O seguro cibernético não é mais algo que as empresas podem comprar e esquecer. À medida que ransomware, phishing, comprometimento de e-mail comercial e ataques assistidos por IA se tornam mais comuns, as seguradoras estão mudando seu papel. Eles não estão apenas pagando indenizações após um incidente. Eles agora estão decidindo se uma organização é segura o suficiente para fazer seguro.
A lição fica clara na cidade de Hamilton, Ontário. Em fevereiro de 2024, a cidade sofreu um ataque de ransomware que interrompeu os serviços em todo o município. Hamilton recusou-se a pagar o resgate de US$ 18,5 milhões e restaurou os serviços essenciais em 48 horas, mas alguns sistemas permaneceram afetados por semanas. Um ano depois, o seu fornecedor de seguros cibernéticos negou a reclamação da cidade depois que os investigadores descobriram que vários departamentos não tinham implementado a autenticação multifatorial para trabalhadores que acessam sistemas internos.
Esse detalhe importava. A política supostamente dizia que a cobertura poderia ser anulada se a violação estivesse ligada à falta de controles básicos de segurança, incluindo MFA. Em outras palavras, o seguro não substituiu a segurança. A experiência da cidade mostrou que a cobertura depende de uma organização conseguir provar que seguiu os padrões mínimos exigidos pela seguradora.
Este está se tornando o novo modelo de seguro cibernético. As seguradoras estão migrando da subscrição passiva para a avaliação de segurança ativa. Eles querem saber se uma empresa possui MFA, detecção e resposta de endpoint, registro, prazos de correção, backups testados, segmentação, treinamento de funcionários e procedimentos de resposta a incidentes. Uma empresa que não consiga apresentar provas destes controlos poderá enfrentar prémios mais elevados, uma cobertura mais restrita ou uma rejeição total.
O momento não é acidental. Os ataques cibernéticos estão se tornando mais fáceis de lançar e mais difíceis de conter. A IA generativa reduziu a barreira de habilidade dos invasores, tornando os e-mails de phishing mais convincentes e permitindo ataques em maior escala. O comprometimento do e-mail comercial continua sendo uma das fontes mais comuns de reclamações porque tem como alvo pessoas, não apenas sistemas. Mesmo as organizações com ferramentas de perímetro robustas ainda podem ser expostas se os funcionários forem enganados, se as identidades forem excessivamente confiáveis ou se os controles forem aplicados de forma inconsistente.
É por isso que as auditorias conduzidas pelas seguradoras são agora importantes. Eles forçam as empresas a tratar a segurança cibernética como um requisito comercial mensurável. As equipas de segurança devem documentar os controlos, provar que os sistemas são monitorizados, realizar exercícios, manter provas para renovações e mostrar que o risco está a ser reduzido. Isso pode ser frustrante, mas também cria disciplina. Para muitas organizações, especialmente as pequenas e médias empresas, os requisitos de seguro podem ser o impulso que finalmente conseguirá financiar e implementar os controlos básicos.
Os firewalls continuam importantes, mas não são suficientes. Um firewall pode monitorar o tráfego, bloquear acessos suspeitos e reduzir a exposição na borda da rede. Mas não pode eliminar o risco. Configurações incorretas, credenciais roubadas, vulnerabilidades de dia zero, ataques à cadeia de suprimentos, ameaças internas e erros humanos ainda podem levar a violações. Mesmo defesas técnicas fortes não podem cobrir automaticamente os danos jurídicos, financeiros, operacionais e de reputação que se seguem a um ataque bem-sucedido.
É aqui que o seguro cibernético ainda tem valor. Quando uma política responde, pode financiar investigações forenses, aconselhamento jurídico, apoio de relações públicas, negociação de resgates, serviços de recuperação e perdas por interrupção de negócios. As seguradoras também podem fornecer acesso a parceiros avaliados de resposta a incidentes que muitas empresas teriam dificuldade em encontrar rapidamente durante uma crise. Numa violação grave, essa coordenação pode reduzir o tempo de inatividade e limitar os danos totais.
Mas as empresas não devem presumir que todos os sinistros serão pagos. As recusas de sinistros muitas vezes acontecem devido a declarações falsas, exclusões, riscos não divulgados ou falha no cumprimento das condições da apólice. Se uma organização disser que tem MFA em todos os lugares, mas não tiver, ou alegar ter testado backups que nunca foram validados, a seguradora poderá contestar a reivindicação. A política não é mais apenas um documento financeiro. É um contrato de segurança.
O resultado mais amplo é que as companhias de seguros estão a tornar-se reguladores informais da cibersegurança. Estão a estabelecer padrões mínimos através de subscrições e renovações, especialmente para organizações que não possuem programas de segurança maduros. Isto provavelmente continuará à medida que as ameaças impulsionadas pela IA aumentam ainda mais e as seguradoras tentam controlar a sua própria exposição.
O seguro cibernético ainda é importante. Mas deve ser tratada como parte de uma estratégia de risco e não como um substituto da segurança. As organizações melhor posicionadas para beneficiar do seguro serão aquelas que puderem provar que fizeram o básico: proteger identidades, monitorizar sistemas, corrigir rapidamente, formar funcionários, fazer cópias de segurança de dados críticos e testar os seus planos de resposta antes que os atacantes o façam.
