Desde ontem de madrugada os grupos de WhatsApp de executivos de riscos corporativos estão a todo vapor. Considerado a maior falha de TI de todos os tempos, o apagão cibernético global – que aconteceu na madrugada desta sexta (19) devido a uma falha em um software da Microsoft – gerou um impacto significativo no setor da aviação civil, hospitais, bancos, serviços e até seguradoras enfrentam instabilidade em seus sistemas.
Após a interrupção na nuvem da Microsoft hoje, analistas esperam atualmente que as reclamações por interrupção de negócios impulsionem a maior parte das perdas da indústria de seguros. Foi confirmado que a interrupção foi causada por uma atualização de segurança da CrowdStrike, que chegou a registrar desvalorização na bolsa de R$ 65 bilhões, segundo agências de notícias. Trata-se de um provedor de tecnologia de segurança, que levou a problemas generalizados com o Windows da Microsoft.
Certamente as consequências levarão algum tempo para estimativas realistas de perdas para a indústria de seguros. No entanto, especialistas em cibersegurança citam que há um claro potencial para riscos acumulados e perdas significativas por interrupção de negócios. Trata-se de um risco gigante e que poucas empresas contratam de forma adequada. Inclusive porque as re/seguradoras fornecem apenas um valor pequeno de importância segurada e serviços de retomada da operação para que possam testar o mercado e entender mais sobre a extensão que o problema pode ter.
Este caso de hoje sinaliza que ainda há muito a ser aprendido sobre a segurança cibernética. “O conceito de risco sistêmico refere-se à possibilidade de falha em um componente do sistema causar impactos significativos em todo o sistema ou em partes substanciais dele. O evento registrado hoje ilustra um pouco disso – uma falha em sistemas de provedor global de segurança cibernética repercutiu de forma sistêmica e abrangente, levando a interrupção massiva que afetou diversos setores”, avalia Alfredo Chaia, especialista em riscos.
Segundo a corretora de seguros Alper, vários nichos da economia podem ser afetados pelo apagão, com perdas em diversos segmentos como seguro viagem, com cobertura em casos de cancelamento de voos, como o ocorrido nas principais companhias aéreas dos Estados Unidos; seguro de Lucros Cessantes, com cobertura para interrupção das atividades empresariais devido a falhas técnicas; seguros de Responsabilidade Civil, com proteção contra ações judiciais e responsabilidades decorrentes de falhas cibernéticas; seguros para o Setor de Saúde, diante das garantias para hospitais e clínicas em casos de interrupções tecnológicas que afetem procedimentos e serviços; seguros para Mercados Financeiros que envolvem proteção contra perdas decorrentes de paralisações em bolsas de valores e outros mercados financeiros.
A demanda por seguros cibernéticos cresce na medida em que os ataques se tornam cada vez mais frequentes. De acordo com a Munich Re, uma das maiores companhias de resseguro do mundo em termos de prêmio subscrito, foram US$ 4,7 bilhões em prêmios cibernéticos em todo o mundo em 2018. Em 2021, foram US$ 9,2 bilhões, e a projeção para o final de 2025 é de US$ 22,1 bilhões.
A corretora Wiz Corporate explica que as garantias das apólices de seguros cibernéticos são divididas em dois tipos de proteções. As coberturas de respostas a incidentes envolvem os prejuízos do próprio segurado e englobam: serviços de perícia forense digital; custos para restauração e recuperação de dados; pagamento de resgate (extorsão); lucros cessantes por interrupção de rede; gastos de notificação e monitoramento; custos de restituição de imagem pessoal e da sociedade; e custos decorrentes de uma investigação administrativa.
Já as coberturas de responsabilidade civil, que envolvem os prejuízos de terceiros, englobam: custos de defesa; multas e penalidades; responsabilidade por dados pessoais ou corporativos de terceiros; e pagamento por danos decorrentes de uma decisão judicial, arbitral ou acordo. “Sem uma corretora especializada, aumenta muito a probabilidade de o cliente não receber uma cotação ou a seguradora agravar o valor da apólice por não ficar claro o nível de maturidade do risco analisado”, revela Eduardo Bezerra da Wiz Corporate.
Mas afinal, o que cobrem as apólices tradicionais de seguros cibernéticos? Segundo Marta Helena Schuh, diretora Cyber & Tech Insurance da corretora Howden Brasil, ainda é preciso entender melhor o que está acontecendo. “Meu entendimento atual é que, embora as notificações tenham sido feitas, a maioria dos clientes provavelmente lidará com isso por meio de soluções alternativas de implementação de TI interna e em última análise, pelo desenrolar/patch do CrowdStrike. Acredito e pelos relatos que estou ouvindo é que, para a maioria das entidades, apenas alguns sistemas são afetados, e não toda a rede. Portanto, eu esperaria que a resposta a incidentes fosse comparativamente limitada na maioria dos casos, embora haja exceções e, claro, muitos clientes possam notificar em qualquer caso”, afirmou ao Sonho Seguro.
A principal exposição provavelmente será interrupção de negócios, ou business interruption, para aqueles que adquirirem cobertura contra falhas do sistema, pois não está disponível em todas as apólices. “Quando a cobertura for mais restritiva, especialmente com base em erros operacionais e não em qualquer interrupção não planejada, precisaremos ver os detalhes do incidente para comentar adequadamente. Suspeito que, do ponto de vista do BI, o período de tempo do incidente principal possa ser limitado, mas os impactos provocados pela obstrução do sistema durarão mais tempo”.
No seguro viagem, o consenso é de que a seguradora deve pagar seus clientes. O advogado internacionalista do Godke Advogados e especialista em Direito Aeronáutico, Marcial Sá, explica que os passageiros que tiveram prejuízos devido aos atrasos podem buscar ressarcimento junto às companhias aéreas. Se não conseguirem uma solução administrativa, têm o direito de recorrer judicialmente. “As empresas aéreas e os aeroportos podem buscar reparações junto aos fornecedores dos sistemas que falharam, visando cobrir os danos sofridos”, destaca.
Segundo especialistas, até o mês passado a AIG era a líder do seguro viagem mundialmente. Mas anunciou a venda para a Zurich do negócio global de seguro de viagem pessoal e assistência, por US$ 600 milhões em junho passado. A compra amplia a presença da Zurich em seguro viagem, particularmente nos Estados Unidos. A sede da América Latina, antes instalada em Miami, agora passa a ser o Brasil, e está sob o guarda-chuva da Universal Asssitance, empresa do grupo suíço. O processo de transição vai até o final do ano.
