O Brasil praticamente virou um ponto de encontro de hackers de todo o mundo. Diante disso, o país praticamente virou referência em gestão de riscos e de estudo por parte dos especialistas em detectar o risco de perdas com ataques. Semana passada, Peter Armstrong, que assumiu em novembro como head de Cyber Risks da Willis em Londres, esteve no Brasil e falou com o blog Sonho Seguro. Confira abaixo os principais trechos da entrevista*.
Denise Bueno – O quanto você acredita na venda do seguro de Cyber Risks no Brasil, país que conta atualmente com apenas uma seguradora, a XL, depois que a Susep suspendeu as vendas do produto da AIG, pioneira no lançamento? Além de termos apenas uma seguradora, temos um marco regulatório que não motiva o cliente a contratar.
Peter Armstrong – Então, a pergunta antecipa algumas coisas, estamos indo no caminho errado. Nós devemos nos desafiar a entender qual é a natureza da escala de risco e depois disso explorar o mercado segurador para o Brasil. Eu acho que a resposta para a minha própria pergunta é que já existem claros e substanciais ataques com perdas no Brasil. Eu vou te passar alguns dados disso. Em 2013, US$ 1,4 bilhão de foram roubados de bancos aqui do Brasil de acordo com a Febraban. É como uma perfeita tempestade de causas e efeitos.
Como assim?
O Brasil, por volta dos anos 1990 desenvolveu muito o banco eletrônico, além disso conseguiu estabilizar a economia e hoje possui a segunda maior rede de caixas eletrônicos (ATMs) do mundo. Como consequência de todo esse dinheiro eletrônico, e como você disse, com uma legislação fraca, isso atraiu muitos hackers. E no mundo da segurança de dados tem um grupo chamado de “Banking Trojans” todos originados aqui no Brasil.
O que vem a ser isso?
Esses “Banking Trojans” são uma associação de pessoas que foram atraídas para o Brasil em função das condições e uma família de “trojans” foram produzidos efetivamente por essa rede social de desenvolvedores. Recentemente, trojans originados na Europa e na Rússia foram adaptados para a América Latina por essa associação. Então sabemos que estamos sentados em cima dos mais sofisticados trojans aqui na América Latina. Em 2012, a Business Software Alliance, uma organização global das 100 maiores empresas de tecnologia e softwares, fez uma pesquisa em 24 países que juntas compõem 80% do mercado mundial de informações, comunicação e tecnologia, incluindo o Brasil.
Qual o objetivo da pesquisa?
Entender a maturação dos mercados para adotar a computação na nuvem. O Brasil ficou em último lugar da lista em termos de estar preparado e parte disso é em função da fraca legislação, de não existir uma lei que garanta a privacidade na transmissão de dados através de diferentes nuvens, além de um baixo nível de desafio da lei da internet. Todas essas coisas são parte das condições que fazem o crime cibernético ser atrativo. Então a resposta para a primeira parte da sua pergunta é que as condições aqui no Brasil, por tristes razões, fazem o país ser muito atrativo para o crime cibernético.
O Brasil está mergulhando em uma crise financeira. Isso agrava o cenário?
É um mix. Nós sabemos que a escala de crimes cibernéticos está crescendo de uma forma geral. Nós fizemos algumas análises, na Grécia, sobre esse ponto. E o nível de criminalidade cresceu proporcionalmente nos quatro anos de recessão. O que não fomos capazes de fazer é separar o exato montante de crescimento em relação a recessão versus o crescimento natural do crime cibernético. Não fomos capazes de chegar a uma conclusão. Mas é importante para nós entendermos a escala de perdas e o impacto disso no mercado de capitais.
Há pesquisas sobre isso?
Então, tem uma pesquisa que eu irei enviar a você feita pela McAffie, Intel e o Centro de Estratégia de Estudos dos US (em breve publicarei outro post com os dados dessa pesquisa), que tenta estabelecer a escala de perdas em relação a atividade de transações na internet. E é muito difícil entender o padrão do que entra e do que sai, mas a metodologia que eles implementaram foi bem rigorosa. Eles identificaram que a escala de perdas por crimes e interrupção de negócios contra o total de valores transacionados na internet é algo em torno de 15 a 20%. Normalmente, em outros casos, quando o risco chega a 1,5 a 2%, o mercado fica muito preocupado. O mercado de capitais influencia os membros do board das empresas em termos de boas práticas para qualquer outro risco de negócios exceto para Cyber. E se essas perdas representam entre 15 a 20% do valor transacionado, então isso significa que com o crescimento do uso da internet essas perdas irão ficar insustentáveis para o mercado de capitais.
E com isso os acionistas vão exigir seguro de perdas com ataques assim como fazem com o seguro do patrimônio por perdas com acidentes?
O mercado de capitais irá forçar o seguro e o investimento em segurança para refletir a efetividade do board de demonstrar os cuidados efetivos com os crimes cibernéticos. Temos aqui um círculo de maturação. E o ambiente legal é parte disso. O mercado de capitais tem um importante papel a exercer para todas as empresas perceberem, mas o que é muito claro é que o conhecimento sobre a escala dos cyber ataques continua muito baixo. E a resposta do mercado de capitais também continua baixa. Essencialmente, um componente de risco que é respondido pelo seguro de cyber é em relação a terceira pessoa, principalmente relacionado a privacidade de informações e de dados, que também é regulamentada pela lei de privacidade dos EUA. E ainda essa questão da privacidade representa cerca de 20% das ameaças. A grande maioria das ameaças está relacionada a organizações, principalmente de manufatura, mineradoras e empresas de transporte, onde a vulnerabilidade está nos sistemas de controle industrial com enormes vulnerabilidades aqui.
E com o funciona o gerenciamento de riscos?
Apenas uma parte da indústria de seguro de ciber está madura e essa parte é relativa a prevenção de riscos. Esse é o mercado que está estabelecido, os tipos de cobertura que você verá. A maior apólice nesse sentindo é de 500 milhões de dólares para a US Telecom.
O Obama fez um comunicado essa semana que o Iphone 6 é vulnerável ao ataque de hackers e de roubo de informações. Você acha que isso pode ajudar?
Entre o início de 2013 e o início de 2014, tivemos 896 tipos de novos malware que era focado em dispositivos móveis. 894 eram destinados para Androids. Eu acho que o baixo conhecimento em geral é um dos principais problemas que enfrentamos hoje. Entender como os ataques realmente ocorrem e se manifestam é realmente crucial. Então, no meu ponto de vista, qualquer coisa que faça o assunto se tornar mais conhecido é importante. O problema é que geralmente as pessoas focam no caso em particular, como nesse do Iphone 6, quando ele representa uma coisa pequena em relação ao todo, mas aumentar o senso de conhecimento das exposições eu acredito que seja uma boa coisa.
No Brasil, os bancos costumam dizer que o problema é do cliente, quando ocorre uma fraude. Isso ocorre em outros países?
Essa é uma situação local. Em outros mercados, as instituições bancárias são responsáveis por toda a cadeia de fornecedores na prestação de serviços aos consumidores. E tecnicamente, os bancos aqui no Brasil estão indo contra a lógica, pois se você clica em um link e ele instala um vírus em seu computador, é apenas um componente do vírus, a parte mais importante do vírus está embutido nos sistemas dos bancos, nos seus servidores. Como funcionam esses vírus? Eles usam o seu link e outros 20 mil links para ativar o vírus que está no servidor do banco. Então é verdade que tem uma responsabilidade do cliente em clicar no link e ativar o vírus, mas ele ativa algo que está nos sistemas dos bancos. A forma como estes 20 mil links age é que todos, ao mesmo tempo, solicitam uma transação para o mesmo servidor o que cria um buraco branco que impossibilita que o banco identifique de onde o dinheiro está saindo. Então é meia verdade dizer que o consumidor é responsável. Eles têm sua responsabilidade, mas a arma mortal está nos sistemas dos bancos. E em outros países já tem uma jurisprudência de que em casos como esses, o banco é responsável pelos problemas causados aos seus clientes.
O sigilo no Brasil não ajuda?
Parte do rigor que vemos em outros países ocorre em função da lei de proteção e sigilo de dados que aqui no Brasil é muito fraca. Então essa legislação coloca a responsabilidade nos bancos sobre a proteção não apenas das informações mas também de qualquer consequência do acesso a esses dados. Então qualquer perda de dinheiro associada ao acesso a informações em outros países é respaldada pela legislação de proteção e sigilo de dados. Então, parte da culpa por essa resposta dos bancos aqui no Brasil é da fraca legislação de proteção de dados.
A Willis já fez alguma projeção de quanto a proteção de cyber pode custar ao final para o cliente? Na história da Willis quanto custaria para um banco se proteger de um ataque?
Na indústria dos bancos, em função da natureza da commodity que eles trabalham – o dinheiro – eles têm muito claro a previsão de perdas. E essa previsão incorpora perdas por ataques cibernéticos. Cada organização tem uma análise de risco e um diferente budget para essas perdas. Mas geralmente está em 2% do turnover para o banco. E dentro disso estão incorporadas as perdas por cyber. O approach que é feito pela indústria de seguros é relativa a perda de terceiros, mas precisamos voltar para a perda dos “primeiros”. Refletir no risco do capital e o que isso custa para os negócios, se está realmente dentro desses 2%. Refletir quanto custa um sistema de mitigação de riscos e então julgar quanto realmente esse sistema vai mitigar versus que tipo de cobertura eles terão. E parte do custo para os bancos depende do quanto eles são espertos sobre nessa decisão. O que significa que nunca ocorrerá um approach coletivo aos bancos pois parte da precificação para os bancos está no jeito que eles fazem essa análise. Então um approach coletivo realmente não funciona. O que não temos e os bancos estão relutantes é quanto desses 2% é relativo a cyber e quanto é por outras fraudes que eles já têm uma previsão.
Executivo da XL afirmou em recente evento promovido pela Escola Nacional de Seguros que não consegue vender o seguro no Brasil, pois os bancos não abrem as informações para que ela possa fazer uma subescrição e dar um preço certo. Como resolver essa situação?
Eu só posso dizer com propriedade sobre o que ocorre nos mercados de Londres e dos Estados Unidos. Nos dois mercados, existem organizações que fornecem dados para as seguradoras e que obrigam padrões de segurança para os bancos como o PCI DSS, e com esses selos de confiança a informação se dividia livremente. Então, a precificação e quantificação do risco pode ser estabelecida. Os problemas que vocês têm aqui não existem nesses dois mercados e eu não posso dizer com autoridade sobre outros mercados.
Como vender no Brasil então?
Então, o mercado brasileiro tem essa desvantagem em termos de legislação, entretanto, não existe uma solução simples. É um problema complexo com um número diferente de tendências. Deixe eu falar um pouco sobre elas.
Conhecimento. O fato de estarmos tendo essa conversa e o que ela irá gerar já aumenta o conhecimento. O segundo ponto é que o governo tem claramente um árduo caminho a seguir em termos de legislação. Mas provavelmente o que irá ocorrer é que as grandes empresas que estão no país irão forçar o governo a atuar, como ocorre em outros países. Então, a forma que provavelmente as coisas irão evoluir é em função das multinacionais, com as organizações que também atuam em outros países, como Canadá, Estados Unidos e em muitas outras geografias onde eles já são obrigados a ter padrões de segurança muito mais complexos do que eles têm aqui no Brasil.
Mas não são apenas bancos os clientes alvos da consultoria da Willis. Quais os principais segmentos no alvo do grupo?
Nós estamos falando sobre negócios e as grandes multinacionais serão uma das principais chaves para as mudanças e em um curto período de tempo. O engajamento dessas grandes empresas começará a ficar claro quando o assunto se tornar um problema para os membros dos boards das companhias. Minha preocupação com essa conversa que estamos tendo agora é que conversamos bastante sobre os terceiros e a privacidade das informações. Mas nós não conversamos ainda sobre as exposições dos negócios, sobre propriedade intelectual, sobre sigilo comercial, danos físicos em equipamentos industriais e esse é um grande componente e que pode em geral exercer uma grande pressão civil.
Como a falta de água…
Se pensarmos hoje aqui em São Paulo, no problema da água, as plantas de tratamento de água por osmose, elas têm um grande filtro, uma membrana com sal. Geralmente são cinco dessas membranas. É uma questão de dois minutos para eu afetar a válvula que libera a agua salgada para ir para o sistema de tratamento água. Em questão de minutos nós podemos afetar a confiança que a população tem nos sistemas públicos de infraestrutura. Nós podemos causar danos de reputação em organizações, nós podemos causar problemas físicos e interrupção de negócios para as empresas, essa é uma questão crucial para o board das empresas. E o desafio para as companhias de seguro é menos sobre a questão dos terceiros, que sabemos que é difícil, mas que pelo menos está evoluindo.
Acredita em novas seguradoras atuando no setor?
Hoje existem apenas dois produtos endereçados para os problemas das próprias empresas. Um é da AIG que foi lançado em agosto e o outro é da Lloyds que foi lançado em outubro. E a capacidade que vemos no mercado londrino para essa segurança das empresas (first part) é algo em torno de 300 e 800 milhões de dólares. E comparando com a escala do desafio dos riscos primários, as outras partes são muito pequenas. E isso é muito recente e nosso entendimento sobre isso é muito imaturo também. Eu acredito que o real desafio para os negócios e para o mercado de capital é o desenvolvimento dessa parte e é onde nossas atenções devem estar, no desenvolvimento de competência de cuidados e no desenvolvimento da capacidade, que hoje é relativamente pequeno. Mas de toda forma isso é difícil de quantificar.
Como é no Brasil?
No Brasil, essa primeira parte de risco, em relação a computação na nuvem é gigantesca e é difícil de mensurar. E vimos isso naquela pesquisa que o Brasil é o menos preparado para a computação na nuvem e isso se deve a grande exposição. Temos uma grande tentação de falar sobre o risco de terceiros, de focar nos problemas dos bancos e dos consumidores, mas no meu ponto de vista o problema principal está no risco para os negócios das empresas. As ameaças nos setores de mineração e de commodities, setores que estão por trás do crescimento do país, são enormes.
Os sistemas são seguros ou vulneráveis?
Os sistemas de controle industrial são muito mais vulneráveis que os sistemas comerciais. Um exemplo, há três meses nós descobrimos um vírus chamado “Energetic bet”, o pouco que sabemos é que ele existe há cerca de 18 meses e nós só o descobrimos há três, e tem um milhão de exemplos desse vírus. Esse vírus é focado em empresas de energia e ele é capaz, em tempo real, de afetar diretamente equipamentos. Um exemplo: um desses vírus pode afetar um dos controles de uma tubulação de gás que vai da Ucrânia para a Alemanha. Você pode imaginar, no meio do inverno, quando a temperatura é baixa, alguém atacar o tubo e explodi-lo? A Rússia é a única fonte de gás para a Alemanha. E esse vírus “viveu” 18 meses, e com um milhão de vírus parecidos, desenvolvido pela Russia FSB e nunca foi usado. Então, a exposição nos sistemas industrias é a real ameaça de qualquer nação e é onde o mercado segurador tem o grande desafio de se desenvolver. Porque a complexidade dos problemas irá demandar uma série de análises e nós não temos os dados suficientes para quantificar mas nós já sabemos onde o risco realmente está. Então, no meu ponto de vista, a primeira parte de risco e o desenvolvimento dessa segunda geração dos seguros contra cyber risks é o grande problema.
Você acredita que para os membros do board das empresas ter um seguro contra cyber risks vai ser tão crucial quanto ter um seguro patrimonial?
Sim. Eu acredito que as companhias e a indústria de seguros têm alguns desafios para definir as áreas onde o seguro vai agir. De muitas formas, cyber caminha junto com outras coberturas. Interrupção de negócios pode ser causada por cyber, danos físicos em equipamentos, fraudes, e outras tantas coberturas podem ser afetadas por Cyber. E então a ramificação de Cyber já está no Board Room, mas com outros nomes. Eu acho que é inegável que Cyber vá tomar seu lugar. O que falta é a classificação do que é relativo a Cyber.
Mas isso deverá ocorrer em breve, não?
Com certeza, quando o board tiver que explicar para seus steakholders porque os seus custos e investimentos em seguros cresceram, com certeza, o Cyber estará na sala do board.
*Colaborou Fernanda Arantes, da Virta Comunicação
