Não é de hoje que os hackers varrem sistemas de empresas, pessoas físicas e governos, causando prejuízos financeiros e de reputação. Mas casos recentes, como o WannaCry, aumentaram a preocupação em relação às ameaças virtuais. Esse é um dos temas abordados na última edição da revista Valor Financeiro.
Em maio do ano passado, o ataque em escala global afetou mais de 200 empresas em 153 países, incluindo o Brasil. Um mês depois, o vírus Petya - ainda mais perigoso e sofisticado - impactou grandes empresas em diversos países, com perdas que chegaram a US$ 300 milhões para as companhias afetadas, conforme o relatório The Global Risks Report 2018.
O vazamento de dados de usuários do Facebook, que veio à tona em abril, não deixou brasileiros imunes. Dos 87 milhões de perfis violados, 443.117 foram de usuários brasileiros, de acordo com a rede social. Também neste ano, o Ministério Público Federal exigiu que a Netshoes notificasse, por telefone, quase dois milhões de consumidores, cujos dados foram vazados após um incidente cibernético, que revelou informações pessoais de clientes, como nome, CPF, e-mail, data de nascimento e histórico de compras.
Tais exemplos acenderam um sinal de alerta nas companhias brasileiras. Não à toa, executivos enxergam os ataques cibernéticos como principal risco aos negócios, segundo pesquisa global da Allianz Global Corporate & Specialty (AGCS), resseguradora da Allianz, com mais de 1.900 entrevistados em 80 países e divulgada em janeiro. Pela primeira vez desde que o levantamento é feito, os incidentes cibernéticos, citados por 38% dos entrevistados brasileiros, apareceram na dianteira, ultrapassando riscos como interrupção de negócios, mudanças no mercado e perda de reputação.
Esse tipo de risco tende a ganhar ainda mais relevância nos próximos anos. Hoje, há cerca de 8,4 bilhões de dispositivos conectados no mundo, entre celulares, tablets, sensores, GPS etc. Em 2020, a estimativa é que este número atinja 20 bilhões. O avanço da tecnologia e a consequente dependência das companhias por sistemas mais conectados esbarram no outro lado da moeda da transformação digital, cuja velocidade também joga a favor dos hackers. Ou seja, na medida em que a tecnologia acelera os processos, ataques maliciosos tornam-se mais criativos e sofisticados, encontrando brechas para superar as barreiras de segurança de softwares e hardwares. O alcance global da internet traz uma dose adicional de perigo, que é justamente a possibilidade de hackers acessarem sistemas de forma generalizada.
Diante desse cenário, no mínimo, assustador, os especialistas concordam: não basta a companhia investir em pessoas, processos e tecnologia como forma de proteção. "O Brasil sempre esteve entre os países mais atacados. Antes amarelo, agora o farol ficou vermelho para as empresas", enfatiza Flávio Sá, gerente de linhas financeiras da AIG Brasil, lembrando que o evento do WannaCry despertou a atenção dos executivos brasileiros para o risco cibernético.
Ainda assim, faltam conhecimento e entendimento das empresas no país quanto aos prejuízos de um ataque virtual. "O risco cibernético permeia toda a cadeia produtiva da empresa", observa Mauricio Bandeira, gerente de produtos financeiros da Aon Brasil. O fato é que uma invasão de sistemas pode provocar consequências drásticas, que vão desde a paralisação dos negócios por um período de tempo até perdas milionárias com indenização a terceiros e reparação de danos. Pesquisa da Aon constatou que o dano à reputação ou à marca era considerado a principal ameaça aos negócios. Embora apareça na quinta posição, o risco cibernético está diretamente relacionado aos arranhões à reputação de uma companhia. "Para as empresas, uma das principais preocupações é o risco de imagem."
Estudos sinalizam a dimensão do perigo. Daqui a dois anos, o prejuízo global com violação de dados pode chegar a US$ 2 trilhões, quase quatro vezes superior ao apurado em 2015, de acordo com a Kroll, consultoria americana de gestão de riscos e investigações corporativas. Os gastos com segurança cibernética não devem acompanhar essa evolução. Em 2020, os desembolsos mundiais nessa área podem alcançar US$ 170 bilhões.
"O nível de maturidade de segurança da informação nas empresas ainda é muito baixo. Tanto é que às vezes não existe uma equipe responsável por essa área", destaca Marcelo Martinez, diretor de segurança cibernética da Kroll no Brasil. Segundo ele, segurança cibernética vai além da proteção dos ativos tecnológicos, por exemplo, computadores, softwares e hardwares. Envolve, ainda, processos e conscientização dos profissionais. "Entre esses pilares de proteção, o elo mais fraco é a falta de conscientização das pessoas."
Como resposta à onda de ataques, a procura por seguro para riscos cibernéticos cresceu bastante nos últimos anos em diversos países. Nos Estados Unidos, esse mercado dobra de tamanho a cada dois anos, e hoje acumula cerca de US$ 2 bilhões em prêmios emitidos. Por aqui, não há dados oficiais da Superintendência de Seguros Privados (Susep) em relação aos prêmios de seguro cibernético, afinal a modalidade ainda dá seus primeiros passos. A estimativa é que esse segmento movimente em torno de R$ 10 milhões, segundo executivos do mercado.
Instituições financeiras e grandes empresas já investem em prevenção e combate a fraudes e demais riscos cibernéticos, avalia Gustavo Galrão, coordenador da Sub-comissão de Linhas Financeiras da Federação Nacional de Seguros Gerais (FenSeg) e superintendente de linhas financeiras da Argo Seguros. Mas ele pondera: "Ainda há muito trabalho em termos de conscientização destes riscos, seja no Brasil, seja no mundo".
A cada ano, a importância dada ao risco cibernético aumenta, porém o mercado segurador brasileiro está muito aquém de outras economias. "No Brasil, há apólices para riscos cibernéticos, mas a compra do seguro pelas empresas brasileiras ainda é tímida", diz Angelo Colombo, presidente da AGCS para a América do Sul, que lançou um produto de seguro cyber no Brasil em março deste ano. Isso contrasta com as ameaças virtuais sofridas no país. Em 2017, as perdas com crimes cibernéticos no Brasil somaram US$ 22 bilhões, segundo estudo da empresa de segurança Symantec. Conforme o levantamento, cerca de 62 milhões de brasileiros sofreram algum tipo de crime virtual no ano passado.
Apesar de engatinhar, esse mercado tem grande potencial de crescimento nos próximos anos, na visão dos executivos de corretoras e seguradoras. Um dos sinais desse movimento é o maior número de players atuando com o produto. Em 2012, a AIG foi a primeira a comercializar o seguro cyber ao país. "É um segmento que vai se consolidar cada vez mais, com a entrada de outras seguradoras", prevê Flávio Sá. Quase um ano depois do WannaCry, a AIG viu a quantidade de consultas e compras de seguro mais do que triplicar. Sem revelar números da carteira, ele diz que a expectativa é de expansão acima de dois dígitos nos próximos dois anos.
Do último ano para cá, a americana Chubb, a italiana Generali e a suíça Zurich resolveram apostar no mercado brasileiro para riscos cibernéticos. Espera-se que, em 2018, outras seguradoras globais avancem no segmento. Além disso, a Argo planeja oferecer o produto para empresas e pessoas físicas, mas ainda sem definição de data, segundo Galrão. Hoje, a seguradora disponibiliza duas proteções relacionadas a esse tipo de risco: o Cyber Liability, cuja modalidade atua em cosseguro, e o seguro de responsabilidade civil profissional para companhias da área de tecnologia.
A americana Berkley está em fase de estudo para trazer a modalidade ao Brasil, conta Klaus Barretta, superintendente de liability da seguradora. "Hoje temos forte presença junto a empresas de tecnologia com a oferta do seguro de responsabilidade civil profissional, que ampara danos causados a terceiros por um erro profissional dentro do universo digital." O seguro cobre falha ou destruição completa na tentativa de recuperação de arquivos corrompidos, perda de arquivos de terceiros armazenados em um servidor alugado, engenharia de rede, entre outros serviços de tecnologia prestados a terceiros.
No início de 2017, a Zurich passou a vender o produto no país. "A gente nota as empresas se interessando mais e buscando informações sobre o seguro", observa Fernando Saccon, head de linhas financeiras da Zurich. A alavanca, diz, foi o ataque em escala global no ano passado, mas a procura não se restringiu àquela época.
O produto oferece, entre outras proteções, cobertura de lucros cessantes em caso de paralisação dos negócios; cobertura de investigação para apurar o que houve e medidas para recuperar arquivos digitais; cobertura de resgate, ou seja, quando hackers pedem alguma contrapartida pelo sequestro dos dados, como recursos em criptomoedas (bitcoins, por exemplo) - mais difíceis de serem rastreadas. Além das coberturas, a Zurich dispõe de uma equipe de engenheiros que atua preventivamente por meio de um mapeamento de riscos em toda a empresa.
Também de olho nesse filão, a Chubb trouxe ao Brasil o seguro para riscos cibernéticos em outubro do ano passado. Desde o lançamento, o produto tem sido demandado por companhias de todos os portes, reproduzindo um movimento observado nos mercados mais maduros. As pequenas e médias empresas figuram nessa lista, pois costumam ser alvo de boa parte dos ataques. "Isso ocorre porque os criminosos já não têm a mesma facilidade de invadir as grandes corporações, que, com os anos, se tornaram mais bem defendidas", afirma Humberto Pita, head de linhas financeiras da Chubb Brasil.
A apólice oferece cobertura para perdas causadas tanto a terceiros quanto à própria empresa segurada. Quando há um incidente, a companhia aciona um serviço de telefonia 0800 para entrar em contato com uma equipe especializada de uma empresa parceira da Chubb. "Há o suporte de profissionais especializados para coordenar uma reação adequada ao tipo de situação que o segurado esteja enfrentando, incluindo prestação de serviços jurídicos, regulatórios e de investigação forense, além de monitoramento do crédito, comunicação pública da crise e consultas de possíveis fraudes e roubos de identidade."
A prestação de serviços ao segurado também faz parte do produto lançado pela Generali, em parceria com a Beazley, especializada no segmento. Uma equipe de TI, de investigação forense e advogados especializados dá o respaldo assim que um incidente é reportado à seguradora. "Os ataques ocorrem, majoritariamente, por conta de sistemas de TI, mas em geral as empresas não possuem equipes especializadas em segurança da informação", afirma Mariana Ortiz, gerente de linhas financeiras da Generali Brasil Seguros. A demanda pelo produto vem crescendo e a expectativa é de um avanço mais expressivo no segundo semestre. "As empresas começam a entender que dados são ativos intangíveis e precisam ser protegidos."
Um fator adicional de preocupação é o novo conjunto de regras europeias no que tange à segurança de dados. Publicado em abril de 2016, o Regulamento Geral de Proteção de Dados (GDPR, na sigla em inglês) entra em vigor no dia 25 de maio e terá impacto global. A norma prevê multa máxima de 20 milhões de euros ou até 4% do faturamento bruto anual das empresas por violação da lei de proteção de dados - o que for maior. Empresas brasileiras que comercializam produtos ou serviços para cidadãos europeus, por exemplo, podem ser penalizadas caso sofram vazamento de dados desses clientes. "Se o escritório no Brasil de uma companhia europeia sofrer um ataque, a matriz da empresa recebe a multa ao não cumprir com os requisitos da GDPR", exemplifica Mariana, da Generali.
Segundo os especialistas, a União Europeia segue o caminho de países como os Estados Unidos, onde as companhias são obrigadas a notificar os clientes caso ocorram vazamentos de dados pessoais. "O Departamento de Justiça americano classifica o crime cibernético de maneira bem objetiva, incluindo o computador alvo do ataque, aquele que serviu de 'arma' para o crime e o terceiro, que serviu de acessório para armazenar a informação roubada", explica Bruno Kelly, professor da Escola Nacional de Seguros. "Mesmo com toda essa preocupação, o país tem casos como o do Facebook."
No Brasil, ainda não existe uma legislação específica sobre proteção de dados. Atualmente há dois anteprojetos de lei no Congresso Nacional. "Apesar de o país não ter uma regulação, o Ministério Público tem tomado providências e realmente impactado as empresas, dando o entendimento de que a lei de proteção de dados pode entrar em breve", avalia Sá, da AIG.
Para Álvaro Igrejas, diretor de linhas financeiras, garantia e crédito da Willis Tower Watson, a criação de uma modalidade específica pela Susep é uma questão de tempo. "Acredito que o cyber terá crescimento de apólices, no mínimo, próximo à evolução do D&O." O seguro, que protege o patrimônio de altos executivos quando responsabilizados judicial ou administrativamente por decisões que causem danos a terceiros, teve um avanço exponencial na última década. Em 2017, essa modalidade movimentou R$ 405 milhões em prêmios diretos, conforme a Susep. No ano anterior, havia registrado em torno de R$ 373 milhões em prêmios.
Mais do que contratar o seguro, as empresas precisam encarar as ameaças virtuais como um risco emergente e que só tende a aumentar. "Os executivos devem olhar para o tema gerenciamento de riscos não como um custo, e sim como uma extensão da gestão", diz Carlos Santiago, líder da Marsh Risk Consulting no Brasil. Isso envolve, segundo ele, um trabalho de compreensão dos diretores e do conselho de administração em relação a esse tipo de risco. O perigo é iminente. Na prática, não há como prever quando um ataque ocorrerá, mas os estragos já causados servem de alerta, tanto para empresas quanto para pessoas físicas.