Com a ascensão das técnicas de Ransomware-as-a-Service (RaaS), ataques de dupla extorsão e o baixo custo dos kits de ransomware, índices de perdas insustentáveis convulsionaram o mercado de seguros. Thom Langford, advogado de Segurança Global da SentinelOne, discute que para que para que as empresas se protejam do ransomware, elas precisam parar de escolher entre investir em uma pilha de segurança melhor ou obter cobertura de seguro
Costumava ser relativamente fácil para as empresas garantir o seguro cibernético. De fato, muitas seguradoras alavancaram a subscrição de fluxo de caixa em apólices cibernéticas para aumentar seus livros com prêmios e, como resultado, os corretores geralmente conseguiram garantir uma cobertura cibernética geral para seus clientes a um bom preço.
No entanto, com argumentos sobre se esse modelo de seguro seria sustentável a longo prazo, as ameaças cibernéticas em evolução estão testando a resiliência das organizações. Em resposta, os provedores de seguros cibernéticos estão se tornando mais versados e responsivos a ameaças específicas de segurança cibernética, desencadeando mudanças nas tendências de seguros. Em particular, o cenário atual de ameaças de ransomware significa que não apenas a bolha do seguro cibernético está prestes a estourar, como todo o sistema corre o risco de se desestabilizar completamente.
A ameaça de ataques de ransomware está aumentando em termos de volume e valor monetário. Quando os operadores do REvil exploraram um bug no software Kaseya VSA em julho, os criminosos solicitaram US$ 50 milhões pela chave de descriptografia universal. Para colocar isso em contexto, uma estimativa de todos os pagamentos de extorsão de ransomware para 2020 totalizou US$ 350 milhões.
Uma tendência que contribui aqui é que a pandemia forçou muitas organizações a migrar para a nuvem mais cedo do que o previsto para habilitar sua força de trabalho remota em rápido crescimento, aumentando drasticamente a vulnerabilidade de muitas delas ao crime cibernético.
Bolha de seguros cibernéticos prestes a estourar?
Embora a necessidade de um seguro cibernético nunca tenha sido tão clara, diante das crescentes demandas das vítimas de ransomware, as seguradoras não estão tão prontas para fornecê-lo. O seguro cibernético é uma faceta relativamente nova do setor de seguros e parece que foi planejado apenas pelas seguradoras como sendo para eventos catastróficos imprevistos, improváveis e novos.
Mas como a sinistralidade do setor aumentou pelo terceiro ano consecutivo em 2020, subindo mais de 25 pontos percentuais ano após ano para 72,8%, e os eventos de ransomware aumentaram 93% no primeiro semestre de 2021, algo claramente precisa mudar. O ransomware não é mais improvável ou novo, mas se tornou uma ameaça comoditizada.
Um processo de subscrição intensificado está dificultando a vida
Índices de perdas insustentáveis inevitavelmente levaram as operadoras a intensificar o processo de subscrição de seguros cibernéticos. Em face disso, eles estão aumentando os prêmios para menos cobertura e franquias mais altas.
Analisando o processo com mais detalhes, as operadoras também estão se tornando muito mais vigilantes sobre os controles que precisam estar em vigor para vender cobertura, enquanto os corretores também relatam que todos os mercados de seguros estão exigindo padrões de segurança mais altos. As seguradoras estão fazendo mais perguntas sobre a postura de risco cibernético das organizações e adicionando mais exclusões.
Embora não haja sinais de que as seguradoras queiram abandonar a cobertura, se as operadoras não gostarem de nada que encontrarem durante o processo de subscrição, além de aumentar os prêmios ou reduzir os limites, é cada vez mais provável que elas simplesmente se afastem.
Para tornar as coisas ainda mais difíceis para as organizações que buscam cobertura, as seguradoras perceberam que também precisam diversificar. As empresas existem em um ecossistema cibernético e os ataques a uma empresa podem ter um enorme efeito indireto.
Por exemplo, um único ataque de ransomware em um provedor terceirizado pode ser catastrófico; as operadoras que seguraram muitas empresas usando o software SolarWinds teriam enfrentado grandes perdas como resultado do ataque de 2020. Por sua vez, à medida que as seguradoras tentam distribuir seu próprio risco por meio do resseguro, as resseguradoras também estão reforçando suas próprias diretrizes e reduzindo a cobertura.
As organizações que buscam cobertura terão que garantir que sua postura de segurança seja adequada
O resultado é que, para garantir a cobertura e ajudar a evitar a desestabilização completa do sistema de seguro cibernético, as organizações terão que reforçar sua postura de segurança. Durante o processo de subscrição, as seguradoras serão seletivas com os riscos e, como já foi dito, estarão prontas para se afastar se algo estiver errado.
Portanto, as organizações que buscam cobertura não apenas precisarão conhecer os principais controles para ataques de ransomware de trás para frente, mas também precisarão estar preparadas para serem totalmente transparentes sobre sua pilha de segurança e serem capazes de justificar até que ponto isso mitiga o risco. Esse nível de maturidade cibernética e liderança nem sempre está prontamente disponível em muitas organizações.
Além de alterar os termos de cobertura, como preço e limites, as seguradoras também estão instituindo demandas sobre apólices que exigem o cumprimento das principais medidas de segurança. Por exemplo, algumas operadoras estão incluindo controles de segurança, como sistemas de Detecção e Resposta de Endpoint (EDR, sigla em inglês) e cronogramas de correção e outros requisitos, a fim de garantir que seu modelo de seguro seja sustentável.
Além disso, a pesquisa sugere que as organizações que observam um declínio nos ataques de ransomware e reivindicações de pagamento por meio da priorização de procedimentos de prevenção e recuperação percorrerão um longo caminho com as seguradoras cibernéticas para garantir a cobertura. Por sua vez, essas empresas podem implementar o seguro cibernético como outro componente válido de uma estratégia robusta de risco de segurança, ajudando-o a se tornar muito mais valioso para seus negócios do que uma simples transferência de risco.
Segurança e seguro não podem ser uma proposição de “ou”
No ambiente moderno de ameaças de ransomware, duas coisas são certas. Em primeiro lugar, para se qualificar para o seguro ou renovação cibernética, as pilhas de tecnologia das organizações precisam atender a certos padrões elevados.
Em segundo lugar, as organizações precisam transferir parte do risco de um ataque de ransomware e obter seguro como parte essencial de sua estratégia de recuperação e risco cibernético. O problema é que muitas organizações ainda estão vendo isso como uma proposta ou/ou, gerando perdas e – em um ciclo vicioso – contribuindo ainda mais para as mudanças dramáticas na forma como as seguradoras estão precificando o risco no momento.
Como acontece com qualquer tipo de seguro, a incerteza leva inevitavelmente a custos mais altos e menos opções. Para se proteger da ameaça em constante evolução do ransomware, as empresas precisam parar de escolher entre investir em uma pilha de segurança melhor ou obter cobertura de seguro – agora elas precisam fazer as duas coisas.
Clique abaixo para compartilhar este artigo
