Seguro contra riscos cibernéticos : desafios para delimitar a garantia e promover a cibersegurança na era digital

Abstract

A transição do mundo analógico para o digital veio acompanhada de ameaças cibernéticas e ataques recorrentes, como phishing, malware, ransomware e negação de serviço. A cibersegurança reflete a preocupação com a proteção de pessoas, organizações e infraestruturas críticas contra riscos relacionados ao uso da internet e de computadores. Isso significa que ataques bem-sucedidos podem afetar a confidencialidade, integridade e disponibilidade de dados pessoais, segredos de negócio e informações protegidas por direitos autorais, além de inviabilizar serviços essenciais de saúde, transporte e energia, por exemplo. Os prejuízos decorrentes de um incidente de segurança podem facilmente ultrapassar milhões de dólares e os danos, especialmente relacionados ao vazamento de dados pessoais não substituíveis, podem atormentar vítimas pelo restante da vida. Essas consequências motivaram a promulgação de leis sobre a notificação de incidentes de segurança e proteção de dados pessoais nas duas últimas décadas. Por um lado, as leis permitiram que as pessoas afetadas por um incidente de segurança soubessem que seus dados foram comprometidos e tomassem medidas para evitar danos maiores, como fraudes de identidade. Por outro lado, impuseram custos significativos às organizações, que incluem investigação forense, notificação de todas as pessoas afetadas, pagamento de indenizações por danos decorrentes do incidente em ações individuais e coletivas e multas impostas por autoridades públicas. Esse cenário originou um mercado de seguros específico que busca cobrir tanto prejuízos suportados diretamente pelas organizações quanto por terceiros. O problema é que riscos cibernéticos são extremamente voláteis e evoluem em conjunto com a tecnologia. Isso significa que uma ameaça que hoje é considerada grave pode ser substituída em poucas semanas por outra ainda pior e que soluções para mitigar prejuízos podem ser rapidamente contornadas por novas táticas, a exemplo das duplas extorsões nos ataques ransomware. Em meio a tanta instabilidade, o que é necessário considerar para se contratar um seguro contra risco cibernético com garantia suficiente? Para responder a essa pergunta, o objetivo da pesquisa é compreender as nuances do contrato de seguro contra riscos cibernéticos e analisar como as particularidades do risco cibernético e da cibersegurança podem afetar a delimitação da garantia. A pesquisa tem como base o método dedutivo e a revisão bibliográfica e busca verificar se o seguro contra riscos cibernéticos poderia ser uma ferramenta de gestão de riscos e de incentivo à implementação de medidas preventivas de cibersegurança e de que forma isso pode ser alcançado. Devido à amplitude do tema, a pesquisa considerou três recortes importantes: a distinção entre os conceitos de cibersegurança e segurança da informação e a delimitação da garantia securitária a partir do primeiro conceito; foram analisados apenas contratos de seguro empresariais, regrados pelo Código Civil; e o estudo do contrato de seguro foi focado nas questões relacionadas à delimitação da garantia.

The transition from the analogic to the digital world came accompanied by cyber threats and recuring attacks, like phishing, malware, ransomware, and service denial. Cybersecurity reflects the preoccupation with the protection of people, organizations and critical infrastructures against risks related to the use of internet and computers. This means that well-succeed attacks might affect confidentiality, integrity and availability of personal data, business secrets and information protected by copyrights, besides precluding essential services such as health, transport, and energy. The losses related to a security incident might easily surpass millions of dollars, and damages, especially regarding the breach of non-replaceable personal data, might torment the victims for the rest of their lives. Those consequences motivated the promulgation of laws regarding data breach notification and the protection of personal data in the last two decades. On the one hand, the laws allowed people affected by a security incident to know their data has been compromised and take measures to prevent further damages, such as identity theft. On the other hand, the laws imposed significant costs to organizations, including forensic investigation, the notification of all people affected, payment of indemnification for damages resulting from the incident in individual suits and class actions and fines imposed by public authorities. This scenario originated a specific market that aims at covering both the losses experienced directly by organizations and third parties. The problem is that cyber risks are extremely volatile and evolve alongside technology. This means that a threat considered major today might be replaced in a few weeks for another that is even worse, and that solutions to mitigate damages might be rapidly circumvented by new tactics, such as double extortion in ransomware attacks. Among so many instabilities, what should be considered for contracting a cyberinsurance with enough coverage? To answer that question, the objective of this research is to understand the nuances of an insurance contract against cyber risks and to analyze how the particularities of cyber risks and cybersecurity might affect the definition of the bond. The research is based on the deductive method and bibliographic review, and aims to verify if cyberinsurance could be a risk management tool to incentive the implementation of preventive measures for cybersecurity, and how this objective could be achieved. Due to the extension of the subject, the research considered three important cut-offs: the distinction between the concepts of cybersecurity and information security and the delimitation of the security bond according to the first concept; only business insurance contracts regulated by the Civil Code were analyzed; and the study of insurance contracts focused on issues related to the definition of the bond.