Gonçalo Baptista: “Seguros ciber começam nos 500 euros para uma PME”

O diretor geral da Innovarisk, mediadora presente na Lloyd's e representante da Hiscox, acompanha há muito riscos cibernéticos e faz um ponto da situação sobre a proteção que os seguros estão a dar.

2ª Conferência Anual ECOSeguros - 28OUT21
Gonçalo Baptista: “Uma empresa que alegue que fez tudo o que está ao seu alcance como forma de evitar um ataque será à mesma responsável em primeira instância”.Henrique Casinhas/ECO

Vodafone, Grupo Impresa e Laboratórios Germano de Sousa foram as mais recentes empresas vítimas de ataques informáticos de enorme impacto interno e externo nas suas organizações, mas não estão sozinhas. Em Portugal, um crescente número de organizações, pequenas e menos conhecidas, têm sido igualmente atacadas. A Innovarisk, uma MGA (managing general agent, mediadora com poderes especiais concedidos por seguradoras), oferece há anos seguros para proteger este risco usando, entre outros, o seu estatuto de coverholder da Lloyd’s e a sua representação da seguradora britânica Hiscox. Gonçalo Baptista, diretor geral da Innovarisk, tem acompanhado de perto o evoluir da criminalidade ciber e está na linha da frente das soluções que a indústria seguradora está a propor às organizações. Foi entrevistado por ECOseguros.

Classificar um ciberataque como terrorista tem interesse para as seguradoras ou será igual se for ou não terrorista?

Os ataques cibernéticos com ou sem terrorismo têm motivações criminosas e dolosas pelo que serão mais um dos motivos para a sua existência do que para exclusões. Quanto à Guerra, existe genericamente a exclusão para atos de Guerra em quaisquer apólices deste ramo ou outro, ou seja, se for decretado por um tribunal que um ataque cibernético foi um ato de guerra (não existindo qualquer precedente a esse respeito), a cobertura das apólices não funcionaria. De qualquer forma afigura-se difícil apurar se tanto um (Guerra) como ou outro (Terrorismo) se aplicam – a discussão do ponto de vista jurídico é extremamente complexa.

O facto de a empresa vítima ter feito ou não todo o possível, técnica e de RH, para evitar o ataque está bem definido, para efeito de responsabilidades, em atos e omissões concretos?

O legislador – a legislação está bastante harmonizada a nível internacional – nestes casos optou por proteger os terceiros lesados e não quem foi vítima de ataque. Uma empresa que alegue que fez tudo o que está ao seu alcance como forma de evitar um ataque será à mesma responsável em primeira instância. Em segunda instância é difícil antever, é tudo bastante recente, mas antevemos grande dificuldade em conseguir afastar a responsabilidade. Até porque o passo mais óbvio do ponto de vista legal – conseguir que seja o criminoso a indemnizar os lesados, afigura-se bastante difícil. Do ponto de vista de cobertura, tendo estas apólices a cobertura da Responsabilidade Civil dos Segurados, acaba por seguir a mesma lógica porque o que se cobre é precisamente essa responsabilidade.

O cliente define o nível de proteção que pretende ao escolher o limite de indemnização da apólice. Dentro desse limite escolhido, genericamente nas indemnizações a terceiros a cobertura é total.

Então o comportamento da empresa é avaliado como?

O que é balizado é não tanto o que fez para prevenir um ataque, mas sim o que fez para mitigar os danos, porque essa é uma obrigação contratual em qualquer apólice de seguro de qualquer ramo. Para dar um exemplo que se percebe facilmente, não é aceitável que uma empresa perca dados pessoais de clientes e depois falhe no dever de informar a Comissão Nacional da Proteção de Dados.

A regularização de um sinistro ciber só acontece quando acaba a investigação policial?

Não. A questão só se põe quanto a pagamentos de resgates e ainda assim não tem aplicabilidade em Portugal por se tratar de uma cobertura vedada pela legislação nacional. Nos países onde é permitido sim, o pagamento ou não de resgastes é feito em consonância com as autoridades (ou em Portugal fora do contexto de uma apólice de seguro onde a proibição não existe, existe apenas uma proibição de segurar, não de pagar resgates). Os resgates podem de alguma forma ser um incentivo à prática criminosa, daí fazer sentido envolver as autoridades.

Existem níveis diferentes de abordagem quer se trate malware, ransomware e hacking?

Desde que estes seguros foram criados que a criminalidade cibernética aumentou exponencialmente, tornando-se um produto de gestão difícil para as Seguradoras (até pelo seu potencial sistémico que se traduz na possibilidade de um ataque afetar inúmeras empresas em simultâneo, levando a perdas de biliões do setor). Ao longo dos anos foram aumentando as restrições que variam de seguradora para seguradora que foram limitando a sua exposição a eventos como ransonmware, roubos de identidade (um criminoso que se faz passar por outra pessoa para obter um benefício), prejuízos nas empresas pela sua paralisação ou pela paralisação dos seus fornecedores ou ainda por causarem paralisação de clientes seus (imaginando por exemplo uma indústria que está dependente de outra para fazer funcionar a sua linha de montagem). Tudo isto acontece num mundo cibernético que tem escala mundial tornando por isso impossível a quantificação do risco para seguradoras e resseguradoras, levando a que limitem a sua exposição a alguns destes riscos enunciados. Do ponto de vista da regularização do sinistro propriamente dito, há também realidades muito díspares porque implicam diferentes respostas para restabelecer sistemas ou para gerir comunicação com as várias entidades. O malware e posterior pedido de resgate, ou não, está mais centrado na paralisação de sistemas enquanto que o hacking, por exemplo, tem como objetivo mais comum causar anomalias aos sistemas ou intercetar dados confidenciais. Todos acarretam perdas diretas ou indiretas potencialmente muito altas pelo que todas são uma preocupação para o segurado que as seguradoras foram acolhendo para criar produtos apelativos, com as tais restrições que vêm aparecendo com o agravamento do contexto.

As coberturas são muito vastas e incluem, entre outros, um serviço de emergência, perdas de lucro em caso de paralisação motivada por um ataque, recuperação dos dados perdidos, a gestão de um processo de extorsão perpetrado pelos criminosos ou as indemnizações aos vários terceiros que possam ser lesados

A responsabilidade sobre queixas de terceiros contra a empresa é normalmente cobertura aceite? Pela totalidade? Só parcialmente?

O cliente define o nível de proteção que pretende ao escolher o limite de indemnização da apólice. Dentro desse limite escolhido, genericamente nas indemnizações a terceiros a cobertura é total.

Quais são as coberturas realizadas pela seguradora para com a empresa vítima?

As coberturas são muito vastas e incluem, entre outros, um serviço de emergência providenciado por especialistas em criminalidade cibernética, disponíveis 24/7 para apoiar os clientes na resposta a incidentes, perdas de lucro em caso de paralisação motivada por um ataque, recuperação dos dados perdidos, a gestão de um processo de extorsão perpetrado pelos criminosos ou as indemnizações aos vários terceiros que possam ser lesados.

 

Do que depende e quanto poderá custar um seguro ciber a uma empresa?

A tarifação depende principalmente do setor de atividade do cliente, volume de faturação, robustez dos sistemas de segurança, limite de indemnização bem como das coberturas adicionais que pretende contratar. O custo começa nos 500 euros para uma pequena empresa que compre um limite baixo. Uma empresa que fatura 10 a 20 milhões já pagará entre 2 a 4 mil euros. A partir daí, os preços variam imenso de acordo com as especificidades. Há grandes empresas internacionais que pagam alguns milhões de euros por uma apólice de Ciber.

Há outros aspetos importantes quando se contrata uma apólice ciber?

Em primeiro lugar assegurar que está a comprar uma boa apólice, há soluções muito díspares no mercado. Depois, as Seguradoras olham cada vez mais para o detalhe do cliente e recolhem cada vez mais informação. É por isso fundamental, nomeadamente em empresas com dimensão, que tenham sistemas robustos para terem acesso a cobertura adequada: redundâncias, backups, softwares atualizados, controles sobre o acesso a dados, são muitos dos temas para os quais têm que investir. O outro aspeto, que ressalta menos neste processo de análise das Seguradoras porque não é avaliável em questionários, é a formação aos quadros: 67% dos sinistros tem início numa falha humana.

Assine o ECO Premium

No momento em que a informação é mais importante do que nunca, apoie o jornalismo independente e rigoroso.

De que forma? Assine o ECO Premium e tenha acesso a notícias exclusivas, à opinião que conta, às reportagens e especiais que mostram o outro lado da história.

Esta assinatura é uma forma de apoiar o ECO e os seus jornalistas. A nossa contrapartida é o jornalismo independente, rigoroso e credível.

Comentários ({{ total }})

Gonçalo Baptista: “Seguros ciber começam nos 500 euros para uma PME”

Respostas a {{ screenParentAuthor }} ({{ totalReplies }})

{{ noCommentsLabel }}

Ainda ninguém comentou este artigo.

Promova a discussão dando a sua opinião