O seguro cibernético, também chamado de seguro de responsabilidade cibernética ou seguro de cibersegurança, cobre perdas financeiras causadas por incidentes cibernéticos. Da mesma forma que um seguro de automóvel paga por danos ao veículo e lesões corporais no caso de um acidente, as apólices de seguro cibernético pagam por sistemas de computador danificados, perda de receita, despesas legais e outros custos de um ataque cibernético.
As violações de segurança estão se tornando cada vez mais comum e caras. De acordo com um relatório sobre o Custo de uma violação de dados da IBM, 83% das empresas tiveram mais de uma violação de dados, sendo que a violação média custa USD 4,35 milhões. O seguro cibernético pode atenuar o impacto financeiro dessas violações, tornando-o uma importante parte do gerenciamento de risco para as empresas hoje.
Qualquer empresa que armazena informações do cliente ou depende de tecnologia, que engloba a maioria das empresas, enfrenta riscos cibernéticos. As equipes de segurança podem tomar medidas para minimizar as ameaças cibernéticas, mas elas não podem evitá-las totalmente. De acordo com o Travelers Risk Index (link externo à ibm.com), 57% dos líderes de negócios acreditam que os ataque cibernético são inevitáveis.
Produtos de seguros empresariais convencionais, como cobertura de responsabilidade civil geral e apólices de erros e omissões, normalmente não cobrem perdas causadas por eventos cibernéticos, deixando as empresas vulneráveis a pagar o custo integral de ataques de ransomware, golpes de comprometimento de e-mail corporativo e outros crimes cibernéticos. Esses ataques podem ter um alto custo financeiro. Por exemplo, o custo de um ataque médio de ransomware é de USD 4,54 milhões, não incluindo pagamentos de resgate.
Apólices de seguro cibernético surgiram para fechar essas lacunas de cobertura. Ao cobrir pagamentos de resgate, remediação de ataques de malware e outros custos, as apólices cibernéticas podem ajudar as empresas a limitar seus danos, recuperar-se mais rapidamente e aumentar seu nível geral de resiliência cibernética.
A cobertura do seguro cibernético pode variar de acordo com as necessidades do negócio, os tipos de dados que o negócio armazena e o setor do negócio. Muitas apólices cibernéticas oferecem opções para cobertura de primeira parte e cobertura de terceiros. A cobertura de primeira parte paga pelas perdas diretas do negócio, como os custos de recuperar dados e restaurar sistemas. A cobertura de terceiros paga por danos sofridos por partes fora do negócio, como consumidores cujos dados foram roubados.
Quando se trata de perdas específicas, muitas apólices pagam por coisas como:
Se uma empresa perde receita porque um ataque cibernético coloca os sistemas de computador off-line, as apólices cibernéticas podem cobrir algumas ou todas essas perdas.
O seguro pode pagar pela resposta a incidentes, reparos de sistemas, investigações forense e outros serviços necessários após um evento cibernético.
As apólices cibernéticas podem ajudar a pagar por processos judiciais decorrentes de um ataque cibernético, como ações judiciais movidas por clientes. Algumas seguradoras podem fornecer representação legal para a empresa segurada.
Quando hackers roubam informações pessoalmente identificáveis (PII) ou outras informações confidenciais, como números de cartão de crédito ou de seguridade social, as apólices cibernéticas podem ajudar a cobrir os custos de notificar os clientes e fornecer serviços como monitoramento de crédito.
Os ataques cibernéticos podem resultar em investigações regulamentares, especialmente em áreas altamente regulamentadas, como as de cuidados de saúde e serviços financeiros. As apólices cibernéticas podem cobrir os custos associados ao cumprimento dessas auditorias, incluindo quaisquer multas que a empresa deva pagar.
Uma empresa pode precisar contratar uma empresa de relações públicas ou tomar outras medidas para reparar a sua marca após um ataque. Algumas apólices cibernéticas ajudarão a custear esses custos.
Muitas apólices cibernéticas cobrem pagamentos de ransomware, mas alguns provedores de seguros estão encerrando ou limitando essa cobertura devido aos altos custos de resgates.
Embora as apólices cibernéticas possam cobrir muito, há alguns incidentes pelos quais elas não irão pagar. Estes são chamados de "exclusões". Exclusões comuns incluem:
Uma empresa pode ter seus dados roubados ou seus serviços interrompidos quando fornecedores e outros parceiros são violados. O seguro cibernético nem sempre paga por essas perdas, mas algumas seguradoras oferecem uma cobertura de violação de terceiros por um custo adicional.
Uma vez que a engenharia social ataca como phishing no intuito de manipular as pessoas a comprometer a cibersegurança interna, as apólices cibernéticas nem sempre cobrem essas perdas. No entanto, a cobertura para a engenharia social está geralmente disponível a um custo adicional.
Perdas causadas por ameaças internas, como funcionários maliciosos ou negligentes, são raramente cobertas.
Muitas apólices consideram esses ataques como sendo atos de guerra e não irão cobri-los.
Se os hackers descobrirem uma falha sobre a qual a empresa tinha ciência, mas não a corrigiu, muitas apólices cibernéticas irão negar o pedido de indenização.
A maioria dos planos não cobre interrupções causadas por configurações incorretas e outros erros internos.
Embora a demanda por seguro cibernético seja alta, seus custos crescentes estão dificultando para as empresas, especialmente as pequenas, encontrar cobertura. De acordo com Marsh McLennan (link externo à ibm.com), os preços de seguro cibernético subiram 110% no primeiro trimestre de 2022.
De acordo com a 451 Research (link externo à ibm.com), o seguro cibernético pode contribuir para o aumento dos ataques de ransomware. À medida que mais empresas compram apólices cibernéticas, elas se sentem mais à vontade para pagar resgates porque o seguro irá cobrir tais pagamentos. Os hackers, por sua vez, sentem-se encorajados a continuar pedindo resgates. Uma nova cepa de ransomware, a HardBit (link externo à ibm.com), até mesmo pede para as vítimas compartilhar os detalhes de suas apólices cibernéticas para que os hackers possam calcular um resgate que a política irá cobrir.
A turbulência de preços também é alimentada pelo fato de que o seguro cibernético é relativamente novo em comparação com outros produtos de seguro. As seguradoras dispõem de dados históricos limitados sobre os custos de ataques cibernéticos, o que dificulta a criação de modelos de risco precisos e a definição de preços estáveis.
À medida que as seguradoras observam seus prejuízos aumentarem, elas respondem aumentando os prêmios e limitando a cobertura. A seguradora AXA interrompeu a cobertura de pagamentos de ransomware (link externo à ibm.com) para políticas emitidas na França. A Lloyd's of London (link externo à ibm.com) não irá cobrir mais ataques cibernéticos patrocinados pelo estado, outra fonte de grandes perdas.
As seguradoras também estão definindo requisitos mais rigorosos de segurança de rede para empresas seguradas. Alguns underwriters de seguros nem oferecem uma cotação de seguro, a menos que uma empresa tenha autenticação de diversos fatores, criptografia de dados, zero trust ou políticas semelhantes em vigor. Algumas seguradoras estão assumindo uma função mais consultiva, dando aos segurados e proprietários de negócios acesso a ferramentas e provedores de serviços de segurança para ajudá-los a melhorar a postura de segurança. Alguns especialistas preveem que as seguradoras cibernéticas podem se tornar figuras-chave na aplicação de normas como o NIST Cybersecurity Framework, uma vez que empresas que seguirem essas normas serão menos caras de segurar.
Proteja dados corporativos em diversos ambientes, atenda a regulamentos de privacidade e simplifique a complexidade operacional.
O IBM® Security fornece soluções corporativas de segurança cibernética para ajudar você a prosperar diante da incerteza.
Proteja a infraestrutura de sua rede com relação a ameaças avançadas e malware com o IBM QRadar.
O Cost of a Data Breach Report anual, apresentando uma pesquisa conduzida pelo Ponemon Institute, oferece insights obtidos de 550 violações reais.
A resiliência cibernética é a capacidade de uma organização de evitar, combater e recuperar-se de incidentes de segurança cibernética.
A segurança de dados é a prática de proteger as informações digitais contra o acesso não autorizado, a distorção ou o roubo em todo o seu ciclo de vida.