SEGUROS CIBERNETICOS

Por que?
Numa escala crescente e em um mundo cada vez mais conectado, o risco cibernético tem o poder de restringir o impulso benéfico da tecnologia e de afetar adversamente a economia internacional. Essa evolução significa que a confiabilidade da conectividade digital como forca motriz para o crescimento econômico e o desenvolvimento social está, agora, em
perigo. Em 2020, foram registrados, no Brasil, bilhões de tentativas de ataques cibernéticos. Nesse contexto, o trabalho remoto e uma das principais portas de entrada para a exploração de vulnerabilidades de redes corporativas, e as campanhas de phishing (mensagens que convidam o usuário a clicar em links maliciosos) continuam sendo o principal vetor de ataque no país.

Por isso é importante saber que um sistema seguro é aquele que realiza tudo o que foi projetado para fazer e não realiza nada além daquilo que tenha sido determinado para fazer, mesmo que alguém tente forçá-lo a se comportar de maneira diferente. Segurança da informação é, portanto, o gerenciamento de riscos de um conjunto de informações. Ela visa
garantir a confidencialidade, integridade, disponibilidade, autenticidade e legalidade dos dados, por meio da detecção, prevenção e resposta as ameaças digitais.

Como um gerenciador de riscos, o corretor verá que cada caso expõe determinado ativo (empresa, bens, valores) a diferentes riscos e, portanto, requer diferentes medidas de proteção e mitigação. A base para a avaliação de riscos de uma empresa deve começar com perguntas básicas, que vão compor o projeto de segurança e gerenciamento.

■ Quais são os riscos potenciais?
■ Como meu cliente se protege contra esses riscos?
■ Quais seriam os custos de prevenção desses riscos?
■ Quais seriam os custos de recuperação em caso de ataques?
■ O que é necessário proteger? De quem? Como?

Desta feita, antes de assumir que nada possa acontecer com nossos segurados é importante lembrar que quando se protege informações há uma luta contra vários ataques recorrentemente, mas quem tenta invadir sistemas, precisa apenas de uma falha na defesa.

Ataques cibernéticos podem ser desastrosos, determinantes para o fechamento das portas de muitos negócios A citar, no Brasil e no mundo há exemplos dramáticos de ataques desse tipo. Um deles foi o mega vazamento de dados pessoais de 223 milhões de brasileiros, em 2021, que revelou CPF, número de celular, gênero, e-mail e datas de nascimento de muitos de nós.
Também em 2021, a empresa petrolífera Colateral Pipeline precisou desembolsar 5 milhões de dólares (cerca de 30 milhões de reais – àquela época) para obter o controle de volta de seu principal oleoduto, que também e o maior oleoduto dos Estados Unidos. A interrupção levou a
alta de preços do combustível e muito prejuízo financeiro. Em 2010 e novamente em 2020, ataques cibernéticos destruíram grande parte das centrifugas de uma usina nuclear em Natanz, no Ira, em um tipo de ataque que poderia ter sido catastrófico.

Proteção legal

Ataques cibernéticos infringem normas do Código Penal, Código Civil e BACEN. Isso significa que uma vítima num único ataque pode ser lesada em várias esferas trazendo assim a ruína do seu negócio.

LEI 12.737 – 30 de novembro de 2012 (LEI CAROLINA DIECKMANN)

Essa lei incluiu alguns artigos no Código Penal, que data de 1940, e modificou a redação de outros de forma a tornar crime a invasão de aparelhos eletrônicos para obtenção de dados particulares. Os delitos previstos são:

Art. 154-A – Invasão de dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita. Pena: detenção de três meses a um ano, além de multa.

Art. 266 – Interrupção ou perturbação de serviço telegráfico, telefônico, informático, telemático ou de informação de utilidade pública. Pena: detenção de um a três anos e multa.

Art. 298 – Falsificação de documento particular/cartão. Pena: reclusão de um a cinco anos e multa.

LEI 12.965 – 23 de abril de 2014

Também conhecida como MARCO CIVIL DA INTERNET, a lei regula o uso da Internet no Brasil por meio da previsão de princípios, garantias, direitos e deveres para quem usa a rede, bem como da determinação de diretrizes para a atuação do Estado. Os principais pontos são:

■ Obrigatoriedade de retirada de conteúdos ofensivos de sites,
blogs ou redes sociais;
■ Proibição de violação da intimidade ou vida privada de outros usuários,
e divulgação ou compartilhamento de mensagens, vídeos ou imagens ofensivas;
■ Reforço ao veto de negócios virtuais ilícitos, como comercialização
de armas de fogo, drogas, medicamentos etc., e venda de produtos
sem nota fiscal ou manual de instruções;
■ Reforço ao respeito aos direitos autorais – a reprodução de conteúdo
(musical, literário, audiovisual etc.) sem autorização pode ser punida;
■ Neutralidade da rede, baseada no princípio de que todas as informações
que trafegam na Internet devem ser tratadas da mesma forma.

RESOLUÇÃO BACEN Nº 4658 – 26 de abril de 2018

A resolução obriga as instituições financeiras a definir, implementar e divulgar uma política de segurança cibernética, assegurando a confidencialidade, integridade e disponibilidade dos dados e dos sistemas de informação utilizados, assim como a designação de um diretor
responsável pela política de segurança cibernética e pela execução do plano de resposta a incidentes.

LEI Nº 13.709 – 14 agosto de 2018 – Lei Geral de Proteção de Dados (LGPD)
A lei de proteção de dados pessoais brasileira teve inspiração direta na lei europeia GDPR – General Data Protection Regulation, traduzida por um conjunto de normas para regulamentar a coleta e o uso de dados pessoais de indivíduos que se encontram na União Europeia. Ambas as leis se aplicam a qualquer operação de tratamento realizada por pessoa natural ou jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:

• O tratamento seja realizado no território nacional;
• Haja oferta ou fornecimento de produtos e serviços no território nacional;
• Haja o tratamento de dados de indivíduos localizados no território nacional; ou
• Dados sejam coletados no território nacional.

Objetivos da LGPD:
■ Privacidade: assegurar o direito à privacidade e a proteção de dados pessoais dos cidadãos, por meio de práticas transparentes e seguras, garantindo direitos e liberdades fundamentais.
■ Transparência: estabelecer regras claras sobre tratamento de dados pessoais por empresas.
■ Desenvolvimento: fomentar o desenvolvimento econômico e tecnológico.
■ Padronização: estabelecer regras únicas e harmônicas sobre o tratamento de dados pessoais, independentemente do setor da economia, facilitando as relações comerciais e reduzindo custos decorrentes de incompatibilidades sistêmicas de tratamentos feitos por agentes diversos.
■ Proteção de Mercado: fortalecer a segurança das relações jurídicas e a confiança do titular no tratamento de dados pessoais, garantindo a livre iniciativa, a livre concorrência e a defesa das relações comerciais e de consumo.
■ Concorrência: promover a concorrência no mercado, facilitando a portabilidade

Suas Características:

■ Protege dados pessoais, o que não inclui dados de pessoa jurídica, apenas de seus empregados.
■ A lei deve ser observada em conjunto com as regulações de cada setor.
■ Aplica-se a meio físico e digital.
■ Define atores como o controlador, operador, DPO e ANPD.
■ Também se aplica a dados coletados anteriormente a entrada em vigor da lei.
■ Tem aplicação extraterritorial, ou seja, empresas no exterior que coletam dados no Brasil devem seguir a lei.
■ Não se aplica quando os dados são usados exclusivamente para fins jornalísticos, artísticos, de segurança ou defesa nacional, investigações, repressão a infrações penais ou em casos de uso para fins particulares, ou seja, não econômicos.

Como e o que proteger?

As poucas apólices comercializadas eram emitidas no ramo de responsabilidade civil geral (RCG) em conjunto com diversas outras modalidades. Com o crescimento do número de seguros e por sua especificidade, a partir de 2019, por meio da circular Susep no 579/2018, de 13/11/2018, os Seguros Cibernéticos passaram a ser registrados e contabilizados no grupo 0327 – Compreensivo Risco Cibernéticos, do grupo de Seguros de Responsabilidades, o que facilita acompanhar o crescimento desse tipo especifico de seguro. Considera-se risco coberto, no Seguro de Riscos Cibernéticos, a responsabilidade do segurado decorrente de violação de informação de dados pessoal e/ou corporativos e ainda as mesmas informações quando pertencentes a empresas terceirizadas, desde que gerem consequências reis ou presumidas, que resultem em uma reclamação contra o segurado.

As coberturas que garantem as responsabilidades do segurado perante a terceiros, que tenham origem em ataques cibernéticos, são apresentadas por algumas seguradoras em suas condições contratuais com Cobertura Básica ou Coberturas Principais, enquanto outras, descrevem o texto dessas coberturas sem correlaciona-las a qualquer divisão de grupo.

A quem comercializar?

O objetivo do Seguro de Riscos Cibernéticos é garantir ao segurado o pagamento e/ou reembolso das quantias devidas para reparações de danos involuntários e de natureza acidental, causados a terceiros, assim como os custos despendidos em ações emergenciais empreendidas com o objetivo de evitar ou minorar os efeitos dos danos decorrentes de um ataque cibernético.

O seguro cibernético abrange empresas de qualquer porte, pois todas podem ser alvo de prejuízos por ataques de hackers. Ao analisar o risco de uma empresa, o corretor deve assessorar o segurado no sentido de avaliar a inclusão de outras apólices de seguros, de forma a tornar a proteção das coberturas a mais ampla possível, uma vez que esse tipo de apólice não se configura como um seguro padronizado. As empresas, em geral, precisam iniciar a contratação do seguro cibernético preenchendo um Questionário de Avaliação de Risco (QAR), que contém diversas perguntas de ordem administrativas e técnicas, cujo objetivo e traçar um perfil da empresa candidata ao seguro. Nesses questionários, são avaliados:
■ Sistemas protecionais;
■ Politica de segurança da informação;
■ Ramo de atividade;
■ Faturamento bruto;
■ Quantidade de dados pessoais;
■ Se há ações em bolsa;
■ Operação no exterior;
■ Histórico de sinistros.

As respostas a essas perguntas são usadas como parâmetro de risco, bem como para cotação do seguro, determinação do prêmio e limites segurados. Atualmente, entre as seguradoras que de maior competitividade no mercado e abrangência mundial, temos a ALLIANZ e a gigante PORTO SEGUROS que trazem para a nossa carteira mais essa comodidade!