A Ásia é o lar de mais da metade dos usuários de Internet do mundo. As empresas estão a aproveitar a atividade online dos asiáticos para conquistar clientes novos e existentes, criar novos produtos e tornar os processos mais eficientes. Os benefícios desta oportunidade são acompanhados por riscos únicos não abordados pelas apólices de seguro tradicionais de interrupção de negócios (BI). No entanto, eles podem ser gerenciados com cobertura de BI de políticas cibernéticas independentes.
À medida que passamos do mundo físico para o digital, as reivindicações de BI cibernético apresentam desafios únicos – alguns familiares, alguns diferentes e outros dramaticamente diferentes das reivindicações de BI tradicionais.
O conhecido
Tal como acontece com todos os sinistros de seguros, deve ser estabelecido um nexo de causalidade entre o incidente e a perda. Isso é conhecido no BI tradicional como cláusula de danos materiais. As apólices de Cyber BI são semelhantes, mas em vez de danos, a cobertura pode ser acionada por um comprometimento real ou suspeito dos sistemas de TI do segurado. Para que as perdas sejam cobertas, elas devem decorrer de um sinistro segurado.
Os tipos de cobertura oferecidos pelas apólices de BI tradicional e cibernética também são bastante semelhantes. A cobertura pode ser fornecida com base na receita bruta ou no lucro bruto e com base no aumento dos custos de trabalho. O objetivo, portanto, é colocar o segurado em uma posição que não seja o incidente cibernético. Esses incidentes podem ser maliciosos (por exemplo, uma violação de dados ou malware) ou outros (talvez devido a atos ou omissões acidentais). O desafio, como sempre, reside em isolar a perda apenas daquela causada pelo incidente.
O um pouco diferente
Algumas diferenças sutis são perceptíveis quando se consideram as perdas sob uma apólice cibernética. O período de indenização para uma apólice de BI tradicional normalmente começa quando ocorre uma perda física. No entanto, com as políticas de BI cibernético, o início depende muito da formulação da política; pode ser o momento avaliado de um comprometimento do sistema ou o momento em que um relatório de incidente de segurança é feito. Isto está sujeito ao término de um período de espera definido (ou seja, tempo dedutível), geralmente de cerca de 12 horas. Embora pareça pouco tempo, pode ser uma eternidade cara para um varejista on-line durante uma grande venda, como no Dia dos Solteiros.
As políticas de Cyber BI geralmente têm períodos máximos de indenização de cerca de três meses, o que é significativamente menor do que os 12 meses que normalmente vemos nas políticas de BI tradicionais. Isto reflete a natureza mais curta de muitos incidentes cibernéticos, que podem ser resolvidos mais rapidamente através, por exemplo, de uma restauração de backup. No entanto, pode ser um desafio identificar e corrigir o ponto de falha num sistema de TI complexo, apesar de contar com a assistência de uma equipa dedicada de resposta a incidentes.
O muito diferente
Uma vez que os activos subjacentes são de natureza intangível, surgem algumas diferenças importantes. Aqui estão dois que vale a pena considerar:
- Ataques de ransomware
Embora não sejam novos, os ataques de ransomware tornaram-se cada vez mais proeminentes e complexos, tornando mais provável que uma empresa enfrente interrupções. Os dados podem ser roubados ou o acesso a eles bloqueado (ou alguma combinação disso), com o extorsionista ameaçando liberar, destruir ou bloquear o acesso aos dados confidenciais, a menos que um pagamento seja feito. O resgate médio em 2023 foi relatado em US$ 1,54 milhão, quase o dobro do valor de 2022.
Em certos casos, pagar o resgate pode parecer a opção mais barata e eficaz. Algumas apólices até indenizam o segurado por tais pagamentos. A decisão final sobre efetuar um pagamento cabe à empresa – mas, será que ela deveria pagar?
Embora possa ser tentador ceder às exigências na esperança de que os dados sejam restaurados rapidamente, as evidências não apoiam isto. Aproximadamente um em cada quatro que pagam nunca recupera seus dados e, mesmo que alguns dados sejam recuperados, a maioria das organizações leva mais de uma semana para se recuperar de um ataque de ransomware. Também não há garantia de fim ou resolução do ataque – um ponto ecoado pela Iniciativa Contra Ransomware de 48 países, que desencoraja fortemente tais pagamentos. Os pagamentos também poderiam servir como fonte de fundos para atividades criminosas e fornecer incentivos adicionais para cometer futuros ataques.
As empresas devem decidir se é do seu interesse recusar o pagamento do resgate. Se as seguradoras apoiassem a decisão de não pagar, a cobertura estender-se-ia geralmente aos custos de recuperação e a qualquer perda de receitas directamente resultante do ataque.
Como os ataques de ransomware podem ser financeiramente dispendiosos e causar tempos de inatividade significativos, seria sensato preparar-se proativamente para tal incidente. Essas medidas podem incluir:
- Garantir que backups e redundâncias estejam em vigor e atualizados
- Realização de auditorias regulares de TI
- Obrigação de senhas fortes e autenticação multifator
- Realização regular de treinamento e educação em TI
- Desenvolver planos de resposta a incidentes que possam ser mobilizados rapidamente, se necessário
Tais planos só são eficazes se envolverem os esforços de toda a organização.
- Danos à reputação
Após um ataque cibernético, a percepção pública da empresa visada pode ser afetada – especialmente quando dados confidenciais dos clientes são comprometidos. Os clientes podem questionar a capacidade da empresa de proteger as suas informações pessoais, levando à perda de confiança e lealdade. As interrupções no serviço também podem fazer com que os usuários mudem para um concorrente que promova sua confiabilidade.
Muitas apólices de BI cibernético oferecem cobertura para danos à reputação, reembolsando os segurados por perdas financeiras decorrentes diretamente do incidente. A cobertura para custos de reparação de reputação também pode estar disponível para a contratação de consultores de RP para mitigar os efeitos da publicidade adversa. A dificuldade reside em medir e atribuir a perda de clientes atuais e potenciais ao incidente. Além disso, uma vez que muitas apólices cibernéticas têm períodos máximos de indemnização curtos, os danos contínuos à reputação para além deste período não seriam cobertos pela apólice.
Ainda não se sabe se as notícias de incidentes cibernéticos se tornaram tão comuns que a reputação de uma empresa foi realmente prejudicada. As pessoas tendem a ver as empresas com um alto grau de confiança como mais suscetíveis à perda de reputação. Um banco online, por exemplo, estaria mais sujeito a perdas de reputação do que um retalhista online.
Tal como acontece com o ransomware, uma abordagem proativa para gerir danos à reputação pode ser mais eficaz e eficiente do que uma postura reativa. Além das medidas listadas acima, a pedra angular deve ser uma comunicação clara e eficaz com as partes interessadas – fundamental para reconstruir a confiança e defender reputações.
Conclusão
As afirmações de Cyber BI compartilham algumas características com suas contrapartes tradicionais de BI, mas o mundo digital levanta algumas questões únicas. Quando uma empresa enfrenta uma perda de BI cibernético, é fundamental contratar um parceiro confiável com experiência nas nuances das reivindicações de BI cibernético para ajudá-los a mitigar seu amplo impacto.
> Saiba mais - leia sobre os serviços de contabilidade forense e recursos de interrupção de negócios da Sedgwick na Ásia ou envie um e-mail para [email protected] para obter mais informações
Tags: BI, Interrupção de negócios, Sinistros, ciber, seguro cibernético, Risco cibernético, Propriedade, Perda de propriedade, Restauração de propriedade