Valor econômico, v.19, n.4656, 26/12/2018. Finanças, p. C1
Procura por 'seguro ciber' mais que dobra após Lei de Dados
Sérgio Tauhata
26/12/2018
A nova Lei Geral de Proteção de Dados (LGPD) impulsionou muito mais do que a busca pela segurança de informações de clientes e funcionários das companhias. A partir da promulgação da nova legislação, em agosto deste ano, a demanda pelo seguro contra riscos cibernéticos mais que dobrou, segundo empresas do ramo e especialistas.
A consultoria especializada em riscos, seguros e previdência Willis Tower Watson, por exemplo, indica um aumento de 116% na demanda por esse tipo de apólice. A Aon, outra especialista em análise de riscos e seguros, também verificou um salto de 115% na busca pela solução. Já a seguradora JLT reporta grande procura pela proteção. Segundo Marta Schuh, especialista em risco cibernético da companhia, "a demanda mais do que dobrou".
Empresas de todos os tamanhos vão ser impactadas pela nova lei. Conforme Ana Albuquerque, gerente de linhas financeiras da Willis Towers Watson, o movimento comprova essa percepção: "temos visto procura por organizações de todos os perfis, desde companhias de capital aberto até startups".
A promulgação da lei de dados, que entra em vigor apenas no início de 2020, intensificou os holofotes sobre um problema que cresce a uma taxa de dois dígitos ao ano - em 2017, houve um aumento de 44% nos ataques cibernéticos às empresas e pessoas no mundo, informa o relatório Cyber Security Insights da Norton, divisão da Symantec.
O estudo mostra que, em 2017, o Brasil foi a segunda nação com o maior número de crimes cibernéticos no mundo, superado apenas pela China. De acordo com o levantamento, mais de 62 milhões de brasileiros foram impactados de alguma forma. O prejuízo no país, aponta a Norton, alcançou US$ 22 bilhões.
O "phishing", golpe no qual os criminosos usam e-mails ou sites falsos para roubar informações pessoais, senhas, dados de cartões e bancários, é o tipo de ataque mais comum no Brasil. O celular aparece como o dispositivo mais afetado pelos ataques.
Já em âmbito mundial, os crimes cibernéticos causaram US$ 550 bilhões em perdas no ano passado, segundo a Aon. Em outra estimativa, a Willis Tower Watson indica que os danos podem se multiplicar por 10 nos próximos quatro anos. De acordo com a consultoria, o prejuízo por atingir US$ 6 trilhões anuais globalmente a partir de 2021.
"Já existe uma espécie de indústria de ataques cibernéticos, alguns até com suporte de governos", afirma Elizabeth Gurney, responsável pelo desenvolvimento de produtos ciber para a América Latina da Willis Towers Watson. Conforme a executiva, atualmente, existe uma mudança nos riscos relacionados ao mundo digital e um dos que mais cresce é o do terrorismo cibernético. "Há suspeitas de que muitos ataques a empresas, por exemplo, de energia ou de petróleo, são crimes do gênero."
Para Elizabeth, quanto mais se acelera a incorporação de tecnologia no dia a dia mais avançam também as vulnerabilidades. O quadro descrito pela profissional parece saído de um filme de espionagem estilo "Missão Impossível", mas é uma realidade: "uma conexão wi-fi, uma câmera digital, qualquer coisa 'inteligente' se torna um risco", acrescenta.
O chamado "seguro ciber" foi criado para proteger a empresa ou, ao menos, diminuir os impactos relacionados a ataques hacker, vazamentos de dados e ameaças digitais. Conforme as seguradoras, o produto busca transferir riscos relacionados a uma ampla gama de problemas, desde perdas de dados, violação e privacidade, roubo ou perda de informação confidencial, a perdas por lucro cessante, no caso de interrupção operacional da empresa como resultado de um ataque cibernético, ciberextorsão, e multas regulatórias por quebra de proteção de dados. Muitas apólices cobrem até mesmo danos à imagem da companhia, por exemplo, ou indenizações por danos morais movidos por vítimas de um vazamento.
A especialista da JLT explica que as seguradoras, antes de um cliente efetivamente contratar o seguro ciber, fazem uma análise de vulnerabilidades da empresa. "É preciso realizar um diagnóstico para quantificar os riscos e ajudar a companhia a identificar e lidar com eventuais problemas de segurança digital, compliance e outros fatores", diz Marta.
De acordo com a executiva, as taxas para a contratação do seguro ciber têm variado de 0,5% do capital segurado até 1,5%, com média de 1% nas diversas indústrias. O prêmio pago pelas empresas varia conforme o perfil de risco, o tamanho de exposição ao armazenamento de dados ou ainda se a preocupação é segurar a perda financeira, ou seja, o lucro cessante, entre vários outros fatores. "Uma fábrica de abatimento de frango, por exemplo, que nos contratou, tem toda a operação controlada por sistemas e se isso for atacado resulta em perda operacional e financeira para o grupo", conta.
A LGPD vai afetar todos os setores e empresas dos mais variados perfis, das gigantes às pequenas organizações, explica o CEO da Finnet, fornecedora de soluções de infraestrutura de tecnologia da informação, e representante brasileiro no grupo internacional dedicado à padronização mundial do blockchain da Organização Internacional para Padronização (ISO, na sigla em inglês), Yoshimiti Matsusaki. "A nova lei vai elevar o nível de tratamento de informações das empresas iniciantes e também, na outra ponta, limitar a exploração dos dados pelas grande companhias", resume o especialista.
A adaptação à nova realidade jurídica vai levar à implementação de novas funções para as organizações. "A lei passa a definir e identificar os papéis e responsabilidades, como o operador que manipula os dados, o controlador da informação, que vai fiscalizar, e o encarregado, que seria o responsável pelos dados dentro da companhia", afirma Matsukaki. "A nomeação de um responsável, seja uma área ou uma pessoa, pela proteção das informações traz uma grande melhora de governança", acrescenta.
Sob a ótica da LGPD, as empresas em geral terão de mapear como os dados são tratados e armazenados, porque qualquer manipulação de dados pessoais terá de ter o consentimento do consumidor ou do funcionário. E as formas e consequências de como as informações serão usadas terão de ser comunicadas de maneira patente aos envolvidos. "Nos termos de uso, a utilização do dado terá de estar destacada e a pessoa precisa dar um aceite específico", explica Luiz Di Sessa, especialista em tecnologia e propriedade intelectual do escritório Cescon Barrieu.
"Todo mundo vai ter de revisar contratos, fazer relatórios de impacto, de privacidade e reforçar a segurança", pondera o advogado. Na avaliação de Di Sessa, novas preocupações vão ser adicionadas, por exemplo, nas operações de fusões e aquisições. "Tenho a convicção de que o ambiente definido pela nova legislação poderá ser considerado até mesmo um novo ramo do direito", afirma. "As organizações, por exemplo, terão de redobrar o cuidado com os fornecedores, porque o risco é solidário."
A LGPD vai "compartilhar princípios essenciais como consentimento, transparência, auditoria, fiscalização e penalidades, em casos de incidentes de segurança, como vazamento de informações", explica Renato Opice Blum, coordenador dos cursos de direito digital e proteção de dados do Insper. Para o especialista em direito digital, "ter um profissional especializado na nova lei brasileira é uma situação irreversível e o melhor custo-benefício para as organizações".
O prazo para as organizações se adequarem às exigências vai até fevereiro de 2020, quando entra em vigor a LGPD. Quem violar a nova lei estará sujeito a multas que podem chegar a 2% do faturamento da empresa, dentro do limite de R$ 50 milhões por infração.
_____________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Ataque hacker é principal ameaça para bancos
Flávia Furlan
26/12/2018
Executivos de gestão de risco de bancos acreditam que a principal ameaça para as instituições da América Latina no curto e médio prazos são os ataques cibernéticos, revelou uma pesquisa da consultoria inglesa EY. Em sua nona edição, o estudo englobou executivos de 13 instituições nos seguintes países: Argentina, Brasil, Colômbia, Costa Rica, México e Peru.
No total, 62% dos diretores de gestão de risco citaram que o principal risco para os próximos 12 meses são os ataques cibernéticos, com avanço de 4 pontos em relação à pesquisa de 2017. Esses executivos também acreditam que os membros dos conselhos de administração estão mais sensíveis aos riscos dos ataques cibernéticos.
De acordo com Frederico Ventriglia, sócio de gestão de riscos do setor financeiro da EY, as novas tecnologias, como o open banking - ferramenta que possibilita a terceiros acessar e até mesmo movimentar recursos de contas bancárias, desde que com autorização do cliente - e os bancos digitais, trazem ainda mais preocupação para as instituições financeiras com os ataques cibernéticos e o possível roubo de dados.
"Como as transformações estão acontecendo muito rapidamente aos bancos, com as novas tecnologias e regulamentações sobre elas, a área de gestão de risco tem de acompanhar de maneira consultiva os demais executivos e o conselho de administração", disse Ventriglia.
Para o executivo, os ataques cibernéticos podem trazer impacto em cadeia para os bancos, principalmente os que têm capital aberto, com prejuízo à reputação, bem como perda de valor de mercado. A Federação Latino-Americana de Bancos (Felaban) reportou que 92% dos bancos da região já sofreram ataques cibernéticos.
No Brasil, em abril, o Banco Central publicou a resolução 4.658, que dispõe da política de segurança cibernética para a contratação de serviços de processamento e armazenamento de dados, inclusive na tecnologia em nuvem. Um ponto de preocupação dos bancos tem sido a responsabilidade sobre o tratamento de dados dos prestadores de serviços. Segundo Ventriglia, os bancos estão mapeando esses terceiros, para ter certeza de que nenhum ataque acontecerá em suas bases, e tendo altos custos para proteger os sistemas.
"Todos os dias os bancos têm ataques cibernéticos. Então, em termos financeiros, os dispêndios são grandes com eles", disse Octávio de Lazari Júnior, presidente do Bradesco, em entrevista à imprensa. O executivo afirmou que os custos para manter a segurança num ambiente de ataques cibernéticos são maiores do que com ataques físicos, como aos caixas eletrônicos e às agências.
Os ataques cibernéticos também aparecem na lista dos executivos de gestão de risco de instituições financeiras globais, com 81% das respostas. Em todo o mundo, a pesquisa envolveu 74 bancos, de 29 países.
O estudo da EY mostrou ainda que a gestão de risco deve ajudar os bancos a atingirem um retorno sobre o patrimônio entre 11% e 15% nos próximos três anos - um alvo que a indústria mundial tem convergido nos últimos anos, embora nem todos os bancos possam ainda alcançar esse patamar.