TOP

LOGIN
Navegando no desconhecido – como evitar a exposição cibernética em contratos não cibernéticos
Cyber Risk
February 14, 2024 Viviane Mardirossian
Português English Español

“Existem apenas dois tipos de empresas no mundo: aquelas que tiveram seus dados violados e sabem disso e aquelas que tiveram seus dados violados e não sabem” – Ted Schlein1

Atualmente, vivemos na chamada “Era dos Computadores”: tudo está conectado e a realidade virtual faz parte de nossas vidas. No mundo corporativo, ganha cada dia mais importância a questão dos dados e de quanto acesso se tem a eles. No entanto, paralela a esta realidade tecnológica surge um ambiente perigoso com uma grande quantidade de dados disponível, os quais, em mãos erradas, podem levar a perdas de bilhões de dólares e a reputações permanentemente prejudicadas.

O site “Information is Beautiful” nos dá uma ideia de quantos grandes vazamentos de dados aconteceram entre 2004 e setembro de 2022.2 A questão que permanece é: como este risco pode ser avaliado de forma correta e excluído das apólices tradicionais de P&C?

Risco cibernético

O termo “risco cibernético” refere‑se ao risco de perda resultante de incidentes digitais causados por terceiros, pelos próprios empregados da companhia ou por colaboradores externos, e pode incluir roubo, comprometimento da integridade e/ou danos a ativos de informação e/ou tecnologia, fraudes internas e externas, e interrupção dos negócios.3 Os incidentes podem impactar a confidencialidade, a integridade e a disponibilidade dos dados, e até mesmo o bom funcionamento da estrutura de tecnologia da informação, acarretando em altos custos às organizações.

Os incidentes cibernéticos lideraram a lista de riscos empresariais em 2024 pelo terceiro ano consecutivo, de acordo com o mais recente Allianz Risk Barometer.4 O relatório mostra que a preocupação com este tipo de risco cresceu consideravelmente ao longo dos anos e deverá manter as empresas empenhadas em investir continuamente para reforçar seus controles cibernéticos pelos próximos anos.

Cobertura cibernética

Embora o seguro para determinados erros e omissões tecnológicos e computacionais seja ofertado desde o final da década de 1980, o produto de seguro cibernético autônomo, ou stand alone, é uma adição relativamente nova às carteiras5 de corretores e seguradoras que vem ganhando força em algumas jurisdições, mas ainda envolve limites baixos para a maioria dos envolvidos. Uma análise do mercado mostra que a cobertura do seguro cibernético pode existir de três formas:

  1. uma apólice independente que cobre riscos cibernéticos (stand alone policy);
  2. um endosso a uma apólice existente que oferece cobertura cibernética; ou
  3. cobertura proporcionada por uma apólice tradicional de forma não explícita, devido à falta de qualquer exclusão deste tipo de risco

As duas primeiras situações são proteções cibernéticas normais oferecidas pelo mercado. Esta última reflete o que chamamos de “exposição cibernética silenciosa” ou “exposição cibernética não afirmativa”, ou em inglês silent cyber, que é o foco do presente artigo.

Em P&C normalmente diferenciamos a cobertura entre “danos próprios”, o chamado first party, que se refere a apólices geralmente associadas a riscos patrimoniais, e “danos a terceiros”, chamado também de third party, que se refere a apólices geralmente associadas a riscos de responsabilidade civil. No que diz respeito à cobertura cibernética específica ou afirmativa (vide exemplos 1 e 2 acima mencionados), a particularidade é que a cobertura oferecida pelo produto inclui ambas, nomeadamente coberturas próprias e de terceiros. A cobertura patrimonial tende a indenizar o segurado pelos danos próprios sofridos em razão da violação, como destruição de dados, extorsão, roubo, reparos de sistemas, etc. Já a cobertura de terceiros refere se aos danos sofridos por terceiros em razão de uma violação.

Então, o que é silent cyber?

A exposição cibernética silenciosa, também conhecida como exposição “cibernética não afirmativa”, ocorre quando a cobertura de um evento cibernético não é explicitamente excluída por uma apólice de seguro e/ou a exclusão não é suficientemente clara. A situação deixa lacunas na eficácia das exclusões, o que representa um problema real para as seguradoras. Ultimamente, diversas empresas têm visto casos bastante interessantes envolvendo esse tema. As linhas não cibernéticas geralmente excluem o evento cibernético como um gatilho de risco e as apólices cibernéticas normalmente excluem lesões corporais e perdas por danos materiais.

Para ilustrar com um exemplo de sinistro decorrente de exposição cibernética silenciosa, podemos voltar a junho de 2017, quando o mercado foi afetado pelo malware6 NotPetya, referido como um dos “ataques cibernéticos mais devastadores desde a invenção da Internet” e que custou mais de US$ 10 bilhões em danos totais7. As seguintes empresas, entre outras, foram afetadas pelo ataque:

  • Merck (danos estimados em US$ 870 milhões)
  • FedEx (danos estimados em US$ 400 milhões)
  • Maersk (danos estimados em US$ 300 milhões)8

Outra empresa que sofreu com o ataque NotPetya foi a Mondelez, conhecida por seus biscoitos Oreo e chocolates Cadbury. O malware NotPetya infectou dois de seus servidores, afetando uma parte significativa dos aplicativos globais da empresa baseados no Windows, bem como as redes de vendas, distribuição e financeiras em toda a empresa.9

O exemplo da Mondelez mostra quanto a exposição cibernética silenciosa pode custar às empresas; o ataque resultou em perdas de cerca de US$ 100 milhões. Eles tentaram recuperar a perda de uma apólice de seguro patrimonial do tipo all risks, uma vez que a cobertura da apólice incluía:

perda física ou dano a dados eletrônicos, programas ou software, incluindo perda física ou dano causado pela introdução maliciosa de um código ou instrução de máquina… (e) Perda real sofrida e despesas extras incorridas pelo segurado durante o período da interrupção resultante de falha no funcionamento do equipamento ou meio eletrônico de processamento de dados do Segurado”.10

A cobertura incluía especificamente perdas físicas ou danos a dados eletrônicos, programas ou software, causados pela introdução maliciosa de um código de máquina ou instrução.

No entanto, a seguradora determinou na época que o sinistro seria negado pela apólice com base em uma exclusão que limitava a indenização nos casos de danos resultantes direta ou indiretamente de uma

“ação hostil ou bélica… por qualquer governo ou poder soberano”.

Seguiram se discussões para determinar se o ataque NotPetya era de natureza “bélica” ou “comparável a um ato de guerra”. O debate sobre esta questão custou à seguradora (e, consequentemente, aos resseguradores) um montante muito significativo em despesas. O assunto acabou por ser resolvido através de um acordo negociado, que foi mantido confidencial, e o caso foi encerrado.

A ocorrência NotPetya deixou transparecer a todo o mercado que as exclusões de guerra incluídas na maioria das apólices não eram adequadas à sua finalidade, uma vez que, à época em que foram elaboradas, não contemplavam a utilização de tais exclusões no contexto de violações de dados e ataques. As consequências do NotPetya fizeram com que as seguradoras e resseguradoras repensassem e revessem detalhadamente os termos e condições das suas apólices para evitar que tal situação voltasse a acontecer.

A importância da certeza contratual

Mesmo que você não seja advogado, provavelmente já deve ter ouvido em algum momento a expressão latina pacta sunt servanda, que significa que o contrato estabelece lei entre as partes ou simplesmente que os contratos precisam ser respeitados. Este princípio provavelmente se consolidou durante a Idade Média e foi incorporado à legislação de todo o mundo. Tal como acontece com todos os princípios, tem suas exceções; mas ter condições claramente escritas é um primeiro passo para evitar futuras disputas.

Quando se trata de seguros e resseguros, é crucial rever cuidadosamente os termos e condições para garantir que acompanhem os tempos de mudança e reflitam a intenção comum das partes no acordo. Uma cláusula que não esteja bem escrita ou uma condição ou exclusão que seja pouco clara ou ambígua pode levar à falta de clareza e a interpretações erradas e pode gerar custos adicionais desnecessários. Para evitar interpretações erradas e debates, uma exclusão cibernética bem ponderada e bem escrita é o primeiro passo para o sucesso.

Exposição cibernética – como evitar uma brecha contratual indesejada

Está ficando cada vez mais claro que as cláusulas contratuais redatadas para excluir perdas resultantes da “cibersegurança como perigo”11 não são tão robustas como se pensava. À medida que estas cláusulas continuam a ser testadas nos tribunais, há uma preocupação crescente sobre sua validade e um questionamento sobre a razoabilidade de sua utilização por parte do mercado.12

Um primeiro passo que pode ajudar a mitigar a exposição cibernética silenciosa é realizar uma análise interna das políticas e contratos para verificar a posição da cobertura cibernética. Mais especificamente, a análise avaliaria se a exposição cibernética está sendo abordada de forma adequada e se está incluída (através da inclusão afirmativa) ou excluída (através da exclusão afirmativa). As exclusões cibernéticas silenciosas para riscos patrimoniais geralmente visam esclarecer o que constituirá um ataque ou incidente cibernético excluído, bem como declarar que os dados não são (res)segurados nos termos do contrato. Isso significa que as perdas resultantes da falta de disponibilidade de dados ou do mau funcionamento dos sistemas também não são cobertas, por exemplo, quando os dados necessários para o funcionamento de um sistema operacional foram corrompidos ou excluídos. Geralmente haverá definições detalhadas para sistemas de computador, dados e ataques/incidentes cibernéticos.

Estar preparado não significa que a exposição não exista, e o processo de mitigação continua mesmo que a redação contenha exclusões. Isso requer necessariamente uma equipe de sinistros preparada para lidar com possíveis incidentes de forma rápida e assertiva, idealmente com um bom entendimento das coberturas e dos assuntos em questão para evitar o estabelecimento de precedentes indesejáveis.

Conclusão

À medida que o cenário digital evolui, as ameaças cibernéticas silenciosas continuam a representar desafios para o setor de seguros. O potencial de ameaças cibernéticas silenciosas não é suficientemente compreendido e ainda não é bem monitorado pelos intervenientes do setor. Fornecer cobertura para ameaças cibernéticas pode não ter sido a intenção durante o processo de subscrição; ainda assim, pode se ter criado uma exposição muito complexa e cara. Exemplos reais precisam ser destacados para discussão e necessitam de uma abordagem proativa e colaborativa para abordar os riscos de forma eficaz. Uma colaboração cruzada entre os departamentos de subscrição e de sinistros pode garantir que sejam incluídas exclusões mais direcionadas e assertivas ou que seja fornecida uma cobertura claramente pretendida e definida. Uma abordagem colaborativa pode ajudar a garantir que o risco de lacunas ou coberturas não intencionais não seja subestimado.

  1. Tradução livre da versão original em inglês: “There are only two types of companies in the world: those that have been breached and know it and those that have been breached and don’t know it”, Stefan Schulz em Cyber Security: 35 Best Cyber security & Hacker Quotes, https://gogetsecure.com/cyber-security-hacker-quotes/, visitado em 17 de janeiro de 2024.
  2. O site mostra eventos selecionados com mais de 30.000 registros comprometidos devido a vazamento de dados. Ver McCandless, Evans, and Barton, World’s Biggest Data Breaches & Hacks, Information is Beautiful, September 2022, https://informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/#bysensitivity, visitado em novembro de 2023.
  3. Ver Curti, Gerlach, Kazinnik, Lee, and Mihov, Cyber Risk Definition and Classification for Financial Risk Management, 26th August 2019, p. 4, https://www.richmondfed.org/-/media/richmondfedorg/conferences_and_events/banking/2019/cyber_risk_classification_white_paper.pdf, visitado em outubro de 2023.
  4. Ver em Allianz Risk Barometer for 2024, https://commercial.allianz.com/news-and-insights/reports/allianz-risk-barometer.html, visitado em 17 de janeiro de 2024.
  5. Ver Lubin, Public Policy and the insurability of Cyber Risk, Journal of Law and Technology at Texas, Spring 2021, p. 56, https://www.repository.law.indiana.edu/cgi/viewcontent.cgi?article=4039&context=facpub, visitado em 24 de novembro de 2023.
  6. Malware é um código de computador malicioso introduzido de alguma forma em um computador, servidor ou rede alvo com a intenção de causar danos.
  7. Greenberg, The Untold Story of NotPetya, The Most Devastating Cyberattack in History, WIRED, 22nd August 2018, https://www.wired.com/story/notpetya-cyberattack-ukraine-russia-code-crashed-the-world/, visitado em setembro de 2023.
  8. Ibid.
  9. Armstrong, Magen North, Silent Cyber: An Issue Making Noise Across Industries and Coverage Lines, AmWins, 21st January 2021, https://www.amwins.com/resources-insights/article/silent-cyber-an-issue-making-noise-across-industries-and-coverage-lines, visitado em setembro de 2023.
  10. Mondelez Int’l, Inc. v. Zurich Am. Ins. Co., No. 2018L011008, 2018 WL 4941760, at *1 (Ill. Cir. Oct. 10, 2018); visitado em 24 de novembro de 2023
  11. Em inglês, “cyber as a peril”.
  12. Ver Institute and Faculty of Actuaries’ Cyber Risk Investigation Working Party, “Silent Cyber Assessment Framework”, 2019, p. 8, https://www.actuaries.org.uk/system/files/field/document/FINAL%20Sessional%20paper%20-%20Silent%20Cyber%20Assessment%20Framework_0.pdf; visitado em 24 de novembro de 2023.