Duas ações da Comissão de Valores Mobiliários (SEC) na última semana sobre a supervisão da segurança cibernética — um grande acordo de aplicação e uma declaração da agência reforçando como as empresas públicas podem cumprir as novas regras — enfatizam a importância do seguro de segurança cibernética, disseram corretores e advogados.
Na quarta-feira (22), a SEC impôs uma multa de US$ 10 milhões à The Intercontinental Exchange, empresa controladora da Bolsa de Valores de Nova York, por não ter comunicado em tempo hábil uma violação cibernética ocorrida em abril de 2021, violando uma regulamentação de longa data que exige a divulgação à SEC.
No dia anterior, o diretor da Divisão de Finanças Corporativas da SEC, Erik Gerding, divulgou uma declaração na qual explicou como as empresas públicas podem determinar se um ataque cibernético tem um impacto material sobre uma empresa e deve ser relatado à SEC de acordo com as novas regras que a agência aprovou no verão passado.
O golpe duplo demonstra o foco da SEC na segurança cibernética. Também destaca o papel central que o seguro cibernético pode desempenhar para ajudar as empresas a evitar violações regulatórias, disse Tedrick Housh, sócio e líder de privacidade de dados e conformidade de segurança cibernética no escritório de advocacia Lathrop GPM.
“É mais importante do que nunca”, disse Housh. “O grau de proteção contra o risco será refletido em seus programas de seguro e em sua abordagem ao risco cibernético. Se você passou pelo processo de análise [da cobertura de seguro cibernético], é mais provável que tenha atendido às expectativas da SEC e de outras agências federais que, de outra forma, poderiam mover ações de fiscalização.”
Aumento do escrutínio regulatório
O acordo de US$ 10 milhões da SEC no caso de segurança cibernética desta semana é o exemplo mais recente do aumento do escrutínio regulatório. É uma tendência que Jillian Raines, sócia da Cohen Ziffer Frenchman & McKenna, observou em uma entrevista ao IB no início desta primavera.
“Houve um aumento nas ações de aplicação regulatória contra as empresas e seus principais consultores de segurança”, disse Raines. “Assegurar que essas pessoas e as empresas que as empregam estejam adequadamente protegidas é [uma área em que] definitivamente temos visto uma necessidade maior.”
Em sua declaração, Gerding, da SEC, enfatizou que as empresas devem olhar além do impacto de um ataque cibernético em suas próprias finanças e operações para determinar se ele é material. Elas também devem avaliar se o incidente prejudicará sua reputação, o relacionamento com clientes e fornecedores e se poderá desencadear litígios ou investigações regulatórias.
“Você não deve olhar apenas para dentro”, disse Keith Savino, sócio-gerente e líder nacional de práticas cibernéticas da PCF Insurance Services. “O que acontece com você afeta os outros.”
As pequenas empresas precisam de cobertura cibernética
A segurança cibernética é uma necessidade universal que vai além das empresas públicas registradas na SEC. “O ponto principal aqui é que toda entidade tem uma obrigação moral e ética de cuidar dos dados de seus clientes”, disse Savino.
As pequenas empresas sofreram um aumento de 22% nos ataques cibernéticos desde 2022, informou a Associação Nacional de Comissários de Seguros em um relatório divulgado em novembro passado.
Qualquer empresa que tenha clientes, uma conta bancária ou mantenha informações sobre qualquer cliente ou consumidor deve ter cobertura de segurança cibernética, disse Savino.
“Um agente ou corretor de seguros deve recomendar um seguro de responsabilidade cibernética para 100% de suas contas comerciais para protegê-las [contra] uma perda cibernética direta ou indireta”, disse Savino.
Um incidente cibernético em um local pode ter efeitos em cascata em uma economia local, disse Savino. Por exemplo, um ataque que danifique o abastecimento de água pode prejudicar as operações de muitas empresas.
“O seguro de responsabilidade civil cibernética não é vertical, é horizontal”, disse Savino.
Investigando os detalhes da apólice
Quando as empresas compram um seguro cibernético, elas devem se aprofundar em todos os detalhes.
“A diligência inicial deve ser feita de forma a ajudar a empresa a maximizar sua cobertura e estar na melhor posição para se proteger contra riscos extremos”, disse Raines.
Algumas coberturas não se estendem, por exemplo, a situações em que um funcionário inadvertidamente permite a entrada de um hacker ao clicar em um link falso, essencialmente abrindo a porta.
“Já vi muitas dessas apólices que… restringem sua cobertura a incidentes em que há acesso não autorizado a um sistema de computador”, disse Raines. “Aconselho meus clientes a… fazer uma análise profunda da cobertura que está sendo emitida no início.
Outra maneira de monitorar o que está sendo coberto — e o que não está sendo coberto — é ficar de olho nos litígios sobre segurança cibernética.
“Estamos vendo reivindicações realmente novas sendo usadas por defensores da privacidade do consumidor e organizações de vigilância e segurança cibernética para tentar testar os novos limites de responsabilidade e responsabilidade corporativa em relação à IA e à segurança cibernética em geral”, disse Raines.
Há muita área cinzenta em torno da segurança cibernética, incluindo a determinação do que constitui uma violação e se ela é ruim o suficiente para justificar o contato com a SEC e a comunicação aos clientes. Mas muitos especialistas dizem que a necessidade de seguro de segurança cibernética está se tornando mais clara.
