A interrupção global de TI em 19 de julho de 2024 desencadeou uma mudança significativa no setor de seguro cibernético, levando as operadoras e os corretores a reavaliar e acelerar sua abordagem à inovação.
Tradicionalmente focado em mitigar os efeitos de ataques cibernéticos maliciosos, como os ocorridos nos incidentes Change Healthcare e MOVEit, o setor agora está voltando sua atenção para as falhas do sistema de TI como uma fonte crítica de risco sistêmico. Setores como a aviação, que são particularmente suscetíveis, foram especialmente afetados por esse evento não malicioso.
Inovação acelerada de produtos
Em resposta às características exclusivas da interrupção, o mercado de seguro cibernético deverá impulsionar a inovação em duas frentes principais. Em primeiro lugar, há um crescimento previsto no desenvolvimento de novos produtos de seguro projetados para lidar com os riscos de tempo de inatividade associados a falhas de TI.
Espera-se que os produtos de seguro paramétricos, que oferecem pagamentos rápidos com base em gatilhos predefinidos, ganhem destaque. Embora esses produtos já estivessem em desenvolvimento, é provável que a maior conscientização sobre os riscos acelere sua introdução no mercado.
Em segundo lugar, espera-se que o setor refine suas definições e categorizações de eventos sistêmicos. Isso inclui a atualização de como vários tipos de incidentes cibernéticos, incluindo falhas não maliciosas, são classificados por gravidade. Iniciativas como o recém-criado Centro de Monitoramento Cibernético do Reino Unido, lançado no início de 2024, darão suporte a esses esforços, ajudando as seguradoras a criar produtos para riscos recém-identificados.
Esses avanços ressaltam a importância de obter consultoria de corretagem de alta qualidade para garantir a cobertura mais eficaz e econômica em meio a um cenário de riscos em evolução.
Aumento da demanda em meio a uma maior conscientização
A interrupção também aumentou a conscientização global sobre os riscos cibernéticos, o que deverá impulsionar o aumento da demanda por seguro cibernético. De acordo com a Microsoft, a interrupção afetou 8,5 milhões de dispositivos Windows, demonstrando o amplo impacto de tais incidentes.
A análise recentemente divulgada pela Howden projeta que mais da metade (54%) do crescimento dos prêmios cibernéticos até 2030 virá de mercados fora dos EUA, com 25% do crescimento ocorrendo na Europa continental. Essa expansão reflete o crescente reconhecimento do seguro cibernético como essencial para aumentar a resiliência contra ameaças digitais.
Além disso, uma pesquisa do Fórum Econômico Mundial destaca uma lacuna de proteção significativa entre as pequenas e médias empresas (PMEs). As organizações com receita inferior a US$ 250 milhões têm, de acordo com seus dados, três vezes menos probabilidade de ter seguro cibernético em comparação com aquelas com receita superior a US$ 5,5 bilhões.
Essa lacuna é preocupante devido à experiência e aos recursos limitados de TI das PMEs, o que as torna mais vulneráveis a grandes eventos cibernéticos.
Insurtechs cibernéticas se concentram na recuperação dos clientes
A Coalition, uma importante tecnologia de seguro cibernético com sede nos EUA que não foi afetada pela interrupção, passou os dias desde o ataque lidando com as reclamações dos clientes por meio de suas equipes de resposta. A empresa disse que, na esteira da interrupção do CrowdStrike, muitos segurados estão buscando clareza sobre a cobertura, mas a resposta varia de acordo com vários fatores, incluindo a natureza do incidente, as entidades afetadas e os termos específicos da apólice.
Uma declaração divulgada pelo CEO da Coalition, Joshua Motta, detalhou os próprios desafios da empresa e do setor em geral, dizendo que a maioria das apólices de seguro cibernético, incluindo as da Coalition, cobrem determinados eventos de interrupção de negócios. Isso normalmente inclui indenização por perda de renda e despesas adicionais, como horas extras e recursos extras de TI necessários para a recuperação.
Motta observou que o alarde em torno do evento também sensacionalizou a percepção da perda, que, de acordo com todas as indicações, atualmente não é comparável às perdas incorridas em desastres naturais pelo setor de seguros.
Ele disse: “… Apesar da histeria da mídia e do impacto significativo desses eventos, incluindo a interrupção do CrowdStrike, que foi chamada de “a maior interrupção de TI da história da humanidade”, não esperamos que nenhum deles atinja os níveis de perda de eventos de catástrofes naturais que afetam rotineiramente o setor de seguros.
“Nossa própria modelagem, aproveitando nosso Modelo Ativo de Risco Cibernético, sugere uma perda de US$ 0,96 bilhão em todo o setor sofrida pelos segurados de seguro cibernético dos EUA no limite superior antes da consideração das limitações de cobertura. Obviamente, qualquer modelo desse evento também será altamente sensível à suposição menos confiável (provavelmente, a parcela de sistemas afetados), que, se reduzida, diminuiria nossa estimativa para US$ 0,27 bilhão (ou menos).”
Um pedido de cautela e novos processos
Rory Yates, Diretor Global de Estratégia da EIS, diz que o setor deve encarar o incidente como uma oportunidade de aprendizado. Ele recomenda que os líderes adotem cautela sensata, mitigação de riscos e novos processos para gerenciar melhor os riscos futuros. A interrupção da CrowdStrike serve como um momento crucial para que os fornecedores de tecnologia e seus clientes refinem suas abordagens e evitem perdas significativas no futuro.
Ele também acredita que, embora a interrupção do CrowdStrike tenha sido semelhante a um incidente cibernético grave em seu impacto geral, é importante enfatizar que não foi um incidente. As implicações, os riscos e o processo de recuperação são “portanto, muito diferentes”.
“A CrowdStrike rapidamente implementou uma correção, mas os efeitos indiretos já haviam começado, derrubando máquinas e sobrecarregando a infraestrutura de nuvem.
As interrupções foram sentidas em setores críticos, como saúde, varejo, serviços financeiros e hotelaria. Milhares de voos foram cancelados, custando milhões de libras em perda de receita. Também houve impactos bizarros. Foi relatado que 30% das lojas do McDonald’s no Japão foram fechadas.”
Lições que precisam ser aprendidas
Yates observa que, como as seguradoras consideraram cuidadosamente as implicações desse evento e continuam a apoiar seus clientes com uma cobertura praticamente inalterada, “isso implica uma resiliência maior no mercado de seguros cibernéticos do que alguns imaginavam”.
Ele ressaltou que o evento também destacou a fragilidade da infraestrutura geral da Internet, a profunda interconexão dos serviços e a gama de ameaças inesperadas que é maior do que muitos esperavam.
“Para os seguros, essa é uma percepção crucial. A interrupção do CrowdStrike destacou riscos catastróficos significativos na interconexão da cadeia de suprimentos digital. Isso não apenas afetou os clientes da CrowdStrike, mas também se propagou por redes de terceiros, afetando a resiliência de setores aparentemente não relacionados.
“À medida que as pessoas reconstruíam os sistemas, ou quando certos sistemas estavam offline, é muito provável que os agentes mal-intencionados tentassem atacar possíveis vulnerabilidades. Agora sabemos que os agentes mal-intencionados estavam em força após a interrupção, executando ataques de phishing e ligando para as empresas afetadas.”
Sistemas legados aumentam a probabilidade de danos
As seguradoras que dependem de sistemas centrais desatualizados ou semimodernos também estão basicamente arriscando a continuidade de seus negócios, disse Yates, observando que isso é válido independentemente de esses sistemas terem sido movidos para a nuvem ou ainda dependerem de uma infraestrutura de servidor centralizada.
O principal problema é que os sistemas meramente rotulados como “baseados em nuvem” são normalmente migrados para um único provedor de nuvem pública, como AWS, Microsoft Azure ou Google Cloud. Se esse provedor de nuvem passar por um período de inatividade, todo o sistema será afetado e todas as operações críticas que ele suporta serão paralisadas.”
Ele explica: “O fornecedor do sistema pode fornecer ao cliente afetado o código base para reimplantar o sistema, mas a recuperação total a partir do zero leva de seis a nove meses. Enquanto isso, as perdas comerciais sofridas por uma seguradora podem ser fatais. Isso não é melhor do que o que você teria de enfrentar após a interrupção se tivesse uma infraestrutura central totalmente local.
“A CrowdStrike anunciou medidas para mitigar o risco de futuras interrupções, mas a interrupção deve servir como um momento importante para todos os provedores de tecnologia e seus clientes.”
Mudanças no mercado de seguro cibernético
Motta conclui que, em todo o mercado de seguros cibernéticos, especialmente entre aqueles com recursos mais limitados, prevê-se que as preocupações serão cada vez mais gerenciadas alterando, restringindo ou excluindo a cobertura.
Algumas seguradoras já implementaram sublimites para perdas catastróficas ou generalizadas, o que pode restringir ou excluir a cobertura de incidentes cibernéticos que afetem várias organizações. Outras estão introduzindo sublimites para interrupções de negócios dependentes ou contingentes, aplicando termos de exclusão a entidades que não eram alvos diretos, mas que ainda sofrem devido a ataques cibernéticos na cadeia de suprimentos, ou até mesmo removendo a cobertura por completo, possivelmente de forma temporária.
Ele escreve: “Sem dúvida, esse continuará a ser um tópico de grande interesse para (re)seguradoras, reguladores e a comunidade de segurança cibernética em geral, pois apenas quinze empresas em todo o mundo representam 62% do mercado de produtos e serviços de segurança cibernética. As consequências desse evento ilustram a tensão muito real da política pública que existe entre os benefícios das economias de escala e os riscos associados à concentração. Também esperamos que as empresas afetadas e suas seguradoras busquem indenização da CrowdStrike, cuja responsabilidade ainda não foi determinada.”
Yates acrescenta: “Devemos ver isso como uma grande oportunidade de aprendizado. Cada perda de mercado relacionada a esses eventos, especialmente as que ganham manchetes e são bem divulgadas, aumenta nossa compreensão das nuances da quantificação da exposição cibernética e das ameaças sistêmicas, ao mesmo tempo em que testa a eficácia da cobertura e a relevância dos produtos.
“O que precisamos fazer agora é ver uma cautela sensata, a mitigação de riscos e a implementação de novos processos. Caso contrário, estaremos falando de quantuns de perdas do dia do juízo final e jogando muitos dos benefícios no lixo.”
