Covid-19: precisamos falar sobre o seguro para riscos cibernéticos

A rede mundial de computadores, criada durante o período da Guerra Fria, com o propósito de interligar dados entre computadores do exército norte-americano, consolidou-se anos mais tarde, na década de 1990, em virtude da conjugação dos seguintes fatores: a descoberta da World Wide Web, por Berners-Lee, e sua disposição em compartilhar o código fonte para fins de melhoramento por parte de uma comunidade mundial de usuários, juntamente  com a abertura dos protocolos TCP/IP; a mudança institucional no gerenciamento da internet, que passou a ser mais frouxo e privatizado, e; as grandes alterações no comportamento sociocultural dos usuários, que, segundo Castells1, deixaram de figurar, exclusivamente, como receptores das mensagens.

O alcance mundial da internet promoveu uma verdadeira revolução em todos os setores da sociedade. Na comunicação, as barreiras foram rompidas em razão da possibilidade de a informação poder ser “processada, selecionada e recuperada para satisfazer as necessidades mais especializadas e individualizadas”2.

O ambiente laboral, por sua vez, também vem trilhando um caminho disruptivo, em um processo gradual de substituição do modelo de produção baseado em maquinários pesados da indústria (tecnologia de produção) por profissionais que, conectados à rede mundial de computadores, manipulam tecnologias da informação. Nessa toada, insta destacar que “dada a importância assumida pela característica de preponderância das tecnologias de informação e comunicação, a sociedade pós-industrial passou a ser chamada de sociedade de informação (…)3”. 

A informação, no Brasil, alçou status de direito fundamental com a promulgação da Constituição Federal de 1988, cuja sustentação normativa se encontra presente em inúmeros incisos do art. 5º, e, mais; no art. 37, § 3º, inciso II; no art. 93, inciso IX; no art. 216, § 2º; e no art. 220, caput e parágrafos. O referido direito encontra guarida, ainda, no art. 19 da Declaração Universal dos Direitos do Homem e no art. 10 da Convenção Europeia.

Para além de um direito fundamental e humano, a informação é considerada, hoje, um dos bens mais valiosos das empresas, razão por que passou a ser chamada de “novo petróleo”.

Considerar “Dados como o novo petróleo”, como disse Humby, talvez não represente o tamanho do desafio que recai agora sobre as corporações, que precisam garantir a segurança dessas informações — afinal, tal como o petróleo, “danos ao ecossistema” de dados são uma realidade. No evento de um furto, ou subtração de qualquer quantidade de petróleo, a ausência deste bem pode ser visualmente determinada, pois o barril não estará mais no lugar onde estava, ou o volume armazenado será menor. No caso do furto de dados isto não acontece. O conjunto original pode ser mantido exatamente como estava, dificultando a identificação do evento de cópia e extração. Roubam-se cópias, que são igualmente preciosas. A conhecida tríade de Confidencialidade, Integridade e Disponibilidade está sob constante risco, pois à medida que dados pessoais ou de negócios aumentam no volume captado e processado, eleva-se para as empresas o valor deles, bem como os riscos envolvidos4.

Com o advento do século XXI, adentramos na pós-modernidade, ou, como nominado pelo filósofo e sociólogo polonês Zygmunt Bauman5, na “modernidade líquida”.

Nada mais permanece estático, preso ao status quo. Adaptamo-nos às novas tecnologias que se formam e às velhas que se transformam, só não esperávamos mudanças tão substanciais, em um curto espaço de tempo, como a que se se deflagrou com a pandemia da covid-19.

É fato que, nos últimos meses, o mundo contemporâneo se viu diante do seu maior desafio, qual seja: tocar a vida com o isolamento social. Nessa toada, descurando-se, momentaneamente, do evidente problema de saúde pública, não há como deixar de notar que as empresas, em grande parte, migraram seus escritórios para o ambiente remoto das casas de seus colaboradores.

Recentes pesquisas apontam que, no ano de 2018, o home office correspondia a 5,2% do total de pessoas ocupadas no país6, enquanto que, em março de 2020, o “escritório em casa” se tornou o principal modelo de trabalho para 43% das empresas brasileiras durante a pandemia do novo coronavírus7.

Essa mudança de urgência, consabido, não pudera ser precedida de longo planejamento, o que acabou possibilitando o enfraquecimento da segurança dos dados e informações alocados nas atividades profissionais através do home office. Não à toa, em recente relatório publicado pela Europol8, foi verificado o aumento dos ataques cibernéticos durante a pandemia da covid-19:

Cybercriminals have been among the most adept at exploiting the covid-19 pandemic for the various scams and attacks they carry out. With a record number of potential victims staying at home and using online services across the European Union (EU) during the pandemic, the ways for cybercriminals seeking to exploit emerging opportunities and vulnerabilities have multiplied.

Os cibercriminosos aproveitam o fato de, em razão da pandemia, muitas pessoas haverem passado a trabalhar em casa, não raras vezes com sistemas de segurança desatualizados, para, então, praticarem phishing9, roubando dados e informações sigilosas das empresas. Outrossim, nota-se, ainda, que o aumento de tráfego remoto na rede potencializa a sobrecarga dos sistemas corporativos.

Como o título do presente artigo já antecipou, essa ambientação pandêmica traz à arena pública de debates a necessidade de olharmos com mais atenção para o, ainda pouco conhecido, seguro para riscos cibernéticos.

Isso porque, um ataque cibernético pode acarretar consequências implacáveis para uma empresa, e, consequentemente, para a economia. Imaginemos, a título exemplificativo, uma situação em que um terceiro assume o controle da database de uma empresa. Tal fato poderá ensejar a destruição de dados, bloqueio de acesso, divulgação de dados confidenciais etc.

Uma pesquisa recente do Lloyd’s e da Cyence, empresa do setor de modelagem analítica de riscos cibernéticos, também constatou o grande prejuízo de uma invasão eletrônica. Um ciberataque de proporções inimagináveis pode causar perdas financeiras de até US$ 53 bilhões. A pesquisa revela o impacto econômico de dois cenários: um hack malicioso que derruba um provedor de serviços de nuvem com perdas estimadas nestes mesmos US$ 53 bilhões e falha de um sistema operacional crítico administrado por empresas, podendo gerar perdas de US$ 28,7 bilhões. Os resultados revelam: apesar da demanda por proteção contra riscos cibernéticos seguir em crescimento, a maioria destas perdas não está segurada, o que deixa um déficit de bilhões de dólares em seguros10.

Dada a importância do tema, fora publicado, no último dia 6 de fevereiro de 2020, o decreto 10.222/2020, da Presidência da República, aprovando a Estratégia Nacional de Segurança Cibernética. Seu escopo consiste em orientar a sociedade acerca das ações aspiradas pelo Governo na área de segurança cibernética para o período de 2020 a 2023.

No âmbito das relações empresariais, no entanto, é premente a necessidade de redução dos riscos cibernéticos da atividade por meio, dentre outras medidas, de apólices que prevejam danos dos mais diversos.

O seguro para riscos cibernéticos surge, então, como um remédio para mitigar os prejuízos gerados por um ataque cibernético. Caso uma empresa seja vítima de algum ataque ao seu sistema, existem apólices que permitem que o seguro seja acionado para cobrir despesas como (I) custos de defesa, civil ou criminal, relacionados a uma queixa de vazamento de dados; (II) despesas com assessoramento jurídico e investigativo; (III) gastos visando abrandar os danos à reputação da pessoa (física ou jurídica) afetada pelo crime; (IV) custos incorridos para a notificação de uma violação de dados aos usuários; (V) e lucros cessantes. Ademais, a seguradora pode disponibilizar prestadores de serviços especializados para mitigar os riscos e/ou danos em caso de sinistro.

Cotejando as condições gerais de algumas das maiores seguradoras do país, no entanto, percebemos exclusões de cobertura comuns, como (I) ações dolosas ou negligentes pelo segurado; (II) reclamações ou circunstâncias anteriores à contratação; (III) guerras, saques e atos governamentais, a exemplo de confisco e requisição; (IV) poluição; (V)  desastres naturais; (VI) atos de terrorismo, além de inúmeras outras. Ainda, “é praxe no mercado a exclusão de riscos em caso de sinistros associados a epidemias e pandemias declaradas por órgãos competentes”11.

Outrossim, é comum encontrar cláusula de “perda de direitos”, prevendo situações nas quais o segurado poderá perder o direito à indenização, como, por exemplo, deixar de comunicar à seguradora, logo que saiba, qualquer fato suscetível de agravar o risco coberto, se ficar comprovado que silenciou de má-fé.

No velho continente, o mercado de seguros para riscos cibernéticos está crescendo cada vez mais rápido. O relatório da European Insurance and Occupational Pensions Authority – EIOPA12 indica um aumento de 72%, na Europa, da compra desse seguro, de 2017 para 2018. Esse aumento decorreu, principalmente, da entrada em vigor da GDPR, em 25 de maio de 2018.

A GDPR, ou, em português, a Regulação Geral de Proteção de Dados é uma nova regulação adotada pela União Europeia e que entrou em vigor em 25 de maio de 2018.  A lei foi criada com a intenção de proteger a privacidade dos dados pessoais de cidadãos europeus (…) O objetivo principal da lei é de evitar o vazamento de informações, que, por definição, é um incidente de segurança da informação envolvendo processamento de dados sensíveis ou confidenciais em desconformidade legal, seja de maneira intencional ou não.13

Uma outra causa para o aumento na contratação de seguros dessa espécie, na Europa, remonta a casos recentes atinentes a grandes empresas que tiveram seus dados violados. No final de 2019, por exemplo, o conglomerado industrial norueguês, com empresas de produção de alumínio e energia renovável, Norsk Hydro, teve 22 mil computadores desligados em 170 locais diferentes, em todo o mundo, após um ataque de ransomware14. Depois dos ataques, a empresa fez diversas declarações públicas alegando que contava com uma robusta política de seguro cibernético.15

Embora o Brasil seja o terceiro país com maior número de ataques cibernéticos, de acordo com o último relatório global da Symantec16, o seguro ainda não entrou com força no mercado securitário nacional, sendo desconhecido por expressiva parcela da população, e destituído de regulação específica, enquadrando-se como um novo ramo do Grupo 03 (Responsabilidades) do anexo I da circular Susep 535/2016, o ramo 27 (Compreensivo Riscos Cibernéticos).17

Além da pandemia da covid-19 que, como visto, contribui potencialmente para a vulnerabilização da segurança cibernética, o que, portanto, reclama maior atenção para a contratação securitária em comento, não podemos nos descurar que, em agosto do corrente ano, entrará em vigor a Lei Geral de Proteção de Dados – LGPD.

Esses dois fatores conduzem a uma amplificação da importância e notoriedade do seguro. Afinal, quando ocorre um crescimento vertiginoso da adoção do regime de teletrabalho, o número de crimes virtuais acompanha esse aumento. Aliado a isso, existindo norma específica prevendo a responsabilização das empresas que sofrerem vazamentos de dados de terceiros, torna-se, não apenas objeto de interesse, mas uma ferramenta essencial, um mecanismo que mitigue os danos causados por crimes cibernéticos.

Alerte-se, por fim, que as empresas que já contam com a proteção do seguro em debate, quando da migração para o home office, devem, imediatamente, comunicar tal fato às seguradoras, à luz do princípio da boa-fé objetiva, especialmente no tocante ao duty to mitigate the loss, para que não se subsumam às chamadas cláusulas de “perda de direitos” (perda de direito à indenização por agravamento do risco), já que, como arguido alhures, a migração para o “escritório em casa” potencializa os riscos cibernéticos.

__________

1 O autor nomina esse fenômeno de “era da intercomunicação”. CASTELLS, Manuel. O poder da comunicação. São Paulo/Rio de Janeiro: Paz e Terra, 2015.

2 KUMAR, Krishan. Da sociedade pós-industrial à Sociedade pós-moderna novas teorias sobre o mundo contemporâneo. 1997, RJ. Jorge Zahar Editor Ltda.

3 Disponível aqui. Acesso em 6/6/2020.

4 Disponível aqui. Acesso em 6/6/2020.

5 BAUMAN, Zigmunt. A cultura no mundo líquido moderno. Rio de Janeiro: Zahar, 2013, p. 16.

6 Disponível aqui. Acesso em 7/6/2020.

7 Disponível aqui. Acesso em 7/6/2020.

8 Europol é a agência da União Europeia (UE) responsável por garantir o cumprimento da lei. Tem como missão principal ajudar a construir uma Europa mais segura em benefício de todos os cidadãos da UE.

9 “Todos os dias, milhões de ameaças virtuais são espalhadas pela internet. Boa parte desse montante pode ser classificada como phishing. Essa prática, como o nome sugere (“phishing” em inglês corresponde a “pescaria”), tem o objetivo de “pescar” informações e dados pessoais importantes através de mensagens falsas. Com isso, os criminosos podem conseguir nomes de usuários e senhas de um site qualquer, como também são capazes obter dados de contas bancárias e cartões de crédito”. Disponível aqui. Acesso em 6/6/2020.

10 Disponível aqui. Acesso em 7/6/2020.

11 Disponível aqui. Acesso em 7/6/2020.

12 Disponível aqui Acesso em 6/6/2020.

13    Disponível aqui Acesso em 6/6/2020.

14 “O ransomware é um tipo de malware que sequestra o computador da vítima e cobra um valor em dinheiro pelo resgate, geralmente usando a moeda virtual bitcoin, que torna quase impossível rastrear o criminoso que pode vir a receber o valor. Este tipo de “vírus sequestrador” age codificando os dados do sistema operacional de forma com que o usuário não tenham mais acesso.” Disponível aqui. Acesso em 7/6/2020.

15 Disponível aqui Acesso em 7/6/2020.

16 Disponível aqui Acesso em 6/6/2020.

17 SUPERINTENDÊNCIA DE SEGUROS PRIVADOS – SUSEP. Circular Susep 579, de 13 de Novembro de 2018.

Autor

Silvio Latache