À medida em que passamos a tomar maior consciência dos riscos que os ataques cibernéticos representam para os negócios, passamos também a adotar medidas de precaução e minimização dos impactos dessas ameaças. Um exemplo disso são os seguros contra riscos cibernéticos, que servem para reestabelecer um negócio após um ataque bem-sucedido, por exemplo, ou para indenizar usuários afetados por um vazamento de dados. Seja qual for o caso, os seguros são a mais comum medida de mitigação de riscos, em praticamente qualquer área.
Porém, quando falamos de análise de riscos cibernéticos, a indústria de seguros sofre de um problema menos comum em outras áreas, qual seja, o da correta precificação do serviço. Por não termos dados em grande quantidade e qualidade, é difícil estimar precisamente tanto a probabilidade quanto o impacto dos ataques cibernéticos e, vale lembrar, probabilidade e impacto são os fatores que, quando multiplicados, resultam na quantificação do risco analisado. Esse problema foi mencionado em recente, e muito bom, artigo de Christine Lagarde, diretora-geral do Fundo Monetário Internacional. Em seu artigo, Lagarde aborda a questão dos riscos cibernéticos para o setor financeiro, especialmente vulnerável a ataques desse tipo, e comenta a dificuldade em estimar precisamente as perdas para o setor, que podem, dependendo do cenário, variar entre 100 e 350 bilhões de dólares em um ano.
Retomando nossa análise, tanto o prêmio quanto a indenização de um seguro podem ser subestimados ou superestimados, e essas estimativas são feitas, na maioria das vezes, apenas pelas seguradoras, que devem usar suas melhores informações e seu melhor pessoal para a elaboração do contrato do seguro. A única forma de solucionar esse problema é através da coleta de informações sobre ataques cibernéticos, tais como sua frequência, origem, destino, meio utilizado e danos causados. Há iniciativas no sentido de agregar informações de segurança cibernética, mas ainda não temos um banco de dados que seja abrangente, robusto e disponível. Uma grata iniciativa nessa área é o Global Cybesecurity Index (GCI), elaborado pela International Telecommunication Union. O índice aponta os esforços dos países na prevenção de ataques cibernéticos.
Podemos observar a partir do GCI, no entanto, que há uma grande desigualdade entre os países emergentes e os países mais desenvolvidos, aqui representados pelo G7, quando se trata de esforços de segurança cibernética. O gráfico abaixo mostra a média dos scores do GCI para os países emergentes que incluímos em nosso Índice de Risco para Negócios Internacionais e para os países do G7. Os scores do GCI podem variar entre 0 e 1, sendo que 0 representa o pior valor no que diz respeito à prevenção de riscos cibernéticos, e 1 o melhor valor.
Fonte: Elaboração própria a partir dos dados do Global Cybersecurity Index
Em artigo publicado em 2017, Kopp et al.argumentam que a defesa cibernética deve ser um esforço global, cooperativo, mas os dados aqui apresentados indicam que essa é uma realidade ainda distante, mesmo porque há uma grande disparidade entre o estado da segurança cibernética nos países ricos e nos países emergentes. De fato, dada a interligação dos sistemas de serviços, sobretudo no setor financeiro, uma invasão ou vazamento de dados numa subsidiária localizada em um país emergente pode não só afetar a prestação de serviços nos países ricos, como também muito provavelmente afetará a reputação da multinacional em seu país sede. Portanto, as iniciativas de regulação para prevenção e mitigação de riscos cibernéticos, tais como a General Data Protection Regulation, da União Europeia, devem cada vez mais procurar ter um alcance global, tanto na sua elaboração quanto na sua implementação, sendo que talvez o maior desafio nesse sentido seja a inclusão, de uma forma ou de outra, dos países emergentes nesses acordos de cooperação.
Nota:
(1) A analista Júlia Lousa colaborou na compilação dos dados.