Um ciberataque de grandes proporções pode causar perdas financeiras de até USD 53 bilhões, de acordo com o cenário descrito em pesquisa recente do Lloyd’s, mercado mundial de seguros e resseguros especializado, e a Cyence, empresa líder em modelagem analítica de riscos cibernéticos.
A pesquisa revela o potencial impacto econômico de dois cenários: um hack malicioso que derruba um provedor de serviços de nuvem com perdas estimadas em até USD 53 bilhões, e uma falha de um sistema operacional crítico administrado por empresas em todo o mundo, podendo gerar perdas de USD 28,7 bilhões.
Os resultados também revelam que, apesar da demanda por seguros contra riscos cibernéticos seguir em crescimento, a maioria dessas perdas não está segurada, o que deixa um déficit de bilhões de dólares em seguros.
Inga Beale, CEO do Lloyd’s, afirma: “Esse relatório nos dá uma noção real do tamanho do estrago que um ataque cibernético poderia causar à economia global”. Assim como alguns dos piores desastres naturais, esses eventos podem causar um impacto grave em empresas e economias, desencadeando inúmeras solicitações de acionamento do seguro e aumentando drasticamente os custos do serviço. As seguradoras precisam considerar essa forma de cobertura contra riscos cibernéticos e assegurar que os cálculos dos prêmios estejam em sintonia com a realidade da ameaça no ambiente digital.
“Incluímos esses cenários para ajudar as seguradoras a obterem um melhor entendimento sobre a sua exposição ao risco cibernético, para que possam melhorar a gestão da exposição de seu portfólio e a precificação do risco, estabelecer limites adequados e expandir seus serviços, com confiança, para essa que é uma classe inovadora e de rápido crescimento”, completa a executiva.
No cenário de interrupção dos serviços de nuvem considerados no relatório, a média das perdas econômicas varia de USD 4,6 bilhões, para um evento grande, até USD 53 bilhões, para um evento de proporções extremas. Essa é a média do cenário, uma vez que devido à incerteza com relação às perdas cibernéticas agregadas, esse valor pode subir até USD 121 bilhões, ou cair para USD 15 bilhões. Enquanto isso, as perdas médias seguradas variam de USD 620 milhões, para uma perda grande, até USD 8,1 bilhões, para perda extrema.
No cenário de vulnerabilidade dos softwares de massa, as perdas médias variam de USD 9,7 bilhões, para um grande evento, até USD 28,7 bilhões, para um evento extremo. As perdas médias seguradas variam de USD 762 milhões até USD 2,1 bilhões.
Já o gap sem cobertura dos serviços de nuvem pode chegar a USD 45 bilhões – ou seja, menos de um quinto (17%) das perdas econômicas realmente possuem cobertura. A defasagem segurada por um valor inferior pode chegar a USD 26 bilhões para o cenário de vulnerabilidade em massa – o que significa que apenas 7% das perdas econômicas estão cobertas.
Trevor Maynard, responsável pela área de Inovação do Lloyd’s, disse que “as conclusões desse relatório sugerem que perdas econômicas relacionadas a ataques cibernéticos podem ser, potencialmente, tão grandes quanto aquelas causadas por grandes furacões. As seguradoras podem beneficiar-se ao pensar sobre cobertura para ataques cibernéticos nesses termos, e adquirir subsídios específicos para considerar catástrofes cibernéticas Para isso, a coleta e a qualidade dos dados são muito importantes, principalmente quando o risco cibernético está em constante mudança”.
O Lloyd’s trabalhou com a Cyence, coletando dados em nível de internet para fazer a modelagem do risco cibernético e avaliar o impacto financeiro, econômico e no setor de seguros desses cenários.
Para Arvind Parthasarathi, CEO da Cyence, “a Cyence está muito feliz de trabalhar com o Lloyd’s na capacitação do setor de seguros para entender e modelar o risco cibernético. Aproveitando a exclusiva plataforma de risco cibernético da Cyence, estamos animados para ver as seguradoras oferecendo mais capacidade, trazendo produtos inovadores, com maior confiança e criando um mercado de seguros mais sólido e sustentável.”
Nota aos editores:
O relatório está disponível aqui.
Aumentam as consequências econômicas e aquelas relacionadas ao seguro para crimes cibernéticos. Em 2016, estimou-se que os ciberataques possuíam um custo estimado para as empresas de até USD 450 bilhões por ano (Graham, 2017).
Hoje, a equipe do Lloyd’s Class of Business estima que o mercado cibernético global vale algo entre USD 3 bilhões e USD 3,5 bilhões (Stanley, 2017); até 2020, alguns analistas estimam que esse valor pode chegar a USD 7,5 bilhões (PwC, 2015).
O relatório descreveu dois cenários:
· Cenário 1: “Hack malicioso” de um provedor de serviços de nuvem. Um grupo sofisticado de “hackers” prepara-se para interromper provedores de serviços de nuvem e seus clientes, para chamar atenção para os impactos ambientais do negócio e da economia moderna. O grupo faz uma modificação maliciosa num “hipervisor”, que controla a infraestrutura da nuvem. Isso provoca falha em muitos servidores de clientes com base em nuvens, levando a uma interrupção generalizada do negócio e dos serviços;
· Cenário 2: Ataque de vulnerabilidade em massa. Um analista virtual esquece a bolsa acidentalmente no trem, com a cópia de um relatório sobre vulnerabilidade, que afeta todas as versões de um sistema operacional executado por 45% do mercado global. Esse relatório é negociado no mercado negro virtual e comprado por um número indeterminado de criminosos virtuais, que desenvolvem exploits de sistemas e começam a atacar empresas vulneráveis para obter ganho financeiro.
Estes números representam os valores médios de um ano de perdas para eventos graves simulados, de proporções grandes e extremas, e consideram todas as expectativas de despesas diretas relacionadas com os eventos. Impactos como danos materiais, lesões corporais, assim como perdas indiretas – como a perda de clientes e o dano à reputação – não são considerados.
Perdas econômicas podem ser muito maiores ou menores que a média indicada nos cenários, devido à incerteza com relação à concentração de riscos cibernéticos. Por exemplo, enquanto perdas médias no cenário de interrupção dos serviços de nuvem são de USD 53 bilhões para um evento de proporções extremas, esse valor pode subir até USD 121 bilhões ou cair para USD 15 bilhões, dependendo de fatores como: as diferentes organizações envolvidas e a duração da interrupção dos serviços.
O desafio da personalização e capitalização do risco cibernético é a falta de dados de fontes de informação oficial. Informações de anos anteriores sobre seguros acionados e dados de sinistros normalmente não são confiáveis, devido à natureza volátil e variável do risco. E ao contrário de perigos físicos, o risco cibernético possui concentração de acúmulos, com o uso crescente de redes e tecnologia.
