O ano de 2017 foi um marco para o mercado mundial de riscos cibernéticos. Empresas, gestores e gerenciadores da área se depararam com uma catástrofe nunca antes vista. Dessa vez, o problema tinha escala global. Já não bastava a preocupação com o próprio negócio, agora era preciso considerar toda a cadeia de suprimentos da empresa, bem como o ambiente no qual ela está inserida. Companhias do mundo inteiro foram impactadas e os desdobramentos desse evento, o WannaCry, reverberam até hoje!

Os ataques cibernéticos massificados colocaram à prova a resiliência de muitas empresas no que se refere aos riscos trazidos pelas evoluções tecnológicas. Isso mostrou para os stakeholders as organizações mais preparadas para lidar com um tema tão relevante às suas operações.

Esses ataques ligaram o alerta vermelho nas lideranças, que foram buscar conhecimentos para atualização, se preparando para o futuro e um possível próximo furacão cibernético. Afinal, no que tange à tecnologia e seus riscos, não era algo com que as empresas se relacionavam e, por isso, não entendiam com tanta facilidade. Foi preciso ‘’voltar aos estudos’’, contratar consultores, conversar com colaboradores, clientes, concorrentes e parceiros para entender profundamente do que se tratava essas exposições que as empresas estavam suscetíveis agora.

Em linhas gerais, o termo furacão cibernético se refere a um evento que derrube, ou comprometa, toda a infraestrutura dependente de cloud computing (acesse aqui); um estudo do Lloyds aponta que um downtime dos servidores de cloud, só nos Estados Unidos, poderiam causar perdas na casa dos bilhões de dólares (acesse aqui)  – algo catastrófico para o mercado. Essa expressão e tantas outras similares (cyber catastrophe, cybergedon, cyber disaster etc) estã sendo usadas para se referir a incidentes de impactos tão significativo quanto o WannaCry ou o Petya.

Num evento como o furacão cibernético – que se caracteriza pelo downtime de alguns dias dos servidores de cloud – empresas de todo mundo poderiam ter, novamente, suas operações impactadas simultaneamente, afetando as cadeias de suprimento, comprometendo o fornecimento do mercado como um todo. O problema se torna ainda maior se pensar que a migração para a cloud é uma tendência mundial. Milhões de usuários da tecnologia (desde os fornecedores da tecnologia aos consumidores finais) seriam afetados mundialmente e geraria um prejuízo de bilhões de dólares.

Como dito anteriormente, o uso da tecnologia traz riscos aos quais as empresas precisam estar preparadas. Após os ataques massificados, percebe-se o aumento significativo da consciência do mercado em torno do assunto, que parece estar criando cada vez mais soluções e ideias de como se preparar para essa situação. Uma pesquisa realizada pela Aon revela que entre 2015 e 2017 o risco cibernético saiu do 9º lugar e passou a ocupar a 5ª posição. Recentemente, em Davos 2019, foi verificado que o risco cibernético permanece entre as cinco maiores preocupações do mercado.

Dentre essas ferramentas, o seguro para riscos cibernéticos tem sido um dos itens constantes nos planos de gerenciamento de risco das empresas, colocando o mercado de seguros junto ao centro das discussões sobre o assunto. Isso é fundamental na compreensão dos riscos e auxilia as empresas na mitigação dessas ameaças.

É, portanto, compreensível que o termo ”furacão cibernético” venha sendo mais frequentemente usado por especialistas do mercado de seguros. Eis aqui o desafio do mercado securitário. Como definir a perda provável de um ataque hacker a uma empresa? Como limitar os prejuízos de um ataque massificado? Como estimar previamente todos os custos incorridos numa resposta a um crime cibernético?

Deve o mercado securitário se sofisticar a todo momento. Se preocupando inclusive na forma como o risco é tratado pelos contratantes da apólice – mesmo após a implementação do seguro. Ora, mesmo após empresas se prepararem, se esses passos não forem dados de forma eficiente, outro furacão cibernético pode ainda sim comprometer inúmeras empresas portadoras do seguro que, ao acionarem a apólice simultaneamente, comprometeriam a saúde econômica do mercado securitário, devido ao número relevante de sinistros e, consequentemente, a recuperação financeira eficaz das empresas após um evento catastrófico.

Um estudo recente feito pelo Lloyds em parceira com a Aon registra que um novo ataque massificado de ransonware poderia causar algo entre 85 e 193 bilhões de dólares em prejuízo a economia. (leia mais aqui).

Daí a importância de reconhecer que nenhum prestador de serviços na área de segurança isoladamente será responsável por identificar, compreender e resolver todos os problemas. Não existe solução última, aquela que uma vez tomada permite “deixar o assunto de lado”. Deve-se trabalhar de forma próxima, constante e ininterrupta no tratamento destes riscos – sempre se comunicando e se atualizando. Adapto a frase do Diego Gualda em seu paper sobre a readequação à LGPD (acesse aqui) e digo que: segurança cibernética é uma jornada e não um destino.

O capital despendido nesta área deve ser visto única e exclusivamente como investimento e nunca como despesa. Se o risco for trabalhado de forma multidisciplinar, envolvendo companhias, consultores, mercado de seguros e estado, as consequências de um furacão cibernético podem ser diminuídas e/ou anuladas.

Há uma oportunidade para que todos os envolvidos na discussão inovem na forma de tratar o assunto e descubram maneiras mais eficientes de modela-los e se preparar da melhor maneira possível. 

Curiosidades:

  • Em Davos, no começo de 2018, durante o Fórum Mundial de Economia, a CEO Asia da SwissRe, Jayne Plunkett falou sobre a dificuldade de se modelar um risco tão intangível como o cibernético. A preocupação está muito no cybergeddon e se esquece que, assim como no seguro saúde, pequenos passos, cuidados e compartilhamento de conhecimento, podem evitar grandes catástrofes. (acesse aqui)

  • Em 2006 nos EUA, o tratamento responsável e continuo do risco foi levado muito a sério. Um programa chamado de “Cyber Storm” foi criado para testar a resiliência americana. A iniciativa incluía 115 entidades que formam a infraestrutura crítica dos EUA e fazia uma grande simulação simultânea de ataque cibernético. (acesse aqui)

Em resumo, o furacão cibernético, um evento catastrófico e imprevisível, pode comprometer o ordenamento social e econômico dependente do uso de tecnologia. Algumas conclusões podem ser tiradas. Afim de evitar resultados desastrosos é preciso entender segurança como um investimento, se faz necessária a conversa com o mercado e entender a abrangência das exposições.