Um órgão de fiscalização do governo alertou que as companhias de seguros privadas estão cada vez mais recuando na cobertura de danos causados por grandes ataques cibernéticos – deixando as empresas americanas enfrentando “perdas financeiras catastróficas”, a menos que outro modelo de seguro possa ser encontrado.
O crescente desafio de cobrir o risco cibernético é descrito em um novo relatório do Government Accountability Office (GAO), que exige uma avaliação do governo sobre a necessidade de uma opção de seguro cibernético federal.
O relatório baseia-se em avaliações de ameaças da Agência de Segurança Nacional (NSA), Escritório do Diretor de Inteligência Nacional (ODNI), Agência de Segurança Cibernética e Infraestrutura (CISA) e Departamento de Justiça para quantificar o risco de ataques cibernéticos em infraestrutura crítica, identificando tecnologias vulneráveis que podem ser atacadas e uma série de agentes de ameaças capazes de explorá-las.
Citando uma avaliação anual de ameaças divulgada pelo ODNI, o relatório conclui que grupos de hackers ligados à Rússia, China, Irã e Coreia do Norte representam a maior ameaça à infraestrutura dos EUA – junto com certos atores não estatais, como gangues cibercriminosas organizadas.
Dada a ampla e cada vez mais qualificada gama de atores dispostos a atacar entidades dos EUA, o número de incidentes cibernéticos está aumentando a um ritmo alarmante.
“Embora as agências federais não tenham um inventário abrangente de incidentes de segurança cibernética”, diz o relatório, “várias fontes federais e do setor importantes mostram (1) um aumento na maioria dos tipos de ataques cibernéticos nos Estados Unidos – incluindo aqueles que afetam infraestrutura crítica e ( 2) custos significativos e crescentes para ataques cibernéticos.”
Em 2016, empresas e órgãos públicos dos EUA foram atingidos por um total de 19.060 incidentes nas quatro principais categorias – ransomware, violações de dados, comprometimento de e-mail comercial e ataques de negação de serviço – com um custo total de US$ 470 milhões, por uma análise do GAO de Relatórios do FBI. Em 2021, houve 26.074 incidentes e o custo total foi próximo a US$ 2,6 bilhões.
O relatório também cita incidentes específicos que tiveram um efeito de transbordamento na economia em geral, principalmente o ataque cibernético ao Oleoduto Colonial que desativou uma operação de transporte de combustível de 5.500 milhas de comprimento. Nesse ataque, o operador do oleoduto pagou um resgate de US$ 4,4 milhões aos hackers – apesar do conselho das agências de aplicação da lei de que as demandas de resgate sempre devem ser rejeitadas.
Assustadas com a possibilidade de ter que cobrir perdas tão grandes, as seguradoras privadas estão recuando do mercado, excluindo alguns dos ataques cibernéticos de mais alto nível de serem cobertos por apólices de seguro. Embora as violações de dados e os ataques de ransomware geralmente ainda sejam cobertos, o relatório conclui que “as seguradoras privadas estão tomando medidas para limitar suas perdas potenciais de eventos cibernéticos sistêmicos”, recusando-se a cobrir perdas incorridas por atos de guerra cibernética ou direcionamento deliberado de infraestrutura.
De acordo com o Departamento do Tesouro dos EUA, algumas seguradoras também vêm mitigando sua exposição diminuindo o valor máximo que uma apólice pagará no caso de um ataque cibernético e/ou aumentando os prêmios na tentativa de se proteger de perdas. Há mais evidências de que algumas seguradoras estão recuando totalmente da cobertura nos setores de infraestrutura, descobriu o GAO, julgando o risco de ataque como muito alto.
No geral, o relatório do GAO sugere que a CISA e o Departamento Federal de Seguros realizem uma avaliação sobre se os fatores acima exigem uma resposta de seguro federal nos moldes do seguro FDIC para depósitos bancários e do Programa Nacional de Seguro contra Inundações.
