[weglot_switcher]

Seguradores com o dilema da complexidade das ameaças

Os riscos cibernéticos são realidades com diversidades e complexidades que constituem um desafio para os seguros e resseguros.
2 Abril 2022, 18h00

Os desafios aos seguradores perante as ameaças cibernéticas são muito grandes e pelos exemplos conhecidos as perdas têm sido extraordinariamente elevadas. Refere Luís Sousa, Cyber Risk Specialist da Marsh Portugal que estes riscos ainda estão “em fase de amadurecimento”. Refere Ricardo Azevedo, diretor técnico da Innovarisk, que “à imagem do mundo tecnológico, no crime informático a velocidade dos acontecimentos e as constantes mutações das diversas formas de perpretação desses crimes têm colocado imensos desafios aos seguradores, obrigando-os a fazer um acompanhamento muito rápido e constante da evolução do risco. Face à dimensão de vários ataques a empresas e organizações, as perdas têm sido elevadas”. E Pedro Pinhal, Diretor Técnico e Sinistros da MDS Portugal afirma que a ameaça cibernética deixou de ser apenas emergente “para passar a ser, definitivamente, presente, global e em vias de se tornar sistémica.

Esta ameaça afeta de forma transversal toda a sociedade, isto é, cidadãos, famílias e organizações, sejam elas de pequena, média ou grande dimensão”.

Luís Sousa, por seu lado, acrescenta que este ramo recente dos seguros assenta “essencialmente em dois drivers: a vontade dos seguradores de fazerem crescer o seu portfólio nesta linha, por um lado, e a diversidade e complexificação das ameaças, por outro. Esta realidade encontra-se descrita no “The Changing Face of Cyber Claims 2021”, relatório que a Marsh, em parceria com a Microsoft, a CMS e a Kivu, elaborou pelo segundo ano consecutivo e no qual se abordam as principais tendências de resposta ao crescente protagonismo do risco cibernético, sem esquecer a análise da crescente frequência e severidade dos ataques cibernéticos – com especial incidência para os eventos relacionados com ransomware.

Em termos de evolução do risco, os analistas afirmam que os mercados estão a exigir maior maturidade por parte dos tomadores de seguros “e que é, na maior parte das vezes, acompanhada por um investimento crescente das organizações na robustez da sua infraestrutura digital”, acrescenta Luís Sousa da Marsh Portugal. E Ricardo Azevedo salienta que perante mais do que expandir a oferta a nível de coberturas das apólices cyber, “os seguradores têm procurado essencialmente agir a dois níveis: desenvolvendo por um lado melhores mecanismos de compreensão do risco dos seus clientes; e por outro lado, “endurecendo” os termos de aceitação dos riscos que tomam, o que se reflete depois num nível de preços mais elevado, num nível de cobertura mais restritivo e genericamente num acesso mais difícil às próprias apólices”. Na mesma linha está Pedro Pinhal que afirma estarem os seguradores “a aumentar o nível de rigor e cuidado das análises de risco e subscrição, solicitando um maior volume e detalhe de informação”.

Refere Pedro Rego, CEO da F. Rego, que “numa ótica de serviço, em caso de ataque, os seguros cyber cobrem as despesas inerentes à contratualização de especialista em cibersegurança, investigadores e auditores jurídicos, bem como advogados, consultores de relações públicas e demais profissionais necessários para o cenário de pós-crise. Em adição, a indemnização inclui, igualmente, as perdas de lucro líquido decorrentes da interrupção do negócio, bem como os custos de defesa por violações de privacidade”. Por seu lado, Ricardo Negrão, Head of Cyber Risk da Aon Portugal, frisa que este seja um seguro “muito difícil e obter, muito pela limitação do capital existente no mercado de seguros para este risco e pela baixa maturidade das organizações do ponto de vista de cibersegurança”. E dá o exemplo da guerra na Ucrânia onde “existe uma guerra cibernética e uma ameaça para o ocidente de ataques cibernéticos de retaliação”, um cenário que está a originar ”uma forte retração do mercado segurador para estes riscos, alterando a qualificação técnica do ponto de vista da cibersegurança, passando a ser mais exigente, o que leva a um consequente aumento dos prémios”.

Risco aumenta
E o que explica o aumento do risco cibernético é, na ótica de Pedro Pinhal, “o avanço da transformação digital, a hiperconetividade associada à pandemia de Covid-19 e a incrível escalada de ataques cibernéticos, com especial predominância, nos últimos tempos, para os ataques de ransomware e os ataques aos supply chains digitais e às infraestruturas”. O quadro da MDS reafirma que as organizações estão, mais do que nunca, dependentes da tecnologia e da informação, bem como interconectadas a ecossistemas digitais alargados e de digital supply chain (fornecedores, parceiros, etc). Esta dependência “gera vulnerabilidades, cujo controlo total é impossível de ter, aumentando significativamente as oportunidades para os cibercriminosos explorarem, de forma organizada e estruturada, causando disrupção e maximizando danos e lucros indevidos”.

Onde está a proteção
E as empresas procuram proteger-se. Esta é uma área “onde se mantém um forte desconhecimento e assunções erradas do mercado”, afirma Pedro Rego, CEO da F.Rego. Adianta que “as recentes ondas de ataques (o mais recente aconteceu com o grupo Sonae) em grandes empresas aumentou os níveis de alerta”. A dimensão é relevante, assim como a existência, ou não, de meios próprios para a proteção digital. Refere Ricardo Azevedo da Innovarisk que a forma como as empresas encaram a gestão e risco ”difere muito consoante a dimensão da empresa ou a área de atividade (…), o que ditará também o grau de prioridade que colocam em cima da mesa na altura de olhar para estas questões”.

Adianta que este tipo de visão se reflete, “não só na articulação dos vários instrumentos possíveis de mitigação do risco (por exemplo, a decisão de conjugar o investimento na segurança informática com a aquisição de uma apólice de cyber), como também no interesse com que olham para o seguro e para as diferentes componentes que o mesmo oferece. É natural que uma pequena empresa, sem um departamento informático próprio, possa ver um interesse particular em poder utilizar o serviço de assistência que tipicamente estas apólices oferecem. Por outro lado uma grande empresa que tenha meios próprios do ponto de vista da segurança digital olhará porventura com maior interesse para as coberturas de perda de lucros, na medida em que um ataque que possa paralisar a empresa é algo que pode sair de facto muito caro”. Luís Sousa, da Marsh Portugal, refere que a nível de mitigação dos impactos financeiros perante um sinistro deste tipo, as empresas procuram “soluções de transferência de risco tailor-made, com clausulados adaptados à sua realidade, setor de atividade e modelo de negócio”. Refere este técnico que é “essencial investir na formação das pessoas, na preparação da tecnologia e na criação de meios de prevenção, fornecendo acessos seguros aos recursos empresarias – proteção dos endpoints, dos dispositivos móveis e das ligações de rede, seja em casa ou nos escritórios. As empresas deverão ter os seus Planos de Continuidade de Negócio / Planos de Resiliência assentes numa estratégia de cibersegurança bem definida, com investimentos a médio e longo prazo e com recurso a mecanismos de transferência de risco por forma a aumentarem a probabilidade de serem bem-sucedidas na resposta aos possíveis impactos de um incidente cibernético. Não se trata, hoje, de um nice-to-have, mas antes de uma necessidade que exige respostas obrigatórias”.

Diz ainda Pedro Rego que as preocupações das empresas “focam-se na transferência dos riscos decorrentes de uma tentativa de intrusão, mas igualmente na proteção dos dados de clientes e parceiros”. Por seu lado, Pedro Pinhal, da MDS, frisa que “o investimento em planos de gestão de risco cibernético e em soluções de seguro não tem sido proporcional”. Adianta: “Correndo o risco da generalização, temos a perceção de que as organizações de maior dimensão têm vindo a aumentar o investimento em cibersegurança e seguros cyber, no âmbito da implementação de estratégias de gestão do risco cibernético. Porém, esta realidade não se observa nas pequenas e médias empresas. De facto, a penetração do seguro cyber neste segmento é ainda muito reduzida, com investimentos pouco significativos. Existe ainda uma grande discrepância entre a ameaça que o risco cibernético representa e as ações que estão a ser implementadas pelas empresas, governos e outras instituições para a sua gestão. Para sobreviverem a esta crescente ameaça, as organizações têm de elevar a gestão dos riscos cibernéticos a um patamar estratégico e abordá-lo ao nível da gestão de topo”.

Já Ricardo Negrão, da Aon Portugal, diz que as empresas procuram essencialmente “o suporte na capacidade de resposta a incidente de segurança e análise forense, pois apesar de existirem em Portugal competências, não existem em quantidade suficiente”. Alerta ainda que a apólice cyber cobre os incidentes que originam a paragem do negócio e que levam a perdas de exploração e de dados em terceiros. Por último, Ricardo Azevedo, da Innovarisk, afirma “ser natural para uma pequena empresa, sem um departamento informático próprio, possa ver um interesse particular em poder utilizar o serviço de assistência que tipicamente estas apólices oferecem. Por outro lado, uma grande empresa que tenha meios próprios do ponto de vista da segurança digital olhará porventura com maior interesse para as coberturas de perda de lucros, na medida em que um ataque que possa paralisar a empresa é algo que pode sair de facto muito caro”. Um relatório recente produzido pela Deloitte e encomendado pela Vodafone (uma das entidades que foi recentemente alvo de ataque informático) revela o problema a nível de recursos humanos do país. Afirmam os analistas que o país precisa de mais de 270 mil especialistas de TIC para atingir os objetivos da “Década Digital” definidos pela Comissão Europeia, sendo que entre 2019 e 2020 o número desses especialistas aumentou apenas 9%. Adianta ainda o relatório que apenas 21% das empresas em Portugal usa serviços de comutação em cloud, o que fica 54 pontos percentuais aquém do objetivo de 75%, a atingir em 2030. Adianta o documento que “os serviços da cloud podem ajudar a aumentar a segurança de dados, contribuir para uma maior eficiência, ajudar as empresas a crescer, gerar conhecimento e reduzir custos”.

Copyright © Jornal Económico. Todos os direitos reservados.