Reclamações por interrupção de negócios cibernéticos: os desafios únicos do mundo digital

A Ásia é o lar de mais da metade dos usuários de internet do mundo. As empresas estão aproveitando a atividade online dos asiáticos para conquistar clientes novos e existentes, criar novos produtos e tornar os processos mais eficientes. Os benefícios dessa oportunidade são acompanhados por riscos únicos que não são abordados pelas apólices tradicionais de seguro contra interrupção de negócios (BI). No entanto, eles podem ser gerenciados com a cobertura BI de apólices cibernéticas independentes. 

À medida que passamos do mundo físico para o digital, as reclamações relacionadas à inteligência de negócios cibernética apresentam desafios únicos — alguns familiares, outros diferentes e outros ainda drasticamente diferentes das reclamações tradicionais relacionadas à inteligência de negócios. 

O familiar

Tal como acontece com todos os sinistros de seguros, deve ser estabelecida uma relação causal entre o incidente e o prejuízo. Isso é conhecido na BI tradicional como cláusula de danos materiais. As apólices de BI cibernética são semelhantes, mas em vez de danos, a cobertura pode ser acionada por uma violação real ou suspeita dos sistemas de TI do segurado. Para que os prejuízos sejam cobertos, eles devem decorrer de um incidente segurado. 

Os tipos de cobertura oferecidos pelas apólices tradicionais e cibernéticas de BI também são bastante semelhantes. A cobertura pode ser fornecida com base na receita bruta ou no lucro bruto e com base no aumento dos custos operacionais. O objetivo, portanto, é colocar o segurado em uma posiçãosem oincidente cibernético. Esses incidentes podem ser maliciosos (por exemplo, uma violação de dados ou malware) ou de outra natureza (talvez devido a atos acidentais ou omissões). O desafio, como sempre, está em isolar a perda exclusivamente àquela causada pelo incidente.

O um pouco diferente

Algumas diferenças sutis são perceptíveis quando se considera as perdas sob uma apólice cibernética. O período de indenização para uma apólice tradicional de BI normalmente começa quando ocorre uma perda física. No entanto, com as apólices de BI cibernéticas, o início depende muito da redação da apólice; pode ser o momento avaliado de um comprometimento do sistema ou o momento em que um relatório de incidente de segurança é feito. Isso está sujeito ao término de um período de carência definido (ou seja, tempo dedutível), geralmente de cerca de 12 horas. Embora pareça um período curto, pode ser uma eternidade cara para um varejista online durante uma grande promoção, como no Dia dos Solteiros. 

As apólices de BI cibernético geralmente têm períodos máximos de indenização de cerca de três meses, o que é significativamente mais curto do que os 12 meses que normalmente vemos nas apólices de BI tradicionais. Isso reflete a natureza mais curta de muitos incidentes cibernéticos, que podem ser resolvidos mais rapidamente por meio, por exemplo, de uma restauração de backup. No entanto, pode ser desafiador identificar e corrigir o ponto de falha em um sistema de TI complexo, mesmo com a assistência de uma equipe dedicada de resposta a incidentes. 

Os muito diferentes

Como os ativos subjacentes são intangíveis por natureza, surgem algumas diferenças importantes. Aqui estão duas que vale a pena considerar: 

1. Ataques de ransomware

Embora não sejam novidade, os ataques de ransomware têm se tornado cada vez mais proeminentes e complexos, aumentando a probabilidade de uma empresa enfrentar interrupções. Os dados podem ser roubados ou o acesso a eles bloqueado (ou alguma combinação disso), com o extorsionário ameaçando divulgar, destruir ou bloquear o acesso a dados confidenciais, a menos que um pagamento seja feito. O resgate médio em 2023 foi de US$ 1,54 milhão, quase o dobro do valor de 2022.

Em certos casos, pagar o resgate pode parecer a opção mais barata e eficaz. Algumas apólices até indenizam o segurado por esses pagamentos. A decisão final sobre se deve ou não fazer o pagamento cabe à empresa — mas será que ela deve pagar?

Embora possa ser tentador ceder às exigências na esperança de que os dados sejam restaurados rapidamente, as evidências não corroboram isso. Aproximadamente um em cada quatro que pagam nunca recuperam seus dados e, mesmo que alguns dados sejam recuperados, a maioria das organizações leva mais de uma semana para se recuperar de um ataque de ransomware. Também não há garantia de que o ataque termine ou seja resolvido — um ponto reiterado pela Iniciativa Contra o Ransomware, formada por 48 nações, que desencoraja fortemente tais pagamentos. Os pagamentos também podem servir como fonte de financiamento para atividades criminosas e fornecer mais incentivo para cometer ataques futuros. 

As empresas devem decidir se é do seu interesse recusar o pagamento do resgate. Caso as seguradoras apoiem a decisão de não pagar, a cobertura geralmente se estenderá aos custos de recuperação e a qualquer perda de receita resultante diretamente do ataque.

Como os ataques de ransomware podem ser financeiramente onerosos e causar um tempo de inatividade significativo, seria sensato preparar-se proativamente para tal incidente. Essas medidas podem incluir:

• Garantir que os backups e redundâncias estejam em vigor e atualizados
• Realização de auditorias regulares de TI
• Exigir senhas fortes e autenticação multifatorial
• Realização de treinamentos e cursos regulares de TI
• Desenvolver planos de resposta a incidentes que possam ser mobilizados rapidamente, se necessário. 

Esses planos só são eficazes se envolverem os esforços de toda a organização.

• Danos à reputação

Após um ataque cibernético, a percepção pública da empresa visada pode ser afetada, especialmente quando dados confidenciais de clientes são comprometidos. Os clientes podem questionar a capacidade da empresa de proteger suas informações pessoais, levando a uma perda de confiança e lealdade. Interrupções no serviço também podem fazer com que os usuários mudem para um concorrente que promova sua confiabilidade.

Muitas apólices de BI cibernético oferecem cobertura para danos à reputação, reembolsando os segurados pelas perdas financeiras decorrentes diretamente do incidente. Também pode estar disponível cobertura para custos de reparação da reputação, para contratar consultores de relações públicas a fim de mitigar os efeitos da publicidade adversa. A dificuldade reside em medir e atribuir a perda de clientes atuais e potenciais ao incidente. Além disso, como muitas apólices cibernéticas têm períodos máximos de indenização curtos, os danos contínuos à reputação além desse período não seriam cobertos pela apólice. 

Ainda não se sabe ao certo se as notícias sobre incidentes cibernéticos se tornaram tão comuns que a reputação das empresas foi realmente prejudicada. As pessoas tendem a considerar que as empresas que gozam de um alto grau de confiança são mais suscetíveis a perder reputação. Um banco online, por exemplo, estaria mais sujeito a perder reputação do que um varejista online. 

Tal como acontece com o ransomware, uma abordagem proativa para gerenciar os danos à reputação pode ser mais eficaz e eficiente do que uma postura reativa. Além das medidas listadas acima, a base deve ser uma comunicação clara e eficaz com as partes interessadas — fundamental para reconstruir a confiança e defender a reputação. 

Conclusão

As reclamações de BI cibernético compartilham algumas características com suas contrapartes tradicionais de BI, mas o mundo digital levanta algumas questões únicas. Quando uma empresa enfrenta uma perda de BI cibernético, é fundamental contratar um parceiro de confiança com experiência nas nuances das reclamações de BI cibernético para ajudá-la a mitigar seu amplo impacto.

> Saiba mais — leia sobre os serviços de contabilidade forense e recursos de interrupção de negócios na Ásia ou envie um e-mail para [email protected] para obter mais informações.