Seguro de riscos cibernéticos e sua importância em relação aos ataques em ambiente digital

Seguro de riscos cibernéticos e sua importância em relação aos ataques em ambiente digital

Luciana de Paula Soares*

20 de novembro de 2020 | 04h00

Luciana de Paula Soares. FOTO: DIVULGAÇÃO

Nas últimas décadas, os avanços tecnológicos intensificaram-se e a digitalização dos dados pessoais foi promovida, principalmente, pelas empresas especializadas em e-commerce e rede social.

No entanto, surgiram, também, as atividades criminosas em ambiente digital, o chamado crime cibernético ou cibercrime. Normalmente, consiste em fraudar a segurança de computadores, sistema de comunicação e redes corporativas, sendo os crimes mais comuns a pirataria, pornografia infantil, crimes contra a honra e espionagem. Mas a definição de cibercrime não é estática e continua a evoluir à medida que se abrem caminhos que permitam que os cibercriminosos visem os usuários de novas maneiras.

Segundo o relatório de informações sobre segurança cibernética da Norton Life Lock de 2019, que fez levantamento em dez países, quase 500 milhões de usuários já foram vítimas de crimes cibernéticos, sendo 349 milhões no último ano.

No Brasil, em 2012, foi acrescentado ao Código Penal Brasileiro o artigo 154 A, que passou a criminalizar a invasão de dispositivo informático, com pena de detenção de 3 (três) meses a 1 (um) ano, e multa. Além disso, foram criadas as Delegacias de Polícia de Repressão aos Crimes Cibernéticos para combater essa nova realidade digital.

Já as empresas têm constatado um aumento significativo dos ataques cibernéticos à sua base de dados e a sistemas operacionais, principalmente, os setores financeiro e de saúde. O que demonstra a necessidade de investimento em tecnologia e de adequação à Lei Geral de Proteção de Dados Pessoais através da criação de política de segurança capaz de proteger os sistemas com medidas preventivas, e consequentemente, adoção de mecanismos eficientes de pulverização de riscos.

Além disso, a promulgação de leis de proteção de dados pessoais com possibilidade de multas altas tem aumentado a procura de um novo ramo do grupo de seguros de responsabilidade civil, conhecido por Seguro de Responsabilidade Civil de Riscos Cibernéticos.

Assim, as empresas que procuram esse tipo de seguro visam proteger-se financeiramente contra as violações de dados, sendo utilizado também como um componente importante na estratégia de mitigação de riscos corporativos e para a construção de credibilidade frente a clientes e acionistas.

Diante desse novo cenário, as seguradoras adotaram, como prática para aprovação da apólice, dentre outros aspectos, avaliar a reputação cibernética dos interessados. Para tanto, utilizam-se de ferramentas que buscam vestígios que possam identificar as vulnerabilidades da organização no mundo digital, como as platafarmas https://securityscorecard.com e https://nmap.org/ .

Dessa forma, é possível estabelecer a pontuação de segurança cibernética de uma empresa, estabelecendo assim o seu Secury Score. Estima-se que essa classificação de segurança se tornará tão importante quanto as classificações de crédito ao avaliar os riscos das relações comerciais.

Ao contratar esse tipo de seguro, a empresa deve conhecer profundamente as suas vulnerabilidades sistêmicas para adequar-se à melhor cobertura. Além disso, por se tratar de uma nova modalidade, as propostas não são padronizadas, dificultando a escolha da seguradora.

Outro aspecto relevante é analisar os excludentes de cobertura, que normalmente não cobrem: danos materiais causados a máquinas e equipamentos em geral, lucros cessantes; reclamações apresentadas fora dos limites territoriais; atos dolosos ou intencionais de sócio; representante legal; DPO (Data Protection Officer); diretores das áreas jurídicas, de tecnologia da Informação e de Compliance; multas pelas autoridades; guerra/terrorismo/eventos da natureza ou de força maior; negligência na segurança do sistema de computação e dados sob a guarda, custódia ou controle de terceiros.

O risco cibernético é uma realidade dos tempos modernos, não importa o tamanho da empresa. É improvável que exista uma só empresa que possa afirmar que esteja imune totalmente à violação da sua segurança e à quebra da privacidade de dados. Portanto, em primeiro lugar, vale ressaltar a importância de se agir com maturidade e efetividade para a análise dos processos de tratamento dos dados pessoais dentro das organizações e avaliação dos ajustes necessários para adequar às atividades de tratamento aos princípios da Lei.

*Luciana de Paula Soares é especialista em Direito Digital e DPO (Data Protection Officer) do escritório de Advocacia Sotto Maior & Nagel

Tudo o que sabemos sobre:

Artigo

Comentários

Os comentários são exclusivos para assinantes do Estadão.