso, surge a dúvida: caso este cenário se multiplique entre as seguradoras, e agora? Quem irá pagar o meu resgate?

* Alex Amorim é presidente do IBRASPD

Compartilhar:
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

ATENÇÃO: INCLUA [email protected] NOS CONTATOS DE EMAIL

(para a newsletter não cair no SPAM)