Seguro Cibernético 101 para CFOs de Empresas de Tecnologia Brasileiras

Em 2023, com o avanço tecnológico do Brasil, os CFOs encontram-se com uma agenda cada vez mais preenchida. Uma das razões primordiais? A crescente ameaça digital. Vamos aprofundar neste assunto.

O que é Seguro Cibernético?
O seguro cibernético pode ser comparado a um guarda-chuva eficiente em meio a uma tempestade. Ele protege as empresas contra as consequências financeiras decorrentes de ameaças online, desde pequenas vulnerabilidades até grandes ataques de ransomware.

Por que as Empresas de Tecnologia Brasileiras Precisam Dele?

• Cenário de Ameaças em Crescimento: O Brasil está no top 5 dos países mais atacados por hackers, o que amplifica a necessidade de proteção.
• Implicações Financeiras: Os ataques podem ter custos imediatos e repercussões a longo prazo, como perda de confiança do cliente, processos legais e multas.
• Gestão de Reputação: O seguro cibernético não apenas previne danos financeiros, mas também auxilia na gestão da imagem da empresa após um incidente.

Componentes-chave de uma Apólice de Seguro Cibernético:**

• Cobertura de Primeira Parte: Cobertura básica para proteger ativos e operações internas.
• Cobertura de Terceiros: Para situações em que terceiros possam responsabilizar sua empresa após um incidente.
• Cobertura de Ransomware: Específica para ataques que tentem sequestrar seus dados.
• Resposta a Incidentes: Equipas especializadas prontas para agir em caso de incidentes.

Como Escolher a Apólice Certa?

• Avalie Seu Risco: Cada empresa possui suas particularidades e vulnerabilidades.
• Limites de Cobertura: Garanta uma cobertura ampla, adequada à dimensão dos riscos enfrentados.
• Exclusões: Leia atentamente os detalhes da apólice para evitar surpresas desagradáveis.
• Colabore com Especialistas: Busque um corretor com experiência no cenário brasileiro.

Pensamentos Finais:
No contexto digital atual, estar preparado não é uma opção, mas sim uma necessidade. Garantir uma boa apólice de seguro cibernético pode ser um passo fundamental para a segurança e resiliência das empresas brasileiras. Compartilhe estas informações com seus colegas e contribua para um ambiente digital mais protegido.

Boa parte da nossa vida é online – inclusive nossos negócios. Dados sensíveis sobre pacientes armazenados digitalmente por médicos, informações confidenciais de clientes mantidas por advogados ou dados pessoais em geral, seja de consumidores ou funcionários, são exemplos do que pode ser perdido ou vazado em caso de ataque cibernético.

Cibersegurança, no caso de uma empresa, não é apenas manter senhas fortes e verificação de identidade em duas etapas: na realidade, é necessário que o empreendedor esteja ciente que a cibersegurança deve ser uma cultura na empresa.

Assim como lidamos com doenças, é preciso pensar no combate aos crimes cibernéticos por duas frentes: prevenção e, caso aconteça mesmo assim, atenuação dos danos. Como prevenção, pensamos no controle das “portas abertas” ou brechas para ataques cibernéticos. Aqui na Latú oferecemos nosso serviço de avaliação de riscos cibernéticos, que monitora todo o ecossistema digital de sua empresa em busca de vulnerabilidades que possam ser exploradas por hackers. Já o seguro cibernético serviria como o “remédio”, ou seja, uma forma de diminuir os danos desse ataque.

Essa apólice é pensada para proteger indivíduos e organizações contra perdas ou danos decorrentes de ataques cibernéticos ou violações de dados.

Alguns motivos para contar com seguro cibernético:

Proteção contra ataques cibernéticos e suas consequências: ataques cibernéticos têm uma série de consequências para o seu negócio, incluindo perdas financeiras. O seguro cibernético existe também para te proteger contra as consequências financeiras de um ataque cibernético, como perda de dados, interrupção dos negócios, extorsão para “resgate” de dados, entre outros. 

Gestão de crises: um ataque cibernético é acompanhado de crise, seja por pegar os gestores desprevenidos, seja o desdobramento perante o público. O seguro cibernético pode oferecer serviços de gerenciamento de crises, como investigações forenses, aconselhamento jurídico e relações públicas, para ajudá-lo a lidar com o impacto do ataque e minimizar os danos, uma vez que a reputação da empresa pode sair danificada após um ataque, especialmente se informações sensíveis ou pessoais de clientes forem comprometidas. Contar com essa cobertura pode ajudá-lo a proteger sua reputação e restaurar a confiança de seus clientes.

Danos a terceiros: Se a sua empresa sofrer uma violação de dados, você pode ser responsabilizado por danos que seus clientes ou parceiros sofram como resultado. O seguro cibernético pode ajudá-lo a cobrir esses custos legais, incluindo ações judiciais, multas e penalidades regulatórias. Essa é uma possibilidade ligada à cobertura para terceiros incluída na apólice.

O que o Seguro Cyber cobre?

Atenção! Aqui apresentamos o funcionamento padrão do seguro Cyber, de forma resumida e genérica. Assim, podem haver variações pontuais. Ressaltamos ainda que cada seguradora possui seus produtos protocolados na SUSEP e suas características encontram-se descritas em suas respectivas condições gerais. 

Diferente dos demais tipos de seguro, o seguro Cyber é composto de duas coberturas que podem ser acionadas em conjunto ou separadamente: danos sofridos pelo empresa e danos sofridos por terceiros, como clientes e colaboradores, por exemplo.

Danos a empresa:

• Lucros cessantes: as apólices de seguro cibernético podem incluir cobertura para perda de lucro incorrida pela empresa como resultado da interrupção dos negócios resultante de um ataque cibernético. Além disso, o seguro pode oferecer cobertura também para os custos fixos da empresa, incorridos durante a referida interrupção.
• Custos com investigações forenses feitas por profissionais que buscam elucidar as causas que levaram ou facilitaram o incidente;
• Despesas incorridas pela empresa com a reparação de sistemas e dados comprometidos;
• Despesas de relações públicas;
• Gestão de crise: caso a empresa sofra um ataque, todo o gerenciamento dos desdobramentos do ataque como questões com a mídia ou com clientes, por exemplo, será feito por um profissional;
• Despesas com notificação e monitoramento de terceiros afetados;

Danos a terceiros:

• Custos de processos legais iniciados por terceiros prejudicados pelo ataque cibernético, como órgãos reguladores (ex: como a ANPD, responsável pela aplicação da LGPD no país), clientes prejudicados por terem seus dados comprometidos.
• Pagamento de multas, indenizações e/ou acordos relacionados ao incidente

Dessa forma, todos os envolvidos caso haja um ataque estarão cobertos e terão o mínimo de problemas possível.

Toda empresa precisa de um seguro cibernético?

Frequentemente o seguro cibernético seja associado às empresas de tecnologia ou àquelas que operam online. No entanto, qualquer negócio que esteja online pode estar na mira dos hackers, pela possibilidade de este possuir informações confidenciais que possam ser usadas para extorsão ou para serem vazadas, por exemplo. Com o aumento do uso da tecnologia em todos os âmbitos de nossas vidas, sobretudo no trabalho, é importante estar ciente que as ameaças cibernéticas acompanham o uso da tecnologia. Contando com o nosso Seguro Cyber, você terá apoio não só no que se refere aos custos de investigações, mas também com prejuízos financeiros, gestão de crise e uma cobertura especial para os lucros perdidos enquanto sua empresa não pôde operar. 

Ataques cibernéticos em números

No ano passado foram mais de 400.000 incidentes relatados ao CERT.br, isso apenas no Brasil. No mundo, as ameaças cibernéticas aumentaram 38% em relação ao ano de 2021 e as indústrias mais atingidas foram a de educação e pesquisa, órgãos governamentais e a área da saúde. Com esse aumento das ameaças cibernéticas, os ataques de ransomware, ou seja, de “sequestro de dados”, vêm se tornando cada vez mais comuns e mais caros. Segundo dados do IBM, a média do valor total de custos com violação de dados no mundo em 2022 foi de US$4.35M.

O próximo passo para proteger sua empresa 

Contar com o seguro cibernético de uma empresa que já nasceu online e que tem como objetivo tornar os seguros mais descomplicados não só garante um seguro cibernético pensado para riscos reais por especialistas atualizados como um monitoramento constante dos riscos e tudo isso de forma moderna e simples – como deve ser. 

Ficou na dúvida se sua empresa precisa de um seguro cibernético ou ainda não entendeu muito bem como essa apólice funciona? Entre em contato conosco para saber mais sobre nosso Seguro Cyber e fazer sua cotação. 

Como a Startup Enfrentou um Ataque de Ransomware e o Impacto nos Negócios

A empresa de que estamos tratando aqui – que vamos apelidar de CompanyCo – lida diretamente com operações de atendimento ao cliente às maiores empresas de telecomunicações, serviços financeiros, seguros, saúde e varejo do Brasil. Se você, leitor, mora no Brasil e não está isolado da sociedade moderna, seus dados pessoais possivelmente já passaram por essa empresa. Nome, e-mail, CEP… Tudo e mais pouco.

Ocorre que a CompanyCo foi mais uma vítima de um ataque de ransomware, assim como 51% das empresas envolvidas em ataques hackers no ano de 2021.

ℹ️  Ransomware é um tipo de crime cibernético em que os hackers criptografam e/ou se apossam dos dados de um sistema alvo. Depois, os hackers requerem um resgate (em inglês, ransom) em troca da devolução e/ou da não-divulgação dos dados em ambiente público.

A ferramenta utilizada no crime foi o LockBit 2.0, que funciona como Ransomware-as-a-Service (RaaS). A diferença entre um simples Ransomware e um RaaS é que, neste último, temos um programa de afiliados, estruturada para ampliar a capilaridade desses ataques. Ou seja, inspirado por redes como “Herbalife”, os cibercriminosos criaram seu próprio mecanismo de potencialização de canais de distribuição. Na prática, os afiliados são hackers com menor nível de conhecimento técnico. Em caso de sucesso do ataque, os afiliados recebem até ¾ do valor do resgate.

Estes afiliados basicamente “alugam” o serviço de ransomware da LockBit 2.0 e se ocupam da primeira tarefa necessária: criar uma porta de entrada dentro da entidade-alvo. Uma das principais ferramentas utilizadas para criar essa primeira porta de entrada é o phishing.

ℹ️ Phishing, é uma técnica de engenharia social utilizada para obter informações pessoais, convencer usuários a acessar links falsos e/ou baixar programas maliciosos em suas máquinas. São comunicações falsas, que buscam parecer ser de fontes confiáveis (como amigos, bancos ou empresas conhecidas).

A preparação da isca: como uma das maiores empresas de atendimento ao cliente do Brasil foi vítima de um ataque hacker

Tudo começa com um simples e-mail com intenções ocultas. Uma pessoa passando falsamente por outra de seu conhecimento ou por uma empresa em que normalmente você confia, a exemplo do e-mail como o abaixo.

“80% de desconto em cápsulas da café? Eu PRECISO disso!” – provavelmente seria a sua reação ou de algum conhecido seu após abrir este e-mail.

Te desperta a atenção, não?

A partir do momento, porém, em que você clica no link, é levado a um website falso que busca convencê-lo a baixar algum conteúdo com o software malicioso. Como, por exemplo, um simples catálogo de opções de cápsulas em PDF, em cujo documento se esconde um script pronto para instalar o citado LockBit 2.0 em sua máquina.

A encriptação dos dados e uma ameaça

É assim que o infeliz usuário – que apenas desejava as cápsulas de café por um preço mais acessível – carrega um programa malicioso em seu computador. Enquanto isso, o software atua de duas formas sem o conhecimento da vítima:

1. A criptografia de todos os arquivos da máquina, cuja descriptografação somente poderá ser feita com uma senha que somente os criminosos possuem;
2. A transferência de todos esses arquivos e dados para um diretório na nuvem em posse dos hackers.

Ao final dos processos 1 e 2, todos os arquivos originais foram completamente deletados da máquina da vítima, sem nenhuma possibilidade de recuperação. Não adianta procurar na lixeira – eles foram completamente apagados de sua máquina.

Em relação ao processo 1, caso sua companhia possua soluções de back-up, é relativamente simples a recuperação dos arquivos.

Porém, quanto ao processo 2, os hackers se utilizam da sua posição para chantagear os usuários e pedir grandes quantias em criptomoeda em troca da não-divulgação dos dados, por meio da seguinte tela:

Te garanto que ninguém espera uma mensagem dessas no computador.

 

No caso da CompanyCo, não foi revelada a quantia do resgate demandada pelos hackers, mas certamente girou em torno de alguns milhões de dólares, a exemplo do que ocorreu com o famoso caso envolvendo a JBS, em maio de 2021, cuja importância pedida foi de 11 milhões de dólares. A empresa relatou que pagou o valor requirido.

A restabilização dos sistemas – e uma alta reclamação dos clientes

Agora, imagine se um de seus principais fornecedores de serviços, que lida diretamente com dados sensíveis de clientes, passou por um ataque hacker. Concordamos que não é uma notícia muito agradável, certo?

Pois bem. A partir do momento em que a CompanyCo notificou seus clientes sobre o ataque, as conexões entre eles e o call center da empresa foram suspensas por ação da própria CompanyCo e por iniciativa de seus clientes que, por sua vez, tiveram de suportar as operações de atendimento com concorrentes da CompanyCo ou então por conta própria.

Dada a interrupção dos serviços, os destinatários finais (ou seja, clientes dos clientes da CompanyCo) abriram uma enxurrada de reclamações por conta da indisponibilidade de atendimento.

A divulgação impiedosa dos dados

A CompanyCo não fez nenhuma revelação em relação ao pagamento ou não dos valores pedidos pelos criminosos.

O fato é que, após 2 semanas do pedido de resgate, foi divulgado, no blog da LockBit 2.0, diversos dados supostamente vindos do computador do infeliz funcionário da empresa, vítima do ataque hacker. Sugere-se, pois, que a CompanyCo não pagou o ransom. Dizemos “sugere”, pois, existem situações em que, mesmo após a realização do pagamento do resgate, os dados da empresa atacada são divulgados.

Nesse caso, a lista de dados publicados apresentava informações pessoais como: nomes completos, e-mails e datas de nascimento de colaboradores e gestores, juntamente com arquivos internos e registros financeiros e corporativos.

Nessa lista, felizmente, não constavam dados pessoais dos destinatários finais atendidos pela CompanyCo.

De todo modo, além do incômodo relacionado à exposição de informações pessoais dos funcionários, os registros corporativos e financeiros podem ter sido facilmente obtidos por concorrentes que desejavam ter uma visão mais aprofundada da estratégia – antes sigilosa – da companhia.

O legado de um ataque hacker

Apesar da inconveniência trazida pela divulgação dos dados hackeados em si, a maior perda para a empresa foi, na verdade, a sua queda reputacional, o que dificultou a retenção dos clientes além da aquisição de novas contas.

O impacto contabilizado foi acima de US$ 46 milhões (R$ 230 milhões) e tão forte que a operação da empresa esperava uma alta de 6% na sua receita no ano do ataque, mas finalizou sem crescimento em relação ao ano anterior.

Uma nova visão sobre proteção a ataques cibernéticos

Aqui na Latú Seguros, nós entendemos o quanto um evento como o enfrentado pela CompanyCo desencadeia uma disrupção tremenda no negócio. Por isso, temos como meta a mitigação de eventos como estes no mundo corporativo, por meio do desenvolvimento de um seguro cyber dinâmico e proativo, no qual monitoramos os riscos em tempo real, em conjunto com os nossos clientes. Tudo isso feito para as empresas latino-americanas por latino-americanos.

Se quiser saber mais, explicamos mais detalhadamente sobre o nosso seguro cyber aqui.

#IncentivarACoragem

Os relatos aqui apresentados são baseados em eventos reais amplamente divulgados na mídia. No entanto, os cronogramas e identidades podem ter sido alterados para preservar as partes envolvidas e ilustrar melhor a situação.

Na Latú, somos especialistas em gestão de riscos empresariais, e entendemos os desafios que as empresas enfrentam. Você sabia que:

• 18% de empresas jovens fracassam devido a desafios legais
• Mais de 50% das empresas sofreram pelo menos um ataque cibernético em 2021
• Empresas brasileiras pagaram um total de R$ 33 bilhões por processos trabalhistas em 2021
• Mais de 18.000 funcionários entraram com uma ação judicial contra empresas brasileiras em 2022 devido a horas extras

A boa notícia é que muitos desses riscos podem ser cobertos, ajudando sua empresa a mitigar perdas caso algo infeliz aconteça.

Por que o Risco é Importante na Gestão de Riscos Empresariais?

Na Latú, entendemos os riscos que vêm em conjunto com o crescimento de uma empresa. Sabemos que nesse caminho, muitas decisões arriscadas devem ser tomadas para continuar avançando rumo ao sucesso. E nós incentivamos você a fazer isto.

O que é Gestão de Riscos Empresariais?

Gestão de riscos empresariais refere-se a entender as ameaças potenciais que podem afetar a operacionalidade da sua empresa e controlá-las usando diferentes soluções, como ações preventivas/proativas ou compartilhando os riscos com outras pessoas para mitigar os potenciais resultados dessas ameaças.

Tipos de Riscos na Gestão de Riscos Empresariais

Existem várias maneiras de classificar os riscos, mas deixe-nos apresentar a nossa abordagem:

• Riscos puros internos: Como mitigar esse risco? Transferindo-o para uma seguradora com uma apólice de seguro cibernético ou seguro para empresas.
• Riscos especulativos internos: Como mitigar esses riscos? Contrate aconselhamento profissional de advogados e contadores para ter acordos sólidos.
• Riscos puros externos: Como mitigar esses riscos? Novamente, a melhor maneira de mitigar riscos puros é transferindo esses riscos para as seguradoras.
• Riscos especulativos externos: Como mitigar esses riscos? Faça uma sólida due diligence dos riscos derivados dessas novas atividades.

Estrutura de Gerenciamento de Risco na Gestão de Riscos Empresariais

1. Identifique seus riscos: Inclua riscos cibernéticos, segurança e privacidade dos dados, Lei Geral de Proteção de Dados (LGPD), e outros.
2. Avalie sua vulnerabilidade a esses riscos: Considere ataques cibernéticos, vazamento de dados pessoais, responsabilidade por Dados Pessoais e Corporativos, etc.
3. Desenvolva ações preventivas e proativas: Implemente segurança da informação, proteja-se contra malicious software ou malware, ransomware, phishing, Ataque DDoS (Distributed Denial of Service).
4. Contrate um seguro para cobrir os riscos que você não pode evitar: Considere seguro cibernético, seguro startups, seguro líderes, seguro D&O, seguro Cayman Sandwich.
5. Revise seu risco constantemente: Mantenha-se atualizado com as últimas tendências em segurança digital e regulamentações.

Essa metodologia pode ajudá-lo a manter sob controle as ameaças que podem afetar seu crescimento.

É por isso que existimos! Assim, podemos apoiar sua empresa a passar por esse processo e manter sua operação fluindo enquanto você cresce.

Quer saber como podemos transformar sua empresa em um foguete à prova de balas? começa aqui.

A História do Seguro e sua Evolução no Mundo Digital

Desde sempre, a humanidade tem buscado maneiras de desafiar e contornar as adversidades da natureza. Seja através da descoberta da penicilina, da invenção de fertilizantes químicos ou da criação da lâmpada elétrica, sempre buscamos soluções para melhorar nossa qualidade de vida. No entanto, uma invenção que muitas vezes é esquecida, mas que tem uma importância fundamental em nossa sociedade, é o mercado de seguros.

Como Surgiu o Conceito de Seguro?

A ideia do seguro não é algo recente. Ela surgiu como uma resposta a necessidades humanas de proteção contra riscos inesperados. Por exemplo, o Código de Hamurabi, datado de 1800 a.C., já estabelecia uma forma de proteção aos comerciantes que enfrentavam perdas devido a desastres naturais. Na China antiga, comerciantes dividiam suas mercadorias entre diferentes navios para minimizar perdas em caso de naufrágios. E em Roma, clubes foram formados para ajudar a cobrir os custos funerários de seus membros.

A Importância da Segurança Digital e do Seguro Cyber

Com a evolução da tecnologia e a digitalização de muitos aspectos de nossas vidas, os riscos também evoluíram. Hoje, enfrentamos ameaças como ataques cibernéticos, vazamento de dados pessoais e outros riscos relacionados à segurança da informação. A Lei Geral de Proteção de Dados (LGPD) foi criada para proteger os dados dos usuários, mas as empresas também precisam estar preparadas para enfrentar esses desafios. É aqui que entra o Seguro Cyber.

A Visão da Latú sobre o Mercado de Seguros

Na Latú, vemos o seguro não apenas como uma necessidade, mas como uma ferramenta que pode empoderar empresas e indivíduos. Muitos veem o seguro como algo complicado ou até mesmo desnecessário. No entanto, acreditamos que, ao voltar às origens do seguro e combinar isso com as necessidades modernas, podemos criar soluções mais eficazes e transparentes.

Estamos trabalhando para criar seguros que sejam claros e compreensíveis, que sejam éticos e que realmente atendam às necessidades de nossos clientes. Queremos que o seguro seja visto não como um “mal necessário”, mas como uma ferramenta valiosa.

O Futuro do Seguro na Era Digital

Com o apoio de investidores e uma equipe dedicada, estamos desenvolvendo ferramentas e seguros inovadores para atender às necessidades modernas. Algumas das soluções que estamos trabalhando incluem:

• Seguro D&O: para proteger líderes de empresas contra processos relacionados a sua gestão.
• Seguro de ataques cibernéticos: oferecendo monitoramento contínuo e proteção contra ameaças digitais.
• Parcerias estratégicas para redefinir o significado de seguros corporativos no mundo moderno.

Na Latú, nosso objetivo é incentivar a coragem e apoiar aqueles que estão dispostos a assumir riscos para criar um futuro melhor. E acreditamos que, com o seguro certo, podemos fazer exatamente isso.

O Crescimento das Empresas de Tecnologia e a Necessidade de Seguro Cyber

Em um mundo cada vez mais conectado, a inovação tecnológica é constante. Empresas de tecnologia estão emergindo rapidamente, trazendo consigo a necessidade de seguros especializados para enfrentar riscos cibernéticos. No coração deste movimento, engenheiros dedicados estão desenvolvendo produtos que transformam nosso cotidiano.

Segurança e Privacidade dos Dados nas Empresas SaaS

Com a inovação, no entanto, surgem vulnerabilidades. A crescente onda de produtos tecnológicos amplia as chances de vazamento de dados pessoais e outros desafios relacionados à segurança da informação. Este cenário é particularmente crítico para empresas SaaS, que não apenas desenvolvem, mas também armazenam softwares que são a espinha dorsal de muitos negócios.

Desafios da Segurança Digital e Ataques Cibernéticos

Mesmo estando imersos em um universo de códigos e inovações, muitos profissionais de tecnologia subestimam riscos que podem afetar seus clientes. A trajetória da saas.com é um exemplo vívido da importância da segurança digital.

Riscos Ocultos: A Conexão entre saas.com e Corporation.net

Saas.com, sinônimo de excelência, sempre buscou oferecer os melhores benefícios para seus colaboradores. Em pouco tempo, seu crescimento foi notável. No entanto, com o sucesso vieram desafios inesperados. Uma falha de segurança revelada por Corporation.net, um de seus maiores clientes, desencadeou uma série de eventos, incluindo ataques cibernéticos e phishing, que abalaram a confiança de seus parceiros e questionaram a integridade de suas políticas internas.

A Intervenção do Seguro Cibernético na Crise

O tumulto de reclamações e desentendimentos poderia ter sido o fim da saas.com. Contudo, uma escolha inteligente feita no início de sua trajetória provou ser vital. O seguro cibernético, muitas vezes subestimado, emergiu como o salvador silencioso, protegendo não apenas os aspectos financeiros, mas também a reputação da empresa.

A Relevância do Seguro em Face dos Riscos Cibernéticos

Na Latú, entendemos as pressões e os desafios do crescimento acelerado. Contudo, enfatizamos a necessidade de equilibrar ambição com cautela. Esta história nos ensina que, ao se preparar adequadamente para os desafios, como a Lei Geral de Proteção de Dados (LGPD) e responsabilidade pela segurança de dados, as empresas podem avançar com confiança.

Os eventos descritos são baseados em fatos reais. Detalhes foram adaptados para proteger a identidade dos envolvidos e enfatizar a lição principal.