Madrid 1,66 EUR -0 (-0,24 %)

INOVAÇÃO| 20.05.2022

Riscos cibernéticos, o grande desafio das PMEs

Thumbnail user

Em 2022 os ciberdelitos registrarão novamente cifras recorde, e as pequenas e médias empresas serão as mais vulneráveis. Medir e tarifar os riscos cibernéticos não é simples. As seguradoras começam a se posicionar e a IA se torna imprescindível.

No ano passado, 53% das PMEs sofreu algum tipo de ciberataque, e responsáveis por cibersegurança e altos executivos de 66 países concluíram que os ataques cibernéticos vão registrar novamente cifras recorde em 2022. Diante deste cenário, o papel das (re) seguradoras e das tecnologias que trabalham para estimar o impacto dos riscos cibernéticos é fundamental.

Uma pandemia e um confinamento global, a expansão do teletrabalho e a consolidação do comércio digital, o uso intensivo das telas e dos dispositivos eletrônicos… Em março de 2020 começou a tempestade perfeita para a ciberdelinquência. Os ciberataques se sucederam, a maioria sofridos em silêncio e outros transformados em notícia mundial, como o recente ataque contra o Comitê Internacional da Cruz Vermelha, cujas bases de dados pirateadas continham informações sobre mais de meio milhão de pessoas vulneráveis devido a conflitos armados, migração e desastres naturais.

Conforme reflete o estudo Digital Truste Survey 2022, realizado pela consultora PwC com mais de 3.600 entrevistas com responsáveis por cibersegurança e altos executivos de 66 países, os ciberataques voltarão a registrar números recorde este ano. Os ataques online que mais crescerão terão como objetivos os serviços de armazenamento de dados na nuvem, o sequestro de dados (ransomware), a infecção de equipamentos informáticos através das atualizações de software (malware) e os assaltos ao software das cadeias de fornecimentos e e-mails corporativos.

O negócio gerado por esta fraude cibernética não é nenhuma brincadeira. Quem sabe bem disso é a FinCEN (Financial Crimes Enforcement Network), uma agência do Tesouro dos EUA que recompila e analisa as transações financeiras para combater a lavagem de dinheiro, o financiamento do terrorismo e os delitos financeiros. Em sua última investigação, denuncia que entre janeiro e junho de 2021 identificou mais de 5,2 bilhões de dólares (4,5 bilhões de euros) em transações com bitcoins “potencialmente vinculadas a pagamentos por ransonware”. Ou, em outras palavras, pagamentos do resgate solicitado após sofrer o sequestro de dados.

Mais da metade das PMEs sofreu ciberataques

A cibersegurança é um aspecto fundamental para a sobrevivência de qualquer empresa. É verdade que as grandes empresas estão mais bem preparadas para suportar este tipo de incidência. Para dar um exemplo, em agosto de 2020 –poucos meses depois de ser declarada a pandemia do coronavírus- a MAPFRE sofreu um ciberataque e a própria Agência Espanhola de Proteção de Dados (AEPD) ressaltou que “as tentativas de exflitração (extração de dados) foram detectadas e evitadas, o que, juntamente com a rapidez para divulgar o ciberataque, permitiu a eficaz atuação de clientes, trabalhadores, colaboradores e fornecedores, minimizando os efeitos”. 

As PMEs, com menos orçamento e até agora menos conscientizadas, se tornaram o principal alvo do cibercrime. Seu maior desafio para 2022 é estar preparadas para qualquer risco cibernético, porque com a chegada da COVID-19 elas foram obrigadas a repensar seus modos de trabalho, incorporando o teletrabalho e a digitalização de forma quase imediata. No ano passado, as PMEs foram as principais prejudicadas: 53% delas sofreu algum tipo de ciberataque, e mais de 40% foram vítima de mais de três ciberdelitos, de acordo com o último relatório da Hiscox. Em média, cada ciberataque custou a uma empresa pequena 75.000 euros, conforme reconhece a SSH Team Consulting. 

“As PMEs ainda estão pouco preparadas em termos de tecnologias e prevenção contra os riscos cibernéticos. As de menos de 10 trabalhadores têm a sensação de que não podem ser alvo de ciberataques, mas devem se perguntar qual a porcentagem de seus processos produtivos que depende dos dados e da tecnologia. Provavelmente quase todos. Se elas sofrem uma paralisação de sua atividade devido a um ciberataque e não estão devidamente preparadas, as consequências podem chegar, no pior dos casos, ao fechamento de seus negócios”, explica Oscar Taboada, responsável por negócio Cyber da MAPFRE RE. 

“Quando falamos de cibersegurança, nos referimos ao grau de maturidade da PME para enfrentar este problema, do quanto a empresa esteve preocupada desde sua fundação para formar seus técnicos informáticos em cibersegurança, para implementar programas de conscientização. É importante também dispor de um diretor de segurança da informação -CISO (Chief Information Security Officer), na sigla em inglês–, que é o responsável por garantir a proteção e a boa governança dos dados. Depende muito do setor empresarial, aquelas que utilizam a tecnologia como parte operacional certamente levaram em conta a cibersegurança,” explicou para a MAPFRE o Sr. Marc Rivero, investigador sênior da Equipe Global de Controle de Ameaças da Kaspersky, uma multinacional de segurança informática que trabalha em mais de 195 países. 

É um fato que a pandemia acelerou o processo de transformação digital das pequenas e médias empresas. Na Espanha, as PMEs representam mais de 99% do tecido empresarial, respondem por 62% do PIB nacional e criam mais de 60% dos empregos empresariais totais. E no mundo inteiro elas dão trabalho a mais de 2 bilhões de pessoas.

Os últimos dados sobre digitalização das PMEs fornecidos pelo Observatório Nacional de Tecnologia e Sociedade (ONTSI), órgão dependente da Secretaria de Estado de Digitalização e Inteligência Artificial, mostram uma atualização digital de muitas empresas médias e pequenas. A penetração da Internet alcança praticamente a totalidade das PMEs (98%). Por exemplo, 77,3% das PMEs e grandes companhias e 55,1% das microempresas forneceram a seus funcionários dispositivos móveis com acesso à internet para uso empresarial. 63% das primeiras e 35% das menores utilizam as redes sociais, e quase uma de cada três empresas tem contratados serviços de cloud computing (armazenamento na nuvem). Quanto às compras através do e-commerce, 35%. 

Os delinquentes estão se adaptando à digitalização muito rapidamente, e estão se aproveitando dela. Portanto, para enfrentá-los é necessário ter um entendimento mais amplo da cibersegurança, assim como uma preparação prévia para evitar riscos de ataques, algo que nem sempre está ao alcance de PMEs e trabalhadores autônomos”, afirma Jorge Sicilia, diretor de desenvolvimento de negócio de Empresas da MAPFRE España.

Como podemos quantificar, medir e tarificar os riscos cibernéticos?

Uma vez reconhecida esta realidade, as (re) seguradoras precisam quantificar e medir este risco para posteriormente poder dar um preço adaptado à exposição que elas vão assumir.

Segundo os dados da ObservaCiber, um espaço criado recentemente pelo Instituto Nacional de Cibersegurança e pelo ONTSI, na Espanha 18% das empresas têm um seguro para cobrir as possíveis incidências de segurança cibernética, uma cifra inferior à média europeia, que é de 24%. 

“Precisamos distinguir entre cibersegurança, isto é, as medidas de proteção e prevenção que uma empresa pode implementar em seus protocolos informáticos para evitar o máximo possível a entrada de um ciberataque que acarrete roubo de dados, paralisação de atividade, etc.;  e, por outro lado, o seguro de riscos cibernéticos, que seriam as coberturas com base em certos limites que uma empresa (re) seguradora estaria disposta a subscrever e, portanto, a assumir”, explica Oscar Taboada, responsável por negócio Cyber da MAPFRE RE.

“A natureza deste tipo de risco e sua complexidade dentro de um contexto dinâmico, global e mutável fazem com que seja fundamental seu correto entendimento, análise, controle e medição,” afirma Óscar Taboada.

O papel do resseguro contra o risco cibernético

O resseguro no âmbito do risco cibernético, da mesma forma que em outras linhas de negócio, tem um papel fundamental facilitando a transferência de risco por parte das seguradoras, gerenciando o controle da potencial acumulação de catástrofes e contribuindo para o desenvolvimento de produtos com soluções e assessoramento para a mitigação e prevenção dos citados riscos. 

“No caso da MAPFRE RE, por exemplo, estamos trabalhando ativamente na aprendizagem e análise de diferentes modelos e cenários de acumulação de catástrofes frente a eventos de grande magnitude aplicando IA (inteligência artificial), o que nos permite chegar a modelos estatísticos preditivos para estimar as possíveis perdas potenciais,” comenta o responsável por negócio Cyber da MAPFRE RE. 

Entre os meses de janeiro e julho de 2021, a MAPFRE realizou uma inovadora investigação baseada na escuta da conversa relativa à cibersegurança nas redes sociais e fóruns. A principal conclusão foi que os usuários, cada vez mais habituados a realizar gestões digitais, demonstram estar preocupados com a segurança digital das empresas nas quais consomem produtos e serviços e às quais informam seus dados pessoais. 

Por isso, e diante da vulnerabilidade das PMEs aos ataques informáticos, a MAPFRE desenvolveu o seguro CIBER On para trabalhadores autônomos e pequenas e médias empresas que faturem até 10 milhões de euros. Com este ciberseguro, o cliente tem à sua disposição equipes especializadas para que tenha a melhor cobertura contra qualquer ciberataque e suas consequências. Desta forma, as PMEs poderão se proteger de danos aos sistemas informáticos, interrupção do negócio, ameaça de extorsão cibernética, responsabilidade civil e cobertura de suporte tecnológico para recuperar a normalidade na atividade.

KOVRR, soluções para a quantificação financeira do risco cibernético

A tecnologia, os algoritmos e a inteligência artificial (IA) se tornaram ferramentas essenciais para criar modelos preditivos que ajudem as empresas (re) seguradoras a estimar o potencial impacto de um evento cibernético.

No início de 2021, a Mapfre RE assinou um acordo com a KOVRR, uma empresa líder em modelagem e quantificação de riscos cibernéticos com sede em Tel Aviv (Israel), para poder se aprofundar no conhecimento, análise e avaliação deste tipo de risco. Por meio de uma sofisticada análise de avaliação dos sistemas tecnológicos de cada risco/empresa, a KOVRR é capaz de estimar, baseada em modelos preditivos, a potencial perda máxima esperada com base em uma série de eventos cibernéticos. 

“Isto permite determinar as exposições que uma empresa enfrenta com base em uma carteira em um momento determinado, podendo quantificar, medir e tarificar o risco com base nas coberturas oferecidas”, indica Oscar Taboada, responsável por negócio Cyber da MAPFRE RE. 

Joan Cuscó, diretor global de transformação da MAPFRE Open Innovation (MOI), afirmou que “a KOVRR é um grande caso de sucesso do nosso programa de compromisso com as startups. Nossa missão é adotar soluções revolucionárias para o setor dos seguros, e a colaboração com a MAPFRE RE é um exemplo do que as (re) seguradoras e as startups tecnológicas podem conseguir quando combinam seus conhecimentos”.