O crescente avanço dos ataques nos meios digitais e a grande preocupação relacionada aos erros ou falhas do sistema de segurança que agridem os direitos fundamentais de liberdade e de privacidade no ambiente virtual, resguardados pela lei 13.709/18, resultaram no aumento progressivo de pedido de contratação de seguro cibernético pelas empresas no Brasil. Um levantamento da confederação nacional das seguradoras mostra que em 2021 o volume de prêmios entre janeiro e agosto foi de R$ 63,5 milhões – isso representa um crescimento de 161,3% em relação aos oito primeiros meses de 2020.
Além do risco de violação às normas previstas na lei 13.709/18, acredito que também há uma grande preocupação com a imagem da empresa. Principalmente porque mesmo que a empresa adote um sistema eficiente de controle e gestão da segurança da informação não ficará isenta de possíveis riscos e ataques cibernéticos, podendo causar um grande dano à sua imagem perante a opinião pública, além de possíveis indenizações às vítimas ou penalidades legais.
A SUSEP - Superintendência de Seguros Privados, autarquia responsável pela autorização, controle e fiscalização dos mercados de seguros, previdência complementar aberta, capitalização e resseguros no Brasil, editou a circular 638, em 27/7/21, regulamentando os requisitos básicos para a comercialização o seguro cibernético.
O seguro tem como objetivo a proteção de riscos de ataques cibernéticos, oferecendo abrangência para exposições pelo próprio segurado e por terceiros, com relação a qualquer evento cibernético ou de privacidade que tenha impacto em seus negócios. Ele oferece ao seu negócio um plano estruturado de resposta à crise, para mitigar maiores perdas e auxiliar no retorno às atividades comerciais normais. Também visa uma garantia à empresa ou pessoa física para possíveis penalidades com infringência à LGPD - Lei de Proteção de Dados.
Há uma variedade de coberturas passíveis de contratação, tais como: evento de responsabilidade de dados, evento de responsabilidade de mídia, custos de defesa, indenizações decorrentes de sentença judicial transitada em julgado, inclusive por danos morais, multas e penalidades civis e administrativas, custos de monitoramento de crédito, custos de recuperação de dados, custos periciais, despesas de representação legal, custos de notificação, custos de relações públicas, extorsão cibernética/ransomware, lucros cessantes etc.
É muito importante que as empresas adotem políticas de segurança, com boas práticas nacionais e internacionais de segurança cibernética, com segurança física de equipamentos e instalações; controle de acesso a sistemas e informações; criptografia; proteção contra softwares maliciosos; manutenção de cópias de segurança de dados e informações; manutenção de registros (logs) de atividades dos usuários, exceções e falhas; técnicas de proteção de redes e de segurança das comunicações; e desenvolvimento e aquisição de sistemas. Caso a contratante não tenha um controle de proteção de dados não será possível aceitação do seguro.
Sabemos que o seguro não visa suprir a ausência de controle, mas reforçar a segurança da empresa, que precisará comprovar que adotou os meios de segurança que informou à seguradora no ato da contratação do seguro, sob pena de perda de direito. Além disso, é importante avaliar os riscos passíveis de ocorrência, por cada empresa ou pessoa física.