A Ásia abriga mais da metade dos usuários de Internet do mundo. As empresas estão aproveitando a atividade on-line dos asiáticos para fazer incursões em clientes novos e existentes, criar novos produtos e tornar os processos mais eficientes. Os benefícios dessa oportunidade são acompanhados de riscos exclusivos que não são abordados pelas apólices de seguro tradicionais de interrupção de negócios (BI). No entanto, eles podem ser gerenciados com a cobertura de BI de apólices cibernéticas autônomas.
À medida que passamos do âmbito físico para o digital, as reivindicações de BI cibernético apresentam desafios únicos - alguns familiares, outros diferentes e outros dramaticamente diferentes das reivindicações de BI tradicionais.
O familiar
Como em todas as reivindicações de seguro, é necessário estabelecer um vínculo causal entre o incidente e a perda. Isso é conhecido no BI tradicional como a cláusula de dano material. As apólices de BI cibernético são semelhantes, mas, em vez de danos, a cobertura pode ser acionada por um comprometimento real ou suspeito dos sistemas de TI do segurado. Para que as perdas sejam cobertas, elas devem decorrer de um incidente segurado.
Os tipos de cobertura que as apólices de BI tradicional e cibernético oferecem também são bastante semelhantes. A cobertura pode ser fornecida com base na receita bruta ou no lucro bruto e com base no aumento dos custos de trabalho. O objetivo, portanto, é colocar o segurado em uma posição que não seja a do incidente cibernético. Esses incidentes podem ser maliciosos (por exemplo, uma violação de dados ou malware) ou não (talvez devido a atos ou omissões acidentais). O desafio, como sempre, está em isolar a perda apenas para aquela causada pelo incidente.
A diferença um pouco diferente
Algumas diferenças sutis são perceptíveis quando se consideram as perdas em uma apólice cibernética. O período de indenização de uma apólice de BI tradicional geralmente começa quando ocorre uma perda física. No entanto, nas apólices de BI cibernético, o início depende muito do texto da apólice; pode ser o momento avaliado de um comprometimento do sistema ou o momento em que é feito um relatório de incidente de segurança. Isso está sujeito à expiração de um período de espera definido (ou seja, tempo dedutível), geralmente cerca de 12 horas. Embora isso pareça pouco tempo, pode ser uma eternidade cara para um varejista on-line durante uma grande venda, como no Dia dos Solteiros.
As apólices de BI cibernético geralmente têm períodos máximos de indenização de cerca de três meses, o que é significativamente mais curto do que os 12 meses que normalmente vemos nas apólices de BI tradicionais. Isso reflete a natureza mais curta de muitos incidentes cibernéticos, que podem ser resolvidos mais rapidamente por meio, por exemplo, de uma restauração de backup. No entanto, pode ser um desafio identificar e corrigir o ponto de falha em um sistema de TI complexo, apesar de contar com a assistência de uma equipe dedicada de resposta a incidentes.
Os muito diferentes
Como os ativos subjacentes são de natureza intangível, surgem algumas diferenças importantes. Aqui estão duas que vale a pena considerar:
- Ataques de ransomware
Embora não sejam novos, os ataques de ransomware têm se tornado cada vez mais proeminentes e complexos, tornando mais provável que uma empresa sofra interrupções. Os dados podem ser roubados ou o acesso a eles bloqueado (ou alguma combinação desses fatores), com o extorsionário ameaçando liberar, destruir ou bloquear o acesso a dados confidenciais, a menos que seja feito um pagamento. O resgate médio em 2023 foi relatado como sendo de US$ 1,54 milhão, quase o dobro do valor de 2022.
Em certos casos, pagar o resgate pode parecer a opção mais barata e eficaz. Algumas apólices até indenizam o segurado por esses pagamentos. A decisão final de fazer um pagamento é da empresa, mas será que ela deve pagar?
Embora possa ser tentador ceder às exigências, na esperança de que os dados sejam restaurados rapidamente, as evidências não confirmam isso. Aproximadamente um em cada quatro que pagam nunca recupera seus dados e, mesmo que alguns dados sejam recuperados, a maioria das organizações leva mais de uma semana para se recuperar de um ataque de ransomware. Também não há garantia de fim ou solução para o ataque - um ponto ecoado pela Iniciativa de Combate ao Ransomware de 48 países que desencoraja fortemente esses pagamentos. Os pagamentos também podem servir como uma fonte de fundos para atividades criminosas e fornecer mais incentivos para futuros ataques.
As empresas devem decidir se é de seu interesse recusar o pagamento de um resgate. Se as seguradoras apoiarem a decisão de não pagar, a cobertura geralmente se estenderá aos custos de recuperação e a qualquer perda de receita diretamente resultante do ataque.
Como os ataques de ransomware podem ser financeiramente caros e causar um tempo de inatividade significativo, seria sensato se preparar proativamente para esse incidente. Essas medidas podem incluir:
- Garantir que os backups e as redundâncias estejam implementados e atualizados
- Realização de auditorias regulares de TI
- Obrigação de senhas fortes e autenticação multifatorial
- Realização de treinamento e educação regulares em TI
- Desenvolver planos de resposta a incidentes que possam ser mobilizados rapidamente, se necessário
Esses planos só serão eficazes se envolverem os esforços de toda a organização.
- Danos à reputação
Após um ataque cibernético, a percepção pública da empresa alvo pode ser afetada, principalmente quando os dados confidenciais dos clientes são comprometidos. Os clientes podem questionar a capacidade da empresa de proteger suas informações pessoais, levando a uma perda de confiança e lealdade. As interrupções de serviço também podem fazer com que os usuários mudem para um concorrente que promova sua confiabilidade.
Muitas apólices de BI cibernético oferecem cobertura para danos à reputação, reembolsando os segurados por perdas financeiras decorrentes diretamente do incidente. A cobertura para custos de reparo da reputação também pode estar disponível para a contratação de consultores de relações públicas para mitigar os efeitos da publicidade adversa. A dificuldade está em medir e atribuir a perda de clientes atuais e potenciais ao incidente. Além disso, como muitas apólices cibernéticas têm períodos máximos de indenização curtos, os danos contínuos à reputação além desse período não seriam cobertos pela apólice.
Ainda não se sabe se as notícias sobre incidentes cibernéticos se tornaram tão comuns que a reputação de uma empresa foi de fato prejudicada. As pessoas tendem a ver as empresas com um alto grau de confiança como mais suscetíveis a perdas de reputação. Um banco on-line, por exemplo, seria mais propenso à perda de reputação do que um varejista on-line.
Assim como no caso do ransomware, uma abordagem proativa para gerenciar os danos à reputação pode ser mais eficaz e eficiente do que uma postura reativa. Além das medidas listadas acima, a pedra angular deve ser uma comunicação clara e eficaz com as partes interessadas, o que é fundamental para reconstruir a confiança e defender a reputação.
Conclusão
Os sinistros de BI cibernético compartilham algumas características com os sinistros de BI tradicionais, mas o âmbito digital levanta algumas questões exclusivas. Quando uma empresa se depara com uma perda de BI cibernético, é fundamental contratar um parceiro de confiança com experiência nas nuances dos sinistros de BI cibernético para ajudá-la a mitigar seu amplo impacto.
> Saiba mais - Leia sobre os serviços de contabilidade forense e recursos de interrupção de negócios na Ásia ou envie um e-mail para [email protected] para obter mais informações
Tags: BI, Interrupção de negócios, Sinistros, cibernético, seguro cibernético, Risco cibernético, Propriedade, Perda de propriedade, Restauração de propriedade