1
ANO 6 - NÚMERO 22 - ABRIL 2020
2
E
m tempos de home office, os riscos de ataques cibernéticos aumentam, uma vez que funcionários trabalhando remotamente podem não ter recebido as recomendações necessárias para a proteção dos equipamentos. Tanto que uma pesquisa feita pelo Avast revela que entre os usuários do programa no Brasil, 58% não tiveram suporte tecnológico ou orientações referentes à segurança por parte de sua empresa. “Os hackers estão aproveitando para atacar as empresas em home office.
Marta Schuh Marsh
Mauricio Bandeira Aon Brasil
Para atenderem a necessidade de colocarem os funcionários trabalhando remotamente, muitas delas tiveram que utilizar os equipamentos dos próprios funcionários que não têm uma programação complexa de segurança como há no ambiente corporativo. Infelizmente, esse tipo de ataque aumentará muito”, prevê Marta Schuh, superintendente de Cyber da Marsh. Em um espaço de dez dias, ela relata que a Marsh registrou três ataques deste tipo e que a apólice de cyber risk tem cobertura para home office. “A contratação do seguro é feita a partir de um questionário para avaliar o grau de maturidade da empresa em relação ao risco. Aqui na Marsh nós temos um questionário mais profundo que aborda questões como sistemas, ferramentas e atendimento. Mesmo uma empresa com um nível elevado de proteção não
questionário e algumas seguradoras começaram a solicitar informações sobre home office: se a empresa aplica ou não, qual é o percentual de funcionários trabalhando remotamente, quais são os sistemas de proteção, se os equipamentos são fornecidos pela própria empresa ou se são dos funcionários. As seguradoras perceberam que o risco é outro e estão pedindo informações adicionais para fazerem a análise”. Segundo ele, este é um caminho sem volta. “É uma tendência afirmar que mesmo passando por essa fase, naturalmente, o home office será mais colocado pelas empresas no seu dia a dia. O estigma de que as pessoas não eram produtivas remotamente mudou. Estamos agora aprendendo pela dor. O home office é produtivo, e os riscos com esse novo modelo de trabalho no que diz respeito a vazamento e ataques
está 100% imune e em home office, uma série de fatores acarretam em riscos adicionais que no ambiente corporativo são bloqueados na rede interna”. Gerente de Produtos Financeiros e Responsabilidade Civil da Aon Brasil, Mauricio Bandeira conta que algumas seguradoras já mudaram um pouco a solicitação de informações. “O seguro cyber é basicamente analisado por uma
de dados é mais agravado. É uma situação nova, do que será coberto ou não”. Na avaliação de Camila Calais, sócia e especialista em Seguros, Resseguros e Previdência Privada da Mattos Filho, Veiga Filho, Marrey Jr. e Quiroga Advogados, como em outros produtos padronizados, no seguro de riscos cibernéticos há muitas coisas tailor made, muitos clausulas negociáveis, o que cabe a cobertura para trabalhos remotos.
3 “As empresas tiveram que colocar boa parte de sua força de trabalho em home office. Muitas não tinham uma política pronta de proteção e, com isso, o risco está mais incrementado. O risco está aumentado, as pessoas estão recebendo informações sobre remédios e curas, por exemplo, e de maneira geral, elas não checam antes de acessarem estas informações. Aliado a isso, as empresas não tiveram tempo, nem recursos financeiros nos últimos anos para adequarem seus parques tecnológicos à demanda de home office que estamos tendo agora. Se isso virará sinistro no futuro, ainda não dá para sabermos”. Do mesmo escritório, o sócio e especialista em Proteção de Dados, Paulo Brancher, diz que em pouco mais de uma semana de home office, as empresas continuam a trabalhar fortemente em termos de adequação. “Proteção de dados é um assunto que elas têm como prioritário e passaram a ter um novo tipo de preocupação”. Segundo ele, uma coisa é estabelecer um projeto de proteção de dados no retrato da empresa, outra é na dinâmica do trabalho remoto. “Nós já vínhamos trabalhando com clientes que estavam se adequando ao home office, o que requer uma estrutura de segurança da informação e governança de dados. O home office está acontecendo à reveria de todas essas precauções e teremos que trabalhar essa questão de maneira muito mais acentuada”.
Demanda
Diretor de Financial Lines da Chubb, Humberto Pita informa que a demanda pelo seguro vem aumentando consistentemente, por conta da disseminação das informações entre os empresários. “Dados e alertas, como os da União Internacional de Telecomunicações, órgão da ONU que coordena esforços na área, ajudam a despertar a atenção para o problema. Segundo a entidade, o Brasil é o 2º país no mundo que mais tem sofrido perdas econômicas advindas de ataques nos meios digitais. A entrada em vigor das determinações da Lei Geral de Proteção dos Dados (LGPD) é mais um fator que coloca o assunto na pauta
dos executivos de empresas de todos os portes e setores de atuação”. Em números, Flavio Sá, gerente de Linhas Financeiras da AIG, expõe que, em 2019, eles registraram o dobro no volume de solicitações de propostas e de 60% na contratação de apólices cibernéticas na AIG. “Encerramos o ano com R$ 10,3 milhões em prêmios com o seguro cyber. Segundo a Susep, o mercado de Cyber movimentou em 2019 R$ 21 milhões, sendo a AIG líder, com 48% do mercado nacional”. Ele explica que parte desse aumento é reflexo da preocupação por conta da LGPD, que entrará em vigor em 2021, e parte é referente aos casos de empresas que enfrentaram crises cibernéticas e, consequentemente, traduz em uma maior percepção do risco pelos clientes. “Neste ano, já conseguimos ver que a tendência é o mercado seguir crescendo. Para se ter uma ideia, ao compararmos o volume de janeiro 2019 com janeiro 2020, só no primeiro mês deste ano foi mais de 100% em aumento de prêmios, segundo os dados mais recentes da Susep”. Fernando Saccon, superintendente de Linhas Financeiras da Zurich, conta que as empresas dão sinais positivos, demonstrando preocupação a respeito do tema e buscando conhecimento. “Em
maio de 2018, entrou em vigor o Regulamento Geral de Proteção de Dados da Europa (GDPR). A Lei Geral de Proteção de Dados Pessoais (LGPD) do Brasil, cria deveres às empresas para proteção e privacidade de dados das pessoas, o que levará as empresas a procurarem ainda mais por esse serviço”. Com a aprovação da lei, o executivo diz que “as empresas começarão a administrar essa questão de maneira mais eficiente, buscando conhecimento e proteções que julgarem adequadas para seus negócios, já que o descumprimento pode gerar significativas perdas financeiras às companhias”. Na Argo Seguros, Fernando Gonçalves Pinto, head Financial Lines & Surety, também tem notado uma demanda crescente pelo produto por canais mais diversificados. “Se antes as demandas pelo cyber eram quase que exclusivamente demandas de corretores especializados, hoje vemos o interesse vindo do mercado em geral”. O mesmo tem acontecido na Alper Consultoria em Seguros, conforme conta o diretor de Riscos Corporativos e Sinistros, Ilan Kajan Golia. “Temos visto uma demanda crescente. Clientes estão nos procurando de forma recorrente pedindo mais informações a respeito dos investimentos que estão sendo realizados em TI
4
Camila Calais Mattos Filho
Paulo Brancher Mattos Filho
e segurança de informação”. Marta Schuh, explica que por causa da LGPD, a maturidade cibernética está crescendo no Brasil. “Investir em cibersegurança era um custo para as organizações. Hoje, um incidente cibernético não está só limitado a questões de vazamento de dados. É o que a LGPD traz. Ele pode também ocasionar uma parada operacional da empresa tão grande ou severo, como a quebra de uma máquina num processo fabril”. Na carteira de cyber risk, no ano passado, a Marsh registrou um crescimento de 200%, em relação a 2018, no primeiro trimestre desse ano, a alta foi de 100% frente às demandas de 2019. “A procura está alta, esperamos que se mantenha dessa forma com a crise que vamos enfrentar com o coronavírus”, prevê a executiva. Na Aon Brasil, Bandeira também informa que 2019 foi um ótimo ano para o produto. “A demanda vem crescendo ano após ano, 2019 foi o melhor, até porque o mercado vem explicando mais o que é o risco, a mitigação e a apólice de seguro. Poderia ser melhor, mas a questão econômica impactou as empresas nos últimos anos. Muitas vezes elas não conseguem contratar uma apólice de uma hora para outra, pois precisam trabalhar o seu budget. Mas o mercado vem crescendo, com seguros novos e renovações. A tendência é de que ele continue nesse sentido de alta”.
Perfil
Humberto Pita Chubb
Cada vez mais, a contratação de seguros de cyber risk é bastante pulverizada por empresas de diversos segmentos. “Aqui na Marsh, nós temos educado o
cliente na percepção do risco na sua organização. Nas que talvez ele não seja tão perceptível, a nossa entrada em demonstrar como o risco pode se comportar é um incentivo para que eles façam a contratação e a transferência deste risco. Empresas de capital aberto têm nos procurado bastante e as de pequeno porte também por conta da LPGP”. “Até alguns anos atrás, a preocupação com esse tipo de risco estava restrita à cúpula de empresas de setores mais sensíveis, como as do mercado financeiro, por exemplo. Hoje, o avanço da tecnologia e o processo de transformação digital pelos quais o mundo está passando fizeram com que a questão da segurança de sistemas e proteção de bases de dados seja um tema essencial para todas as empresas, independentemente de seu porte ou mercado de atuação”, diz Pita. Na Alper Consultoria em Seguros, Golia diz que empresas de tecnologia, comunicação e bancos são os clientes que mais têm procurado por eles. “Embora o seguro possa ser útil para toda empresa que detenha grande quantidade de dados como hospitais grupos universitários e escritórios de advocacia, por exemplo”. Saccon, da Zurich, comenta que pela dependência da tecnologia, todas as empresas e setores têm exposição a riscos cibernéticos. “Os setores de serviços médico, financeiro, a indústria de manufatura e o comércio são os mais afetados, mas a tecnologia, as entidades sem fins lucrativos e demais empresas não estão isentas do risco, pois também têm muitos dados pessoais de clientes e funcionários, além da dependência de tecnologia e automação”.
5 Nas palavras de Gonçalves, as atividades empresariais que tradicionalmente se utilizam de dados pessoais ou sensíveis apresentam a maior procura pelo seguro. “Com o desenvolvimento do mercado e aumento da oferta pelas seguradoras que operam com esse tipo de risco no Brasil, a contratação do produto não se dará apenas no âmbito corporativo, mas também será uma realidade nas pequenas e médias empresas. Isso porque o risco da paralisia temporária de suas atividades por consequência de um ataque cibernético pode causar, com maior facilidade, o enceramento de suas operações”. A diversificação também é notória na AIG. “Com grandes empresas de diferentes segmentos a negócios médios e menores com empresas, passando por multinacionais que contratam apólices locais por meio de nossa plataforma de Programas Mundiais, temos recebido contato de corretores de diferentes regiões do país, em busca de soluções para clientes de vários segmentos e tamanho, o que mostra que o seguro está mais conhecido, e o mercado mais ciente de suas coberturas”, especifica Sá. Com a versão brasileira da GDPR, Regulamento Geral de Proteção de Dados da Europa, Sá prevê que mais empresas, de diferentes portes e segmentos, também passarão a buscar informações junto aos corretores sobre como o cyber pode proteger seus negócios. “Ainda vemos bastante espaço e oportunidade para a consolidação do seguro de riscos cibernéticos no Brasil, com a ajuda dos corretores, nossos parceiros na disseminação da importância do seguro, e os riscos a que estão sujeitas as empresas”.
Sinistralidade
Em relação à sinistralidade no Brasil, Gonçalves, da Argo Seguros, comenta que “o mercado neste momento ainda é muito pequeno porque passamos a pensar nisso somente nos últimos oito anos. Nos Estados Unidos, por exemplo, já existem soluções nesse sentido desde os anos de 1990. Logo, a nossa realidade não reflete o potencial que o produto tem em todo mundo. Um bom exemplo é o estudo conduzido pelo Instituto Po-
nemon, em conjunto com a Accenture, envolvendo 11 países (incluindo o Brasil) e considerando 16 setores da economia. Foi concluído que o custo gerado por crimes cibernéticos pode atingir US$ 5,2 trilhões entre 2019 e 2023”. Flavio Sá informa que a sinistralidade da carteira no Brasil não é divulgada, mas que em mercados onde o produto é mais maduro, a sinistralidade cresce ano a ano. “Pesquisa realizada pela AIG na Europa, Oriente Médio e África apontam que dos sinistros de riscos cibernéticos registrados pela AIG nos últimos cinco anos, 45% foram em 2018, mais que o dobro do registrado em 2016 e 2017, o que mostra o crescimento desse tipo de ocorrência”. No Brasil, ele traça uma tendência semelhante, que inclusive reflete na crescente demanda pelo seguro. “Assim como empresas de todo o mundo tiveram que se adequar às recentes legislações nos Estados Unidos e Europa, a exemplo da GDPR, a Lei Geral de Proteção de Dados, que entrará em vigor no Brasil obriga as empresas a terem uma postura mais transparente e responsável com relação à gestão de dados de sua empresa e de seus clientes”. Na Zurich, Saccon conta que algumas notificações começaram a aparecer. “A ativação de nossos serviços de gestão de incidentes e nossa área de sinistros especialista nesses eventos têm ajudado nossos segurados a endereçarem tais ameaças. Vale ressaltar que o Zurich Proteção Digital disponibiliza ao segurado serviços de apoio imediato e equipe especializada”.
Flavio Sá AIG
Fernando Saccon Zurich
LGPD: O que deve mudar
No início de abril, o Senado votou a prorrogação da entrada em vigor da, Lei Geral de Proteção de Dados para 1° de janeiro de 2021, com a possibilidade de aplicação de sanções administrativas para 1° de agosto de 2021. O projeto segue para apreciação da Câmara dos Deputados. Na avaliação de Humberto Pita, a entrada em vigor da LGPD é um elemento que ajuda a direcionar o foco dos executivos para a questão dos riscos cibernéticos, mas não é o único. “Para dar uma ideia das dimensões
Fernando Gonçalves Pinto Argo Seguros
6
desse tema, entre março e junho de 2019, foram registradas 15 bilhões de tentativas de ataque no país, conforme informações da Fortinet, empresa especializada em segurança digital. Números dessa magnitude chamam a atenção para a questão. Aliadas a eles, temos histórias recentes que ficaram marcadas na memória”. Ele menciona que em 2017, um único ramsonware (software malicioso que bloqueia o acesso ao sistema operacional e arquivos e cobra resgate para liberação do acesso), chamado WannaCry, provocou perdas de US$ 8 bilhões para empresas de 150 países, incluindo o Brasil. “Tudo isso ajuda a sedimentar uma cultura de segurança digital e leva as empresas a tomarem medidas para se protegerem”. “O que podemos destacar é que a procura por informações sobre o seguro cibernético aumentou bastante e a LGPD é um dos fatores. Olhando apenas dados da Zurich, se comparado apenas o 2º semestre de 2018 x 2019 (época que a lei foi publicada – agosto de 2018), há um aumento de cerca de 50% no número de pedidos de cotação”, expõe Fernando Saccon. Na opinião de Paulo Brancher, nada mudou para as empresas que já estavam com projetos em andamento para atender a legislação e, independentemente de mudar a data em que a LGPD entrará em vigor, as empresas terão que se adequar. “Há um conscientização maior das empresas, ainda há núcleos de resistência dentro delas em relação a certas mudanças que a lei traz e que acabam exigindo uma adaptação de modelos de negócios, mas há
uma boa vontade das empresas em realmente tentarem diminuir o risco associado ao cumprimento da lei e mudar seus procedimentos internos”. Visão similar compartilha Marta Schuh. “As empresas começaram a entender que há uma necessidade de amadurecerem por conta da LGPD e nós buscamos demonstrar para as organizações os riscos que elas têm. Para estes riscos intangíveis, nós temos um sistema alimentado por um mapeamento de algoritmos que ilustra cenários de probabilidade e severidade de impacto que forma um valor tangível e perceptível para as organizações, do prejuízo que eles possam vir a ter. Consequentemente, o seguro se torna algo relevante”. Maurício Bandeira defende que mesmo que a lei só entre em vigor no próximo ano, o seguro continua sendo uma forma de mitigar o risco. “O que o mercado está monitorando é que aumentou muito o número de ataques, de tentativa de fraudes. E com o trabalho remoto, o risco mudou. Independentemente de a lei entrar em vigor nesse ano, o seguro continua sendo uma excelente forma de mitigar o risco para não ter impactos no balanço das empresas. Não existe empresa 100% segura”. Flavio Sá comenta que uma soma de fatores deve impulsionar o seguro de riscos cibernéticos. “A maturidade do mercado com a conscientização da importância da segurança virtual, os casos mais frequentes de ataques cibernéticos, e a entrada em vigor da LGPD compõem, juntos, fatores que tendem a elevar a procura pelo seguro de riscos cibernéticos”.
No ano passado, na AIG, os pedidos de cotações mais que dobraram em comparação ao ano de 2018. “Essa tendência deve ser mantida não só na AIG, como no mercado como um todo, com boas perspectivas de crescimento, tanto no que diz respeito às cotações, quanto ao fechamento de novos contratos. O mercado de cyber nos EUA é estimado entre US$ 7 bilhões e US$ 8 bilhões com a perspectiva de chegar a US$ 14 bilhões em 2021. No Brasil, o cenário é bastante promissor, mas é difícil estimar qual é o potencial”. Fernando Gonçalves Pinto lembra que a exposição ao risco cibernético já existia no Brasil havendo, inclusive, alguns importantes marcos legais anteriores como a Lei nº 12.527/2011 (Lei de Acesso à Informação); a Lei nº
Ilan Kajan Golia Alper Consultoria em Seguros
7
12.737/2012, que dispõe sobre a tipificação criminal de delitos informáticos, incluindo no Código Penal os crimes de Invasão de dispositivo informático e de Interrupção ou perturbação de serviço telegráfico, telefônico, informático, telemático ou de informação de utilidade pública; a Lei nº 12.965/2014 (Marco Civil da Internet) e a Resolução do Banco Central nº 4.658/2018 que dispõe sobre segurança cibernética. Sobre a LGPD ele discorre que é inspirada em outros normativos legais já existentes em outros países, em especial o General Data Privacy Regulations (GDPR), que entrou em vigor na União Europeia em maio de 2018. “A LGPD é ampla, abrangente e tem como objetivo proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural regulando as atividades que se utilizam de dados pessoais seja por meio digital ou não”. Nesse sentido, ele explica que estão sob o crivo da lei as atividades empresariais que se utilizam do acesso, coleta, reprodução, transmissão, arquivamento, processamento, entre outras. “Com o cenário econômico cada vez mais digital, a gestão do risco cibernético é uma necessidade e uma das maiores preocupações das empresas. Dentre as soluções possíveis, o seguro já é uma realidade e tende a crescer exponencialmente no Brasil”. Ilan Kajan Golia acrescenta que “o seguro atende a questão da LGPD no que tange ao pagamento de eventuais multas e penalidades, mas extrapola este aspec-
tos protegendo, por exemplo, prejuízos decorrentes da paralisação da empresa segurada que sofrer um ataque cibernético, bem como indenizações de prejuízos causados a terceira parte”.
Venda consultiva
Aos corretores, Saccon recomenda, em primeiro lugar, que eles se familiarizem com as soluções que o mercado segurador já disponibiliza e iniciem uma conversa sobre riscos com seus clientes. “Além disso, aborde sobre as ações que eles têm tomado em relação à implementação da Nova Lei de Proteção de Dados e como eles têm endereçado o risco de dependência de dados, ou ainda, se já ouviram falar sobre os diversos riscos inerentes à proteção de dados, ataques cibernéticos, ransomware, phishing, entre outros”. Nas palavras de Sá, a principal oportunidade, sem dúvida, é o corretor incluir em seu portfólio as ofertas do seguro de riscos cibernéticos (também conhecido como Cyber). “Um produto relativamente novo no mercado segurador e que poucos corretores se especializaram desde seu lançamento em 2012. Além disso, o corretor levará até seu cliente uma solução securitária com coberturas amplas para um risco até pouco tempo desconhecido, incluindo as mais específicas, como é o caso da cobertura de multas decorrentes de vazamento de dados, que passará a ser aplicada com a vigência da LGPD”. Inclusive, ele orienta que o corretor aprofunde seus conhecimentos sobre a LGPD, pois não só influenciará na melhor
comercialização do seguro, como também afetará todos os ramos empresariais. “É importante lembrar que das startups a grandes empresas já consolidadas e pequenos comércios que armazenam informações dos consumidores, todos devem contar com medidas protecionais, sob pena de multas, a partir da entrada em vigência da lei”. Nas palavras de Gonçalves, “setores como serviços, saúde, comércio, instituições financeiras, escritórios de advocacia têm uma percepção mais clara do risco e, por consequência, são os primeiros a procurarem soluções para geri-lo dentre as quais o seguro se insere”. Para Camila Calais, o fundamental é a gestão do risco. “Quando falamos de risco cibernético, o fundamental é o conhecimento e a gestão do risco. O corretor tem que ser especializado e conhecer muito sobre este assunto, para efetivamente buscarem no mercado as coberturas que estejam disponíveis pelas seguradoras para compor a proteção das empresas. Na medida que o mercado evolui, evoluem também as coberturas”, finaliza.
O Relatório Cobertura é uma publicação exclusivamente digital da Editora Cobertura. Periodicidade: trimestral Site: www.revistacobertura.com.br E-mail: relatoriocobertura@skweb.com.br Redes sociais: LinkedIn/revista-cobertura Twitter @RevCobertura Instagram @revista_cobertura Facebook /RevCobertura Publicidade: comercial@skweb.com.br WhatsApp: (11) 94596-1434 Tel.: (11) 3151-5444
8
20 20
O MAIOR EVENTO DE INOVAÇÃO EM SEGUROS DA AMÉRICA LATINA PRO MAGNO CENTRO DE EVENTOS - SÃO PAULO 23 E 24 DE NOVEMBRO DE 2020
NOVA DATA NOVEMBRO
23
24
NÃO FIQUE DE FORA! MAIS INFORMAÇÕES: WWW.CQCSINSURTECH.COM.BR