Os seguros de cibersegurança surgiram no mercado nacional e acompanham a evolução crescente das preocupações dos CEOs no que à segurança da informação diz respeito. Com o aumento crescente dos incidentes no ciberespaço, associada aos desafios tecnológicos trazidos pela pandemia, cada vez mais empresas procuram salvaguardar os prejuízos financeiros causados pelo seu impacto. A Security Magazine foi perceber como este tipo de produto está a evoluir e por onde passa o seu futuro.
“Cada vez há mais empresas a interessar-se por este tipo de seguros e a adquiri-los”, afirma Ricardo Azevedo, director técnico da Innovarisk. Nos últimos anos, diz, “as empresas e instituições mais directamente envolvidas no tema da cibersegurança têm feito um trabalho muito importante em termos da chamada de atenção para este tipo de riscos, ao mesmo tempo que o número crescente de incidentes e ataques que vêm a público acabam por despertar ainda mais a consciência de que o risco é real e pode tocar a todos”, refere.
Ainda assim Henrique Koenders, Risk Engineering & Prevention Director da Aon Portugal esclarece que “apesar de cada vez mais as organizações se mostrarem sensíveis ao risco cyber, o grau de penetração é ainda relativamente baixo”. Contudo, diz, “existe um grande potencial de crescimento nos próximos anos”.
Como recorda, “os primeiros aderentes à compra de ciber seguros foram sectores como as instituições financeiras e as tecnologias da informação”. Com o decorrer do tempo, outros sectores “têm vindo a ser alvo preferencial de ataques cibernéticos, nomeadamente sectores como a saúde, indústria transformadora, educação, construção, energia e serviços públicos”. “A falta de experiência das organizações em lidar com eventos de cibersegurança, particularmente em Portugal, é um desafio para nós, enquanto conselheiros em risco para fazer perceber o impacto que estes temas podem representar para a sobrevivência das empresas quando estas se materializam”, diz.
Ana Duarte, directora geral Sul da F. REGO – Corretores de Seguros, refere que “a evolução da procura por seguros de cibersegurança em Portugal tem sido lenta”. Este fenómeno assenta, por um lado, “no desconhecimento de uma significativa parte das organizações dos riscos que os ataques cibernéticos representam, não só em termos imediatos, mas também reputacionais, e, por outro, em alguma resistência à mutualização dos riscos cibernéticos”
Pandemia acelera percepção do risco
Em tempo de pandemia, o interesse por parte das empresas para este tipo de produtos tem aumentado, assim apontam todos os responsáveis contactados pela Security Magazine. Ricardo Azevedo salienta que “estes tempos de pandemia, ao porem a nu uma série de fragilidades na forma como as empresas têm olhado para o risco tecnológico e ao tornarem-se um terreno fértil para acções de pessoas mal intencionadas, vieram acelerar ainda mais essa consciencialização do risco”.
Henrique Koenders sublinha que “a pandemia tem tornado clara a necessidade de avaliar o tema de uma forma abrangente”. Como aponta, a COVID-19 e a situação de estado de alarme “teve impacto, a curto prazo, no ciberisco e na gestão do mesmo”. O responsável salienta que desde o início da pandemia, “diferentes seguradoras verificaram e confirmaram um aumento de ataques cibernéticos, bem como tentativas de fraude e phishing por correio electrónico”. Este aumento tem levado “a um endurecimento do mercado, sendo exigido pelos seguradores um conjunto de informações das organizações que descrevam a maturidade da mesma face ao risco em causa”.
A pandemia “acelerou alguns processos em curso, uma vez que muitas organizações passaram a depender dos canais digitais para a continuidade da sua actividade, devido às restrições nos ajuntamentos e ao confinamento”, sublinha Manuel Coelho Dias, CyberRiskSpecialist da Marsh Portugal. Para estas empresas, “um evento cibernético pode significar o fim da única forma de que ainda dispõem para gerarem receita”.
Ana Duarte também não tem dúvidas que a actual situação “precipitou a digitalização dos modelos de negócio de muitas empresas, que transferiram para o online uma significativa parte dos seus processos internos e externos”. Esta aposta acelerada por uma realidade inesperada “acarreta riscos, e assistimos a uma escalada inédita dos ciberataques, neste período”. Como aponta, “há uma crescente consciencialização de que o mundo digital acarreta um conjunto de riscos e que as consequências de um ataque poderão ser devastadoras para uma organização”. Neste sentido, a F.Rego tem notado “uma crescente procura de soluções que garantam às empresas um apoio fundamental na resposta a um eventual incidente cibernético”.
“Recuperação de um incidente cibernético é extremamente dispendiosa”
Mas, afinal, porque devem as empresas investir em ciberseguros? À Security Magazine, Ana Duarte explica que, hoje, “a esmagadora maioria das organizações tem toda a informação relativa à sua actividade informatizada, alojada em servidores”. Esta, além de “ser basilar para as suas operações, representa também um compromisso com os seus clientes, nomeadamente o de proteger a sua privacidade e de apenas utilizar aqueles dados para o fim a que se comprometeram”. Um ataque “que exponha (ou retenha, com pedido de resgate) estes dados resulta, em adição a uma hipotética interrupção da actividade, na perda de confiança dos stakeholders da empresa, que vêem as suas informações pessoais exploradas ilicitamente”.
Como refere, “a recuperação de um incidente cibernético é extremamente dispendiosa para uma organização”. Dependendo da tipologia de ataque/evento, “os custos poderão incluir o pagamento de um resgate, a notificação de todos os afectados, a defesa perante o pagamento de multas, o investimento na identificação do problema, na resolução e na reconstituição da infra-estrutura informática, a que somam as perdas por interrupção do negócio (e eventuais apostas em estratégias de relações públicas para recuperação de reputação)”.
É dentro deste cenário que surge esta tipologia de produtos. O ciberseguro “garante a cobertura de todas estas despesas por parte da empresa segurada, assegurando assim um apoio verdadeiramente fundamental num momento de particular desafio para a organização afectada”, diz.
A lógica do seguro passa muito “por transferir para uma outra entidade – no caso, uma seguradora – o risco de ter que fazer face a uma factura demasiado pesada, que possa provocar problemas complicados de tesouraria ou, no limite, precipitar a empresa para um cenário de insolvência”, comenta Ricardo Azevedo. No mundo ciber, “a história recente tem provado que o risco é real, está crescer e há empresas em todas as geografias e sectores a passarem por problemas muito sérios e caros de solucionar”. O responsável faz o exercício de pensar no custo de 15 dias de paralização para uma empresa com os sistemas informáticos comprometidos devido a um ciberataque. “Além da questão do risco financeiro, a apólice ao garantir serviços de cariz tecnológico, legal e de gestão de imagem, faz com que o segurado possa também contar com um apoio importante em áreas para as quais não tem provavelmente conhecimentos e recursos próprios e em que não tem muitas vezes sequer os contactos de especialistas para agir de forma célere”.
Manuel Coelho Dias aponta que a razão do investimento num produto de ciberisco “é a mesma de outro qualquer seguro”, ou seja, “consciência da existência de riscos que impactam o negócio e a necessidade de gestão desses riscos”. As coberturas mais valorizadas pelos clientes “dependem da situação concreta de cada empresa e das suas especificidades, mas temos clientes muito preocupados com a paragem da actividade por um ciberevento, mesmo na indústria produtiva”.
Nos negócios B2C “há uma grande preocupação com os custos regulatórios e indemnizações, fruto do quadro legal da protecção de dados”. Transversal a todos os sectores é “a preocupação com os custos de resposta e a gestão dos incidentes, que podem ser elevadíssimos”.
Departamento de TI vs Ciberseguro
Se as empresas já contam com o seu departamento de TI, fará sentido a aposta neste tipo de produtos?
Henrique Koenders diz que há “um mito infelizmente ainda muito comum no universo nacional”, que assenta em pensar-se que “o departamento de TI é suficiente para evitar todo e qualquer tipo de ataque”. “Nada mais errado”, diz. Como acrescenta, “existe uma grande diferença entre vulnerabilidade e risco”, ou seja, “podemos mitigar a vulnerabilidade, mas o risco existe sempre, pelo que a transferência do presente risco tem de ser obrigatoriamente um ponto a analisar pelos CEOs”.
Como esclarece, existe um conjunto alargado de razões para uma empresa investir na subscrição de uma apólice ciber. Entre as razões destaca, o facto de os dados serem um dos bens mais importantes, mas não estão cobertos por apólices de seguro de Responsabilidade Civil Comercial Geral; os sistemas são fundamentais para o funcionamento das operações diárias, no entanto, o seu tempo de inactividade não está coberto pelo seguro de perdas de exploração; a contratação de uma apólice permite aceder a um conjunto de serviços e do apoio das principais empresas de cibersegurança que garantirá a mitigação dos danos decorrentes de um evento ciber; o cibercrime é o crime de crescimento mais rápido do mundo, no entanto, a maioria dos ataques não está coberta por apólices de seguro de Responsabilidade Civil ou de Crime; o cumprimento do RGPD, nomeadamente dos processos de comunicação a terceiros cujos dados foram expostos bem como ao regulador são morosos, complicados e de custo elevado.
“A contratação de uma apólice acaba por disciplinar e implementar procedimentos para estes eventos que as organizações enfrentam”, diz. A quase generalidade das apólices “prevê o que fazer assim que um cliente detecta que ocorreu um evento ciber, que seja enquadrável na apólice, e a intervenção de um especialista que possa, desde os primeiros momentos, conter os danos e evitar acções que possam prejudicar a detecção da origem e consequências do evento”.
Espaço para crescer
Quanto ao futuro e à evolução deste tipo de produtos, o responsável da Marsh diz que “o mercado nacional está muito dirigido para as PME”. Para as empresas de grande dimensão “o mercado português não tem grandes soluções”. A evolução deste tipo de produtos “passará essencialmente pela subscrição digital”.
O mesmo responsável acredita que “o futuro trará o surgimento de mais produtos dirigidos a particulares, uma vez que hoje estão muito focados ainda nos segmentos empresariais”. Há ainda, nota, “uma grande indefinição em relação aos danos materiais provocados por um ciberevento (o chamado SilentCyber), e o mercado vai evoluir no sentido de uma maior definição e clareza à medida que as perdas são conhecidas”.
Já o responsável da AON, sublinha que “o produto ciber cada vez mais se tornará num produto integrado, onde se incluirão um conjunto alargado de serviços pré-sinistro que permitam avaliar os pontos fortes e fracos da organização, bem como serviços de apoio pós-sinistro, que incluem investigação forense, apoio legal e apoio ao nível de imagem e reputação”. Como acrescenta, “as perdas de exploração serão outro dos pontos fundamentais de uma apólice ciber, não esquecendo toda a vertente de responsabilidade civil que assumirá todas as despesas legais, assim como eventuais indemnizações a pagar a terceiros lesados”.
Mais do que o aspecto básico do seguro, pagando os danos, “pensamos que o serviço associado às coberturas da apólice, trazendo competências críticas em momentos difíceis para os gestores das empresas, serão muito valorizadas no futuro”, refere.
Para a responsável da F.Rego, a evolução deste tipo de produto “terá de acompanhar aquilo que será a própria evolução tecnológica e as tendências da actividade económica”. A pandemia “veio acelerar muitos destes processos, criando novas oportunidades, mas também fomentando novos riscos, como pudemos constatar com as centenas de ataques realizados em plataformas de videoconferência, ao longo dos últimos meses”. Para continuar competitivo, “o sector segurador terá de adaptar a sua estratégia comercial e de marketing aos nichos de mercado que pretende atingir, numa óptica permanente de especialização.
Por fim, o responsável da Innovarisk sublinha que “a penetração deste tipo de seguros continuará certamente a crescer. Prevê-se que a importância do risco imaterial e tecnológico possa tornar-se tão ou mais importante que o risco físico, pelo que é de esperar que no futuro as empresas encarem a compra de um seguro ciber da mesma forma natural com que há tantos anos se protegem contra os riscos de incêndio ou roubo. É aliás uma tendência a que se assiste em mercados seguradores mais maduros, pelo que cremos que Portugal siga, ainda que com algum desfasamento temporal, esse mesmo caminho.” •
