Riscos cibernéticos exigem revolução nos seguros
- 1386 Visualizações
- Oscar Röcker Netto, em São Paulo
- 24 de novembro de 2015
- Sem categoria
Inclinação de plataformas, desvio de rotas de navios e outras novas atividades criminais ainda não são bem cobertas pelo mercado, dizem especialistas
A magnitude, complexidade e ritmo acelerado dos riscos cibernéticos exigem uma revolução da indústria de seguro, notadamente quando ligados aos transportes marítimos.
A avaliação cabe como uma luva para vários setores, mas foi dirigida especificamente ao setor de transportes marítimos por Tony Cowie, vice-presidente sênior da Swiss Re, em congresso internacional do setor em São Paulo, levando em conta uma situação em que os mocinhos (leia-se a cadeia produtiva formal, ainda claudicante em responder ao problema) precisam se precaver melhor contra os bandidos (os hackers, sempre muito eficientes nas artes do mal).
Cowie e seus pares traçaram uma situação que mostra um nível de atividade e expertise ilegais de deixar gestores de risco de todo o globo de cabelo em pé.
É provável que quem lida com transporte marítimo tenha assistido ao filme Capitão Phillips, história baseada em caso real em que o navio comandado por Tom Hanks é atacado por sequestradores magricelas armados até os dentes.
Isso está se tornando coisa do passado. “Temos uma nova forma de roubo. O que se roubava antes de arma em punho, rouba-se hoje pelo computador”, resumiu Cowie.
No caso dos navios, os assaltos vão parecer cada vez mais com uma sofisticada armação tecnológica digna dos piores inimigos de 007.
As embarcações estão ficando maiores (transportando, portanto, muito mais valor) e muito mais tecnológicas — duas situações que aumentam a produtividade e eficiência do sistema como um todo, mas também abrem variadas exposições aos hackers.
“Os ataques cibernéticos são o maior risco industrial que eu vi em meus 42 anos de seguro.” A frase é de Steve Catlin, o fundador da seguradora que hoje faz parte do grupo XL, e foi usada por Cowie para dar a dimensão do problema.
Potencial
A lista de potenciais danos ajuda a corroborar a argumento do segurador. Alguns casos concretos que circulam no mercado carecem de comprovação. Como lembrou Cowie, muita gente não comenta e não relata ataques.
É um comportamento habitual: empresas têm clientes, e clientes não gostam de saber que podem ter prejuízos por um problema de quem ele remunerou para ter algum serviço.
Com alguma frequência, esse tipo de situação vira um processo judicial por quebra de privacidade ou confidencialidade.
Mesmo assim, Cowie informa que houve 783 casos com 85 milhões de registros roubados relatados no mercado norte-americano no ano passado. O número de casos não relatados certamente é muito maior, segundo ele.
Quem é o capitão agora?
Oficiais ou não, os casos são cada vez mais graves e não se restringem “apenas” a roubar informações. Trata-se muitas vezes de assumir o controle das coisas.
Cowie citou um exemplo que corre na internet. Um hacker achou interessante inclinar uma plataforma de petróleo no norte da África. Ao fazer isso, mostrou enfaticamente o tamanho do dano que poderia causar, abrindo a porta para achaques e extorsões superlativas, que poderiam ficar maiores a cada grau de inclinação da estrutura e a cada minuto que a empresa tentava em vão anular suas ações.
Tem mais. Os hackers podem assumir posições que vão de comandante de navio ou gerente financeiro a operador de guindaste.
É possível alterar a rota da embarcação, via GPS, e levá-la aonde bem desejar. Ou então travar o sistema do portos, impedindo a operação do guindaste.
Situações mais “simples” incluem descobrir — e vender, se for o caso — a carga contida nos contêineres inteligentes. Ou então alterar a ordem de pagamento, trocando a conta bancária de destino do pagamento — um caso real que gerou prejuízo de US$ 1 milhão, sendo que comprador e vendedor só souberam do problema na hora do aperto de mãos após a entrega dos produtos, relatou Jai Sharma, diretor de casualties do escritório de advocacia Clyde&Co.
Mudanças no seguro
“Hoje, pode-se roubar mais e mais rápido”, disse o executivo da Swiss Re. Daí que ele cravou: “Temos de fazer uma revolução no seguro”.
Mudanças que passam por ajustes nas técnicas de dia a dia do seguro até a criação ou adaptação de produtos para o setor.
As apólices de cyber precisam ter linguagem própria, considera ele. “As cláusulas da virada do século precisam ser revisadas”, afirmou, ressaltando que modelos-padrão de clausulados neste ramo não resolvem muita coisa.
Ele ressalvou que algumas mudanças já estão em curso nos mercados mais avançados. Como uma mudança de clausulados nos Estados Unidos, com participação da AIMU (a associação internacional de seguros marítimos, na sigla em inglês) e prevista para logo, e novas exclusões de cobertura a serem feita no mercado londrino.
Causa e efeito
“A tecnologia diminui os custos e torna o transporte mais eficiente, mas há também uma exposição maior dos dados”, disse Belén Navarro, a gerente de cyber para América da AIG.
“As empresas precisam ter políticas de segurança muito mais efetivas para se prevenir desse tipo de ataque; e, se ele ocorrer, saber como responder”, afirmou.
Na parte de seguros, porém, muitas empresas não demonstram demasiada preocupação.
O inglês Jai Sharma, do Clyde&Co, escritório de advocacia com presença global, diz que menos de 10% das companhias compram seguro específico contra risco cibernético no mundo — o que gera prêmios de US$ 2 bilhões por ano hoje.
Para ele, esse nível é baixo porque se trata de uma área em que abunda complexidade e falta conhecimento, “dos dois lados, segurados e seguradoras”. “É um território ainda desconhecido para um produto de grande escala. O ponto é que se trata de um ambiente difícil de rastrear; é como uma floresta”, afirmou Sharma.
Seja como for, a indústria do seguro tem trabalho de casa a ser feito, de acordo com os especialistas reunidos no congresso.
Os riscos cibernéticos normalmente são excluídos das apólices tradicionais. De acordo com Navarro, “as políticas tradicionais de seguro não cobrem completamente os riscos cibernéticos”.
Para ela, é preciso trabalhar com produtos específicos de cyber, que permitam restaurar a atividade e pagar os danos que venham a ocorrer de acordo com as características específicos dessa área.
Pedagogia
Sharma considera pedagógico revistar problemas recentes nesta área, como forma de melhorar os enfrentamentos futuros. Principalmente porque “teremos um trilhão de dispositivos conectados à internet até 2020, e os ataques cibernéticos significativos vão ficar mais comuns; vai haver mais perdas de dados corporativos e pessoais, propriedade intelectual e sabotagens”.
Esses exemplos vêm se repetindo já há alguns anos e muitos deles se transformaram em casos ruidosos na mídia, gerando por tabela danos consideráveis de reputação para as companhias envolvidas.
A Sony, por exemplo, levou um prejuízo de US$ 100 milhões com invasão do sistema do seu Playstation; a rede varejista Target perdeu US$ 150 milhões após 17 milhões de seus clientes terem seus dados violados; mesma situação que sofreram um milhão de clientes da Staples nos Estados Unidos.
Num universo tão amplo e conectado, será mais comum a ocorrência de ações civis por parte de “milhares de clientes”, considera o advogado da Clyde & Co. Eles mostram-se cada vez menos pacientes em ter dados expostos a problemas de uma empresa em que confiaram e que eventualmente tenha sido vítima de hackers.
Para quem acha que problemas de grande magnitude só podem ocorrer com os outros, Jai Sharma é categórico ao afirmar que “todas as empresas” estão passíveis de sofrer um ataque catastrófico. “É só uma questão de tempo.”
Desenvolvimento exige trabalho
Sharma avalia que os riscos cibernéticos precisam ser mais bem explorados pelos seguradores — até porque podem representar uma fonte significativa de faturamento numa indústria que, lembre-se, trabalha justamente para proteger seus clientes e precisa fazer isso mantendo-se financeiramente saudável.
O especialista acredita que em dez anos esse setor estará movimentando US$ 20 bilhões em prêmios por ano. Mas será preciso criar novas linhas de produtos e desenvolver o mercado.
“A questão é saber relativizar o mercado e distribuir os produtos. Há muitos potenciais consumidores nesta área”, afirmou.
“Só precisamos saber como cobrir o dano”, completou Cowie.
- Brasil 97
- Compliance 66
- Gestão de Risco 200
- Legislação 17
- Mercado 247
- Mundo 102
- Opinião 25
- Resseguro 105
- Riscos emergentes 10
- Seguro 198