Sinistros de interrupção de actividades cibernéticas: os desafios únicos do mundo digital

A Ásia é o lar de mais da metade dos utilizadores de Internet do mundo. As empresas estão a aproveitar a atividade online dos asiáticos para conquistar clientes novos e existentes, criar novos produtos e tornar os processos mais eficientes. Os benefícios dessa oportunidade são acompanhados por riscos únicos que não são abordados pelas apólices tradicionais de seguro contra interrupção de negócios (BI). No entanto, eles podem ser geridos com a cobertura BI de apólices cibernéticas independentes. 

À medida que passamos do mundo físico para o digital, as reclamações relacionadas com a BI cibernética apresentam desafios únicos – alguns familiares, outros diferentes e outros ainda drasticamente diferentes das reclamações tradicionais relacionadas com a BI. 

O familiar

Tal como acontece com todos os pedidos de indemnização de seguros, deve ser estabelecida uma relação causal entre o incidente e o prejuízo. Isto é conhecido na BI tradicional como a cláusula de danos materiais. As apólices de BI cibernética são semelhantes, mas em vez de danos, a cobertura pode ser acionada por uma violação real ou suspeita dos sistemas de TI do segurado. Para que os prejuízos sejam cobertos, eles devem decorrer de um incidente segurado. 

Os tipos de cobertura oferecidos pelas apólices tradicionais e cibernéticas de BI também são bastante semelhantes. A cobertura pode ser fornecida com base na receita bruta ou no lucro bruto e com base no aumento dos custos operacionais. O objetivo, portanto, é colocar o segurado numa posiçãoem que não tivesse ocorridoo incidente cibernético. Esses incidentes podem ser maliciosos (por exemplo, uma violação de dados ou malware) ou de outra natureza (talvez devido a atos acidentais ou omissões). O desafio, como sempre, reside em isolar a perda exclusivamente àquela causada pelo incidente.

O um pouco diferente

Algumas diferenças subtis são perceptíveis quando se considera as perdas ao abrigo de uma apólice cibernética. O período de indenização para uma apólice tradicional de BI normalmente começa quando ocorre uma perda física. No entanto, com as apólices de BI cibernéticas, o início depende muito da redação da apólice; pode ser o tempo estimado de comprometimento do sistema ou o momento em que um relatório de incidente de segurança é feito. Isso está sujeito ao término de um período de carência definido (ou seja, tempo dedutível), geralmente cerca de 12 horas. Embora pareça um período curto, pode ser uma eternidade cara para um retalhista online durante uma grande promoção, como no Dia dos Solteiros. 

As apólices de BI cibernético geralmente têm períodos máximos de indenização de cerca de três meses, o que é significativamente mais curto do que os 12 meses que normalmente vemos nas apólices de BI tradicionais. Isso reflete a natureza mais curta de muitos incidentes cibernéticos, que podem ser resolvidos mais rapidamente por meio, por exemplo, de uma restauração de backup. No entanto, pode ser desafiador identificar e corrigir o ponto de falha em um sistema de TI complexo, mesmo com a assistência de uma equipa dedicada de resposta a incidentes. 

Os muito diferentes

Uma vez que os ativos subjacentes são de natureza intangível, surgem algumas diferenças importantes. Aqui estão duas que vale a pena considerar: 

1. Ataques de ransomware

Embora não sejam novidade, os ataques de ransomware têm-se tornado cada vez mais proeminentes e complexos, aumentando a probabilidade de uma empresa enfrentar interrupções. Os dados podem ser roubados ou o acesso a eles bloqueado (ou alguma combinação disso), com o extorsionário a ameaçar divulgar, destruir ou bloquear o acesso a dados confidenciais, a menos que seja feito um pagamento. O resgate médio em 2023 foi de US$ 1,54 milhões, quase o dobro do valor de 2022.

Em certos casos, pagar o resgate pode parecer a opção mais barata e eficaz. Algumas apólices até indenizam o segurado por esses pagamentos. A decisão final sobre se deve ou não fazer o pagamento cabe à empresa — mas será que ela deve pagar?

Embora possa ser tentador ceder às exigências na esperança de que os dados sejam restaurados rapidamente, as evidências não corroboram essa ideia. Aproximadamente um em cada quatro que pagam nunca recuperam os seus dados e, mesmo que alguns dados sejam recuperados, a maioria das organizações leva mais de uma semana para se recuperar de um ataque de ransomware. Também não há garantia de que o ataque termine ou seja resolvido — um ponto reiterado pela Iniciativa Contra o Ransomware, que reúne 48 nações e desencoraja fortemente esses pagamentos. Os pagamentos também podem servir como fonte de financiamento para atividades criminosas e fornecer mais incentivo para cometer ataques futuros. 

As empresas devem decidir se é do seu interesse recusar o pagamento do resgate. Caso as seguradoras apoiem a decisão de não pagar, a cobertura geralmente se estenderá aos custos de recuperação e a qualquer perda de receita resultante diretamente do ataque.

Como os ataques de ransomware podem ser financeiramente onerosos e causar um tempo de inatividade significativo, seria sensato preparar-se proativamente para tal incidente. Essas medidas podem incluir:

• Garantir que os backups e as redundâncias estejam implementados e atualizados
• Realização de auditorias regulares de TI
• Exigir senhas fortes e autenticação multifatorial
• Realização de formação e educação regulares em TI
• Desenvolver planos de resposta a incidentes que possam ser mobilizados rapidamente, se necessário 

Esses planos só são eficazes se envolverem os esforços de toda a organização.

• Danos à reputação

Após um ataque cibernético, a perceção pública da empresa visada pode ser afetada, especialmente quando dados confidenciais de clientes são comprometidos. Os clientes podem questionar a capacidade da empresa de proteger as suas informações pessoais, levando a uma perda de confiança e lealdade. Interrupções no serviço também podem fazer com que os utilizadores mudem para um concorrente que promova a sua confiabilidade.

Muitas apólices de BI cibernético oferecem cobertura para danos à reputação, reembolsando os segurados pelas perdas financeiras decorrentes diretamente do incidente. Também pode estar disponível cobertura para custos de reparação da reputação, para contratar consultores de relações públicas para mitigar os efeitos da publicidade adversa. A dificuldade reside em medir e atribuir a perda de clientes atuais e potenciais ao incidente. Além disso, como muitas apólices cibernéticas têm períodos máximos de indenização curtos, os danos contínuos à reputação além desse período não seriam cobertos pela apólice. 

Ainda não se sabe ao certo se as notícias sobre incidentes cibernéticos se tornaram tão comuns que a reputação das empresas foi realmente prejudicada. As pessoas tendem a considerar que as empresas que gozam de um alto grau de confiança são mais suscetíveis a perder a sua reputação. Um banco online, por exemplo, estaria mais sujeito a perder a sua reputação do que um retalhista online. 

Tal como acontece com o ransomware, uma abordagem proativa para gerir os danos à reputação pode ser mais eficaz e eficiente do que uma postura reativa. Além das medidas listadas acima, a base deve ser uma comunicação clara e eficaz com as partes interessadas — fundamental para reconstruir a confiança e defender a reputação. 

Conclusão

Os sinistros de BI cibernético partilham algumas características com os seus equivalentes tradicionais de BI, mas o domínio digital levanta algumas questões únicas. Quando uma empresa enfrenta uma perda de BI cibernético, é fundamental contratar um parceiro de confiança com experiência nas nuances dos sinistros de BI cibernético para ajudá-la a mitigar o seu amplo impacto.

> Saiba mais — leia sobre os serviços de contabilidade forense e capacidades de interrupção de negócios na Ásia ou envie um e-mail para [email protected] para obter mais informações