Os riscos cibernéticos são uma preocupação crescente para os negócios. Ataques recentes demonstraram que os custos de um sinistro desse tipo podem ir muito além de ter de gerenciar as consequência de dados perdidos ou corrompidos.
O relatório Sigma, realizado pela resseguradora Swiss Re, “Enfrentando um risco complexo”, afirma que é preciso fazer muito mais para integrar segurança cibernética em seus programas de gerenciamento de riscos. Iniciativas para impulsionar a resiliência cibernética estão em andamento e um mercado de seguros dedicado a esse risco está se desenvolvendo rapidamente, mas, até agora, o leque de coberturas é modesto quando comparado aos riscos possíveis.
Quando um ataque ocorre, as empresas devem considerar os eventuais danos à sua reputação, propriedade física e intelectual e também a disrupção de negócios de seguros. O crescente escopo e magnitude de potenciais custos associados com incidentes cibernéticos, refletem o horizonte desse risco em constante evolução, que por sua vez está sendo moldada por três principais dinâmicas:
A velocidade de crescimento e de coberturas da transformação digital; A ampliação de fontes de vulnerabilidade da hiperconectividade com a rápida disseminação de, por exemplo, dispositivos com acesso à internet e serviços de nuvem; O aumento da sofisticação de hackers atentos aos potenciais ganhos de um ataque dessa espécie. Apesar do crescimento dos avisos de perigo, as empresas geralmente estão pouco preparadas para lidar com o risco cibernético. Poucas empresas têm sistemas de segurança cibernética integrados em seu principal gerenciamento de riscos. Regulação poderia ser um catalisador para a mudança, com a entrada de novas leis, exigindo que as empresas reforçassem a proteção de dados. Como resultado, “as empresas – grandes ou pequenas – precisam investir mais em segurança cibernética, para desenvolver gerenciamento robusto de gerenciamento de risco para antes e depois das perdas”, afirma Kurt Karl, chief economist da Swiss Re.
Gerenciando um risco complexo
Diversas companhias procuram transferir riscos cibernéticos a terceiros que estejam melhor colocados e possam absorvê-los. “Um mercado especialista em riscos cibernéticos está se desenvolvendo, e um crescente número de seguradores estão procurando incluir mais negócios nessa linha especial”, diz Kurt. Especialização no seguro cibernético normalmente fornece proteção contra violações de rede e de dados e perdas associadas, com limites de capacidade no mercado hoje variando entre US$ 5 milhões e US$ 10 milhões.
No entanto, alguns significantes riscos relacionados ao mundo cibernético permanecem amplamente sem seguros e a escala de coberturas existentes é modesta perto do potencial de exposição das companhias em geral.
Um problema fundamental no desenvolvimento de soluções de seguros está ligado à natureza intrínseca dos riscos cibernéticos. Eles são complexos e difíceis de quantificar, especialmente devido à rápida mudança no mundo digital e falta de dados históricos sobre sinistros cibernéticos para se ter informações mais precisas sobre perdas futuras. Seguradores e analistas de riscos estão tentando diferentes abordagens para desenhar os riscos cibernéticos, incluindo análises de cenários deterministas e modelos baseados em probabilidade, na tentativa de estimar as perdas potenciais desses eventos.
A experiência de outros perigos, como catástrofes naturais, oferece esperança que os modelos continuarão melhorando à medida que o conhecimento dos riscos fundamentais for se desenvolvendo e mais dados sobre perdas cibernéticas ficarem disponíveis.