Todos os funcionários da empresa recebem um email assim: o vale refeição de todos passou de R$ 30 para R$ 50. Clique aqui e pegue a nova versão. Quais as chances de boa parte da equipe clicar no link? Certamente maior do que 50%. São frases atrativas como essa que hackers usam para conseguir entrar no sistema da empresa e fazer um estrago considerável. “Quanto antes isso for descoberto, entendido e sanado, menor o prejuízo a empresa e para a seguradora, caso haja um seguro de riscos cibernéticos. Por isso, lançamos neste sexta (13), o serviço “linha direta”, em parceria com a Deloitte, que já usamos em outros países e tem tido um excelente resultado”, disse Flávio Oliveira, CEO da AIG, durante evento promovido para corretores e clientes, em São Paulo.
Trata-se do primeiro atendimento às empresas vítimas de ataques cibernéticos. Um canal de primeira resposta, que trabalha 24 horas por dia, sete dias na semana. “Este momento é determinante para controlar os danos de imagem, financeiros e até operacionais que podem ser causados”, acrescenta Flávio Sá, gerente responsável por seguros financeiros na AIG, pioneira no lançamento de seguros com o D&O e riscos cibernéticos no Brasil.
A consultoria está disponível para os segurados da AIG, sem custo extra. Sem citar o valor investido, Sá afirmou que é um investimento da AIG na carteira para trazer sustentabilidade para o negócio, que gira mundialmente vendas de US$ 6 bilhões por ano, sendo a AIG a líder. “Quanto mais rápido somos acionados e temos uma equipe preparada para agir, menor será o prejuízo do cliente e, consequentemente, o nosso”, comentou o segurador.
Elder de Abreu, diretor de ciber risk da Deloitte, explica que a consultoria tem uma equipe de 180 profissionais especializados em riscos digitais e por trás do canal telefônico de orientação haverá uma equipe de 20 experts disponíveis por 24 horas e nos sete dias da semana. “Mas temos de ter alguém na empresa que seja treinada para fornecer as informações corretas”, afirmou. Segundo ele, muitas vezes o hacker faz um estrago que funciona como uma nuvem para encobrir o que realmente está hackeando. “Ter um profissional treinado para responder as perguntas iniciais da triagem na linha direta é de extrema importância para que possamos agir e mitigar o risco o máximo possível”.
Há muitas preocupações que gravitam em torno deste assunto, que é o risco mais temidos por gestores de riscos em todo o mundo, como perda máxima, se o seguro cobre o prejuízo como um todo, se é preciso comprar uma apólice à parte ou se o programa tradicional de seguros cobre danos como se um hacker causa a explosão de uma caldeira, por exemplo.
Além desses, outra grande preocupação é com a entrada em vigor da Lei Geral de Proteção de Dados Pessoais (LGPD, Lei nº 13.709/2018). Será que os hackers vão aguardar a entrada em vigor da lei para fazer ataques e exigir pagamento “resgate”, uma vez que a lei responsabiliza as empresas? A questão do auditório teve como resposta um “pode ser”. “Tendo como base o que observamos nos casos de empresas que estavam preparando emissões de papeis e tiveram dados vazados, achamos que sim. Hackers já tinham acessado o sistema das empresas e ficaram esperando o melhor momento para revelar o ataque e pedir regate”, citou Sá.
De acordo com os especialistas, ransomware foi o segundo maior tipo de ataque sofrido pelas empresas globalmente, no ano passado, com 18% dos casos, segundo dados da AIG. O comprometimento de e-mails, com vazamento de informações, foi o maior problema, com 23% das ocorrências. O número de ataques em 2018 foi mais que o dobro do registrado em 2016 e 2017.
Pesquisa – Durante a apresentação, a seguradora realizou uma pesquisa que revelou a falta de conhecimento dos presentes sobre o tema. O setor de saúde é o mais afetado e a tendência é sofrer mais, diz o especialista da Deloitte, Elder Abreu. “É um setor que tem dados super sensíveis e pouco protegidos. Varejo tem tendência de sofrer ataques pelo ecommerce, mas tem uma maturidade maior em relação ao tema”, afirmou. Segundo ele, os criminosos vão nos setores mais fáceis. “Um dos setores que tem potencial destrutivo é o de manufatura. Se o hacker tem acesso aos sistemas industrias pode cometer uma catástrofe, com explosão, por exemplo”.
Uma das perguntas foi sobre o impacto financeiro médio por vazamento de dados no Brasil. Cerca de 49% responderam corretamente. Mais de R$ 5,5 milhões. No entanto, 51% ficaram perdidos entre as alternativas, que iam de R$ 1,2 milhão a mais de R$ 12 milhões, valores estimados que ainda não consideram o ônus trazido pelas regulações como a LGPD.
Outra questão que sinaliza o quanto esse tema ainda precisa ser debatido entre clientes e seguradoras é quanto ao tempo médio decorrido entre a invasão e a descoberta da violação. O intervalo das respostas era de 5 dias a 200 dias e a maioria opinou por até 60 dias. A resposta correta é mais de 300 dias para descobrir a invasão e mais de 100 dias para conter, o que mostra a fragilidade e a diferença na percepção das pessoas sobre o tema. Brasil está atrás apenas do Oriente Médio.
