Ataques à propriedade virtual e o seguro cyber

A crescente expansão de investimentos no universo digital, impulsionada por novas tendências como as criptomoedas, os NFTs e o metaverso, está estimulando a procura por proteção contra ataques cibernéticos, cada vez mais precisos e sofisticados, aproveitando as falhas de segurança neste novo ambiente conectado e integrado. Exemplos não faltam. Recentemente, a Lincoln College, nos EUA, fundada há mais de 150 anos, foi forçada a paralisar suas atividades devido a um ataque "ransomware", que permitiu o acesso de hackers aos sistemas de informação da instituição, impedindo o acesso a dados administrativos e financeiros, além da admissão de novos alunos. Este cenário de incerteza e insegurança leva à constatação da necessidade urgente de adoção de um seguro cibernético, de forma a proteger os consumidores de tais fatalidades.

Esse novo modo de proteção cibernética pode se apoiar nas inovações trazidas pela Lei Geral de Proteção de Dados Pessoais (LGPD), que instituiu um novo marco legal para a coleta e o tratamento de dados pessoais e sensíveis no ambiente de negócios público e privado. A nova legislação tem como proposta aumentar o controle e evitar a exposição de dados que possam ser utilizados de forma abusiva ou mesmo ilegal, dando origem a crimes financeiros no meio digital. De acordo com reportagem da revista IstoÉ Dinheiro [1], o Brasil é o sexto país com o maior número de roubo de dados no planeta, enquanto um levantamento da Accenture [2] estimou em US$ 7 milhões o custo médio de um ataque cibernético em solo brasileiro. Desta forma, o cyber seguro é o meio que as seguradoras encontraram para fornecer o mínimo de garantia aos seus clientes em meio ao desenvolvimento não planejado e controlado das tecnologias na sociedade contemporânea. Entretanto, embora as grandes empresas estejam atentas ao risco, o seguro cibernético ainda não é de adequado conhecimento público.

A Superintendência de Seguros Privados (Susep), uma autarquia da administração pública federal responsável pela autorização e fiscalização do mercado de seguros, classifica o risco cibernético como a [3] "possibilidade de ocorrência de perdas resultantes do comprometimento da confidencialidade, integridade ou disponibilidade de dados e informações em suporte digital, em decorrência da sua manipulação indevida ou de danos a equipamentos e sistemas utilizados para seu armazenamento, processamento ou transmissão". A ameaça pode ser avaliada de duas formas, com base em quem é o alvo do ataque: 1) a engenharia social que atinge a população em geral; e 2) os ataques refinados realizados contra corporações, buscando dados que possam ser vendidos para terceiros ou até mesmo para a própria empresa a fim de evitar o vazamento de tais informações.

Como dito anteriormente, a função do cyber seguro é suprir a grande demanda proveniente do risco cibernético. Interesse que é explicitado ao analisar o estudo da Fortinet Threat Intelligence Insider Latin America [4], no qual o Brasil está em segundo lugar na lista de países que mais sofrem ataques cibernéticos no mundo, com 65 milhões por dia e 24 bilhões por ano. Diante do exposto, torna-se imperativo entender especificamente quais tipos de ataques no ambiente virtual esse seguro pode cobrir.

Ao analisar uma apólice de seguros cibernéticos proposta por uma conhecida seguradora atuante no mercado brasileiro [5], podemos ter noção de como o mercado de seguros nacional está encarando esse novo modelo de proteção ao segurado. É descrito no próprio site que a apólice se destina a empresas de diversas áreas, porém não há menção a seguros pessoais, para os cidadãos comuns. Na cobertura prevista, o segurado poderá contar com proteções já conhecidas, como: custos de defesa; investigação; sanções administrativas; e restituição de imagem da sociedade. Além disso, existem as proteções já direcionadas aos danos causados por ataques cibernéticos, como: custos para restauração de dados eletrônicos e responsabilidade por empresas terceirizadas

Assim, com base nessas informações, podemos agora realizar um pequeno exercício e imaginar o que poderia ter acontecido caso a Lincoln College tivesse contratado o seguro citado anteriormente para danos cibernéticos. No caso em questão, a universidade sofreu um ataque "ransomware" [6] de um grupo de hackers que, após se apoderar das informações de matrícula dos alunos, demandou uma quantia em dinheiro para a devolução e não destruição desses dados. Caso a universidade possuísse o seguro, após a perda das informações, a seção de Dados Eletrônicos iria "determinar se os dados eletrônicos podem ser ou não restaurados, restabelecidos ou recriados, e os custos para restaurar, restabelecer ou recriar tais dados eletrônicos" [7]. Ou seja, seria realizada uma intervenção visando à recuperação e/ou recriação dessas informações valiosas. Caso a seguradora não conseguisse reaver os dados, em última instância, e, caso previamente expresso no contrato, a seguradora pagaria o custo da extorsão pedida pelos criminosos.

Embora tenhamos falado de um caso hipotético sobre a utilização do seguro cibernético, é importante discorrer sobre outro caso real. Em 2011, a Sony Playstation Network sofreu um ataque no qual os dados de 77 milhões de usuários foram parar nas mãos de criminosos [8]. Após sofrer um prejuízo de aproximadamente US$ 171 milhões, a empresa tentou acionar sua seguradora. Entretanto, o seguro que a empresa possuía não era relacionado aos riscos cibernéticos, de modo que, após disputa nos tribunais, a Sony precisou arcar com o prejuízo. Isso aconteceu porque as apólices de seguro tradicionais ignoram os riscos cibernéticos, de forma que o crescimento do mercado da proteção virtual se dá por separado das apólices de danos físicos.

Em outro caso, uma empresa de jogos digitais sofreu um ataque hacker, que se traduziu numa ameaça de divulgação de informações pessoais e financeiras de mais de um milhão de clientes [9]. Na situação em questão, foi preciso contratar profissionais especializados em perícia forense digital. Além disso, houve a necessidade de notificar e monitorar todos os clientes, o que levou à contratação de uma empresa especializada, como também de uma equipe de advogados para lidar com as ações ajuizadas. O valor total de todo o processo supracitado foi de R$ 1,5 milhão. No entanto, como a empresa tinha o seguro cyber, não precisou disponibilizar recursos próprios. Um questionamento que precisa ser levado em consideração é: o que aconteceria se o ataque hacker fosse direcionado a um serviço essencial, como de saúde ou segurança públicas? Os transtornos seriam imensuráveis.

Cabe, então, analisar como o seguro cyber se desenvolveu em face das necessidades existentes. Para isso, ressalta-se que, pelo fato dessa modalidade ser extremamente recente, é necessário que esteja em constante adaptação e evolução, para que possa responder às novas ameaças derivadas do desenvolvimento tecnológico desenfreado. A pandemia da Covid-19 pode ser vista como o momento ideal para analisar o desenvolvimento do seguro cibernético, uma vez que nesse período os ataques cibernéticos aumentaram cerca de 300%, de acordo com estudo da EY. Assim, é preciso considerar o fato de que as empresas aderiram ao sistema de home office sem o preparo devido, aumentando os riscos de ataques cibernéticos. Na pesquisa, oito em cada dez líderes entrevistados alegaram que tiveram prejuízos por conta dos crimes virtuais, principalmente o phishing. Como consequência, criou-se uma maior preocupação com a coleta e o tratamento de dados, abrindo espaço para o mercado de cyber-seguro, atendendo a atual necessidade dos consumidores.

No que tange à evolução desse novo mercado, pode-se analisar que, provavelmente, haverá nos próximos anos a expansão do seguro cibernético do meio empresarial para o meio pessoal. Ou seja, como as pessoas estão cada vez mais conscientes dos riscos cibernéticos, a procura por mais segurança dos dados pessoais aumentará consideravelmente. Fato é que não foi só a tecnologia que se desenvolveu, mas também os golpes cibernéticos, de modo que está cada vez mais difícil ficar protegido.

De acordo com a CNN, mais de cinco milhões de brasileiros caíram em golpes via o aplicativo mais utilizado no país, o WhatsApp [10]. O dado citado representa a urgência das seguradoras de se adaptar mais uma vez ao mercado e conseguir suprir as necessidades dos potenciais prejudicados.

Posto isso, acreditamos que existe um grande mercado a ser explorado e a possibilidade de captação de novos clientes, visto que cada vez mais estamos dependentes da tecnologia para realizar atividades do cotidiano, como guardar e transferir dinheiro, trabalhar e nos comunicar. Então, eventualmente, haverá a necessidade real de maior proteção aos dados pessoais, especialmente os financeiros, enquanto as novas tecnologias continuarão em expansão. Uma boa oportunidade para as seguradoras, uma vez que é perceptível o potencial desse novo mercado.

Assim, após expormos as aplicações do seguro cyber, as suas diferenças para o seguro tradicional, os casos hipotéticos e concretos de sua utilização e a postura do mercado diante desse novo modelo, é cabível ressaltar também a nossa opinião acerca do atual estado dos seguros e riscos cibernéticos em geral. Com o mundo digital se tornando cada vez mais complexo e essencial à vida das empresas e dos cidadãos, é animador ver que o mercado de seguros está trabalhando para se manter sempre atualizado contra as novas formas de ataques à propriedade e às informações confidenciais dos indivíduos.

Sem embargo, embora grande parte das empresas com vínculo comercial ou cadastral na internet já se interessem ou tenham o seguro cibernético, é necessário lembrar que os seguros deveriam servir também diretamente aos cidadãos. Usando o Brasil como exemplo, um país de mais de 200 milhões de habitantes, em que 81% das pessoas possuem acesso à internet [11], e tendo sofrido 88,5 bilhões de ataques cibernéticos [12], é urgente que o mercado de seguros ofereça algum tipo de plano para a proteção da população em geral. Nesse particular, países como os EUA já oferecem seguros cyber como uma cobertura adicional nas apólices tradicionais, como explicitado em matéria da Forbes [13], um exemplo que deveria ser seguido pelas seguradoras nacionais.