A crescente prevalência da guerra cibernética e dos ataques de estados-nação representa riscos significativos em 2024 e as apólices devem evoluir para lidar com essas questões, de acordo com um novo relatório do setor da Flow.
O Cyber Insurance Mid-Year State of the Market Report revela que o aumento da concorrência suavizou o mercado, reduzindo as taxas e expandindo as ofertas de apólices em comparação com os tempos mais difíceis de 2020-2022, mas que a guerra cibernética é uma ameaça crescente.
O relatório observa que algumas apólices podem excluir a cobertura para atos de guerra cibernética ou terrorismo. É importante revisar essas exclusões e considerar apólices que ofereçam extensões de cobertura ou exceções. Os recentes ataques notáveis contra serviços públicos incluem:
- Ataques de hacktivistas a serviços públicos de água (novembro de 2023): O grupo hacktivista CyberAv3ngers comprometeu controladores lógicos programáveis (PLCs) em empresas de abastecimento de água na América do Norte, Europa e Austrália. Eles interromperam os serviços de água por dois dias em pelo menos uma comunidade, explorando senhas padrão e dispositivos OT expostos à Internet.
- Hackers do Estado chinês se infiltram nos sistemas de água dos EUA: Hackers apoiados pelo estado chinês se infiltraram em instalações de água dos EUA, levantando preocupações de que Pequim poderia interromper a infraestrutura crítica durante conflitos.
- Tentativa de hacktivista russo em empresas de serviços públicos do Texas (início de 2024): Um grupo hacktivista ligado à Rússia tentou interromper as operações em várias empresas de abastecimento de água no Texas no início deste ano.
Em entrevista ao Insurtech Insights, David Derigiotis, diretor de seguros da Flow, disse: “Essa cobertura crítica é importante, mas não tem o mesmo peso em todos os setores. Os clientes do governo e de outras infraestruturas críticas, juntamente com as organizações da Fortune 500, correm um risco maior de sofrer esses ataques em comparação com as empresas comuns. Isso não quer dizer que uma PME tradicional não possa se tornar parte dos danos colaterais de um ataque mais amplo de um estado-nação; no entanto, o custo da apólice deve ser equilibrado com o valor geral que o seguro está oferecendo.”
Aumento do mercado de seguro cibernético
O relatório também destaca vários outros desafios, incluindo o fato de que o mercado global de seguro cibernético aumentou de US$ 16,66 bilhões em 2023 para US$ 20,88 bilhões em 2024. A projeção é que atinja US$ 120,47 bilhões até 2032, mostrando uma taxa de crescimento anual robusta de 24,5%. Essa rápida expansão ressalta a necessidade crescente de cobertura cibernética no mundo digital de hoje.
As seguradoras agora estão aproveitando ferramentas tecnológicas avançadas para avaliar riscos e oferecer serviços de segurança cibernética juntamente com o seguro. Essa nova combinação oferece uma abordagem holística para o gerenciamento de riscos cibernéticos. Os agentes de varejo têm uma excelente oportunidade de fazer vendas cruzadas e apresentar o seguro cibernético aos compradores de primeira viagem, com enorme potencial de crescimento.
Derigiotis disse que a necessidade de equilíbrio é fundamental: “O setor de seguros precisará equilibrar o crescimento e a demanda contínuos nesse segmento com a natureza evolutiva dos riscos cibernéticos se quiser permanecer competitivo e lucrativo ao mesmo tempo. Continuar a melhorar a disponibilidade de serviços de gerenciamento de riscos para os segurados, abordando os riscos da cadeia de suprimentos e ransomware (CDK, Snowflake, etc., como exemplos recentes) e ter um portfólio de clientes bem equilibrado (risco mais alto/risco mais baixo) garantirá a longevidade.”
Ele observou que o novo cenário de risco exige que as empresas adotem uma abordagem de proteção em várias camadas. “Para reduzir efetivamente o risco cibernético, as empresas devem priorizar uma abordagem em várias camadas, o que é fundamental para uma segurança eficaz. Comece implementando procedimentos significativos de gerenciamento de riscos, incluindo varredura regular de vulnerabilidades, avaliações de segurança e compreensão da pegada digital da organização. Realize um treinamento cuidadoso dos funcionários sobre as práticas recomendadas de segurança cibernética – esses serviços geralmente podem ser incluídos como parte de uma oferta de seguro cibernético.”
Derigiotis disse que as empresas precisam:
- Desenvolver e testar regularmente planos de resposta a incidentes
- Aproveitar a IA e o aprendizado de máquina para recursos avançados de detecção e resposta a ameaças.
- Desenvolver uma cadência de aplicação de patches em tempo hábil para vulnerabilidades conhecidas. Muitos dos incidentes de segurança mais prejudiciais decorrem de falhas básicas de segurança.
- Implemente a autenticação multifator em todos os sistemas e usuários privilegiados.
- Proteja a cadeia de suprimentos de software e prepare-se especificamente para ataques de ransomware.
- Certifique-se de que os contratos com os fornecedores tenham um requisito de notificação para acesso não autorizado ou outros incidentes de segurança.
- Mantenha-se informado sobre as ameaças emergentes por meio do monitoramento regular da inteligência contra ameaças.
Ele concluiu: “Por fim, considere uma cobertura de seguro cibernético adequada para transferir alguns riscos financeiros. Concentrando-se nessas áreas principais, as empresas podem melhorar significativamente sua postura de segurança cibernética e a resiliência contra ameaças em evolução.”
