Os recentes ataques cibernéticos ocorridos no mundo e no Brasil acenderam a luz amarela das empresas, e a busca por proteção deste tipo de crime cresceu.
Conversamos com Fernando Cirelli, superintendente de linhas financeiras da BR Insurance, maior corretora brasileira multiprodutos e segundo ele desde o ataque com o vírus Wanna Cry no começo do ano, o mercado de seguro cibernético cresceu cerca de 200%.
O seguro cibernético é uma proteção contra prejuízos por invasões de hackers, extorsão, lucros cessantes e roubos de dados digitais, que causem prejuízos para a empresa ou clientes prejudicados por esses ataques.
Crypto ID: Houve aumento de procura após os ataques recentes de WannaCry e Petya?
Fernando Cirelli: Sim, desde o ataque com o vírus Wanna Cry no começo do ano, o mercado de seguro cibernético cresceu cerca de 200% e para este ano, a expectativa é de que o mercado cresça 100% ante 2016.
Crypto ID: Há quantos anos já existe esse tipo de seguro no Brasil? E estamos falando de quanto em valores assegurados? E quantas empresas já contrataram este seguro?
Fernando Cirelli: O seguro existe no Brasil há cinco anos e hoje três companhias seguradoras oferecem o produto. Atualmente, menos de 100 empresas tem apólices de Cyber emitidas no Brasil, e os números da SUSEP não destacam de forma separada o volume de prêmios emitidos. No entanto, se considerarmos um prêmio médio em torno de R$ 30 mil, o volume de prêmios ficará em torno de R$ 2,5 milhões a R$ 5 milhões. Para os próximos dois anos, a expectativa é de crescimento entre 100% e 200%, considerando que mais seis seguradoras devem entrar neste mercado até o final de 2017.
Crypto ID: Que tipo de cobertura/atendimento o plano oferece?
Fernando Cirelli: O seguro é uma proteção contra prejuízos por invasões de hackers, extorsão, lucros cessantes e roubos de dados digitais, que causem prejuízos para a empresa ou clientes prejudicados por esses ataques.
O seguro é voltado para todas as áreas, mas principalmente para companhias de tecnologia e empresas com banco de dados de terceiros, assim como e-commerce.
Para adquirir o produto, o cliente precisa responder a um questionário técnico específico e, em casos mais complexos é necessário uma auditoria e testes de invasão.
Crypto ID: Quais seriam as principais perguntas desse questionário técnico para contratação?
Fernando Cirelli: As perguntas se dividem em duas partes: operação (atividade, faturamento, sócios, histórico de reclamações, etc) e a parte técnica de TI (procedimentos, proteção, gerenciamento, criptografia, equipe técnica, estrutura, política de segurança da informação, treinamentos, gestão de incidentes, controle de acesso remoto, serviços terceirizados, etc.
Crypto ID: Qual é o órgão regulador, se é que existe?
Fernando Cirelli: No Brasil não existe órgão regulador. Temos algumas leis que regulam o setor:
– Lei Carolina Dieckmann (2012) – pena para a invasão de dispositivo alheio, sem motivo ou consentimento do dono.
– Marco Civil da Internet (2014) – Marco Civil prevê, em suma, a responsabilização civil, administrativa e criminal dos provedores de Internet.
– PL 4060/2012 – Milton Monti (PR-SP)
– MJ – Anteprojeto de Lei de Proteção de Dados Pessoais
Crypto ID: Quais as empresas que fazem os testes de invasão no Brasil?
Não podemos citar.
Crypto ID: Quais são as seguradoras que já oferecem este tipo de seguro?
Fernando Cirelli Atualmente, com produto aprovado: XL, Catlin, Zurich e AIG
Crypto ID: Existe algum case em que o seguro foi acionado no Brasil ou mesmo Internacional?
Fernando Cirelli: No Brasil se tem notícia de um primeiro caso notificado (confidencial) em etapa de investigação. Internacionalmente, existem inúmeros casos, seguem alguns:
Atacadistas/Varejistas
As redes de um servidor de jogos on-line foram alvo de uma invasão ilegal e não autorizada, que ameaçaram as informações pessoais de mais de um milhão de clientes no Canadá. A empresa desligou as redes, informou sobre a invasão e disse que era provável que os intrusos tivessem obtido nomes de clientes, endereços, datas de nascimento, endereços de email, nomes de usuário e senhas. Os clientes foram informados de que, embora não houvesse nenhuma evidência de que os hackers tiveram acesso aos dados dos seus cartões de crédito, essa possibilidade não podia ser descartada. Embora o serviço fora restaurado dentro de um mês, foram apresentadas sete ações conjuntas no Canadá relacionadas com a violação da rede.
A AIG reembolsou o segurado pela contratação de um escritório de advocacia para defesa nos processos judiciais, uma empresa de peritos forenses para investigar a violação, e uma empresa de marketing digital e outra de relações públicas para combater as notícias negativas veiculadas pela mídia. A AIG recentemente resolveu a ação por USD 1,5 milhão sem submeter o segurado a um processo moroso e dispendioso.
Área de Saúde
Após uma investigação governamental e uma auditoria interna realizada por um hospital foi descoberto o roubo de registros médicos e dados pessoais de aproximadamente 125 mil pacientes. Um funcionário administrativo do hospital foi preso após descobrir-se que ele tinha informações obtidas através de print screen da tela, incluindo os nomes, números de telefone e registros médicos de pacientes e, em alguns casos, os seus números de previdência social também. O segurado formou uma equipe de gestão de crise composta por: assessores em questões jurídicas e em relações públicas, uma empresa de monitoramento de crédito e um serviço de notificação e de call center. Por tais serviços, a AIG reembolsou ao hospital cerca de R$ 1,7 milhão. Depois de vários meses houve uma segunda violação de dados, que não estava relacionada com a anterior. Mais uma vez a AIG voltou a oferecer suporte para o segurado, reembolsando cerca de R$ 550 mil referentes à contratação de especialistas.
Instituições Financeiras
Um servidor de e-mail e um disco rígido externo foram roubados do nosso segurado nas instalações de um provedor externo. Como resultado do roubo, dados que incluíam e-mails com informações de identificação pessoal de cerca de 175 mil pessoas
foram expostos. A AIG reembolsou ao segurado USD 1 milhão pelos custos de notificação e para a contratação de um escritório de advocacia e de uma empresa de relações públicas. Não houve ações judiciais ou investigações regulatórias relacionadas a este incidente.
Advogados
Imediatamente antes de sua saída de um escritório de advocacia segurado, um sócio que se demitiu do trabalho por e-mail, apagou todos os discos rígidos a que tinha acesso, apagando propriedade intelectual do escritório e importantes informações dos sistemas de back-up. Embora os arquivos destruídos não possuíssem informações de identificação pessoal ou informações confidenciais da empresa, eram necessários para gerenciar as operações diárias da empresa, fazendo com que ninguém no escritório pudesse acessar aplicativos como os alertas e as ferramentas que foram desenvolvidas especificamente para a empresa. A AIG reembolsou o escritório pela contratação de uma equipe de TI para restaurar todos os aplicativos e as informações que haviam sido apagados, um processo que para ser concluído precisou de cerca de 1100 horas/pessoa. O segurado foi reembolsado em cerca de USD 300 mil pelas despesas.