O alcance mundial da internet promoveu uma verdadeira
revolução em todos os setores da sociedade
A rede mundial de computadores, criada durante o período da
Guerra Fria, com o propósito de interligar dados entre computadores do exército
norte-americano, consolidou-se anos mais tarde, na década de 1990, em virtude
da conjugação dos seguintes fatores: a descoberta da World Wide Web, por
Berners-Lee, e sua disposição em compartilhar o código fonte para fins de
melhoramento por parte de uma comunidade mundial de usuários, juntamente
com a abertura dos protocolos TCP/IP; a mudança institucional no gerenciamento
da internet, que passou a ser mais frouxo e privatizado, e; as grandes
alterações no comportamento sociocultural dos usuários, que, segundo Castells1,
deixaram de figurar, exclusivamente, como receptores das mensagens.
O alcance mundial da internet promoveu uma verdadeira
revolução em todos os setores da sociedade. Na comunicação, as barreiras foram
rompidas em razão da possibilidade de a informação poder ser "processada,
selecionada e recuperada para satisfazer as necessidades mais especializadas e
individualizadas"2.
O ambiente laboral, por sua vez, também vem trilhando um
caminho disruptivo, em um processo gradual de substituição do modelo de
produção baseado em maquinários pesados da indústria (tecnologia de produção)
por profissionais que, conectados à rede mundial de computadores, manipulam
tecnologias da informação. Nessa toada, insta destacar que "dada a
importância assumida pela característica de preponderância das tecnologias de
informação e comunicação, a sociedade pós-industrial passou a ser chamada de
sociedade de informação (...)3".
A informação, no Brasil, alçou status de direito fundamental
com a promulgação da Constituição Federal de 1988, cuja sustentação
normativa se encontra presente em inúmeros incisos do art. 5º, e, mais; no art.
37, § 3º, inciso II; no art. 93, inciso IX; no art. 216, § 2º; e no art. 220,
caput e parágrafos. O referido direito encontra guarida, ainda, no art. 19 da
Declaração Universal dos Direitos do Homem e no art. 10 da Convenção Europeia.
Para além de um direito fundamental e humano, a informação é
considerada, hoje, um dos bens mais valiosos das empresas, razão por que passou
a ser chamada de "novo petróleo".
Considerar "Dados como o novo petróleo", como
disse Humby, talvez não represente o tamanho do desafio que recai agora
sobre as corporações, que precisam garantir a segurança dessas informações —
afinal, tal como o petróleo, "danos ao ecossistema" de dados são uma realidade.
No evento de um furto, ou subtração de qualquer quantidade de petróleo, a
ausência deste bem pode ser visualmente determinada, pois o barril não estará
mais no lugar onde estava, ou o volume armazenado será menor. No caso do furto
de dados isto não acontece. O conjunto original pode ser mantido exatamente
como estava, dificultando a identificação do evento de cópia e extração.
Roubam-se cópias, que são igualmente preciosas. A conhecida tríade de
Confidencialidade, Integridade e Disponibilidade está sob constante risco, pois
à medida que dados pessoais ou de negócios aumentam no volume captado e
processado, eleva-se para as empresas o valor deles, bem como os riscos
envolvidos4.
Com o advento do século XXI, adentramos na pós-modernidade,
ou, como nominado pelo filósofo e sociólogo polonês Zygmunt Bauman5, na
"modernidade líquida".
Nada mais permanece estático, preso ao status quo.
Adaptamo-nos às novas tecnologias que se formam e às velhas que se transformam,
só não esperávamos mudanças tão substanciais, em um curto espaço de tempo, como
a que se se deflagrou com a pandemia da covid-19.
É fato que, nos últimos meses, o mundo contemporâneo se viu
diante do seu maior desafio, qual seja: tocar a vida com o isolamento social.
Nessa toada, descurando-se, momentaneamente, do evidente problema de saúde
pública, não há como deixar de notar que as empresas, em grande parte, migraram
seus escritórios para o ambiente remoto das casas de seus colaboradores.
Recentes pesquisas apontam que, no ano de 2018, o home
office correspondia a 5,2% do total de pessoas ocupadas no país6, enquanto
que, em março de 2020, o "escritório em casa" se tornou o
principal modelo de trabalho para
43% das empresas brasileiras durante a pandemia do novo coronavírus7.
Essa mudança de urgência, consabido, não pudera ser
precedida de longo planejamento, o que acabou possibilitando o enfraquecimento
da segurança dos dados e informações alocados nas atividades profissionais
através do home office. Não à toa, em recente relatório publicado pela
Europol8, foi verificado o aumento dos ataques cibernéticos durante a pandemia da
covid-19:
Cybercriminals have been among the most adept at exploiting
the covid-19 pandemic for the various scams and attacks they carry out. With a
record number of potential victims staying at home and using online services
across the European Union (EU) during the pandemic, the ways for cybercriminals
seeking to exploit emerging opportunities and vulnerabilities have multiplied.
Os cibercriminosos aproveitam o fato de, em razão da
pandemia, muitas pessoas haverem passado a trabalhar em casa, não raras vezes com
sistemas de segurança desatualizados, para, então, praticarem phishing9,
roubando dados e informações sigilosas das empresas. Outrossim, nota-se, ainda,
que o aumento de tráfego remoto na rede potencializa a sobrecarga dos sistemas
corporativos.
Como o título do presente artigo já antecipou, essa
ambientação pandêmica traz à arena pública de debates a necessidade de olharmos
com mais atenção para o, ainda pouco conhecido, seguro para riscos
cibernéticos.
Isso porque, um ataque cibernético pode acarretar
consequências implacáveis para uma empresa, e, consequentemente, para a
economia. Imaginemos, a título exemplificativo, uma situação em que um terceiro
assume o controle da database de uma empresa. Tal fato poderá ensejar
a destruição de dados, bloqueio de acesso, divulgação de dados confidenciais
etc.
Uma pesquisa recente do Lloyd’s e da Cyence, empresa do
setor de modelagem analítica de riscos cibernéticos, também constatou o grande
prejuízo de uma invasão eletrônica. Um ciberataque de proporções inimagináveis
pode causar perdas financeiras de até US$ 53 bilhões. A pesquisa revela o
impacto econômico de dois cenários: um hack malicioso que derruba um provedor
de serviços de nuvem com perdas estimadas nestes mesmos US$ 53 bilhões e falha de
um sistema operacional crítico administrado por empresas, podendo gerar perdas
de US$ 28,7 bilhões. Os resultados revelam: apesar da demanda por proteção
contra riscos cibernéticos seguir em crescimento, a maioria destas perdas não
está segurada, o que deixa um déficit de bilhões de dólares em seguros10.
Dada a importância do tema, fora publicado, no último dia 6
de fevereiro de 2020, o decreto 10.222/2020, da Presidência da República,
aprovando a Estratégia Nacional de Segurança Cibernética. Seu escopo consiste
em orientar a sociedade acerca das ações aspiradas pelo Governo na área de
segurança cibernética para o período de 2020 a 2023.
No âmbito das relações empresariais, no entanto, é premente
a necessidade de redução dos riscos cibernéticos da atividade por meio, dentre
outras medidas, de apólices que prevejam danos dos mais diversos.
O seguro para riscos cibernéticos surge, então, como um
remédio para mitigar os prejuízos gerados por um ataque cibernético. Caso uma
empresa seja vítima de algum ataque ao seu sistema, existem apólices que
permitem que o seguro seja acionado para cobrir despesas como (I) custos de
defesa, civil ou criminal, relacionados a uma queixa de vazamento de dados;
(II) despesas com assessoramento jurídico e investigativo; (III) gastos visando
abrandar os danos à reputação da pessoa (física ou jurídica) afetada pelo
crime; (IV) custos incorridos para a notificação de uma violação de dados aos
usuários; (V) e lucros cessantes. Ademais, a seguradora pode disponibilizar
prestadores de serviços especializados para mitigar os riscos e/ou danos em
caso de sinistro.
Cotejando as condições gerais de algumas das maiores
seguradoras do país, no entanto, percebemos exclusões de cobertura comuns, como
(I) ações dolosas ou negligentes pelo segurado; (II) reclamações ou
circunstâncias anteriores à contratação; (III) guerras, saques e atos
governamentais, a exemplo de confisco e requisição; (IV) poluição; (V)
desastres naturais; (VI) atos de terrorismo, além de inúmeras outras. Ainda,
"é praxe no mercado a exclusão de riscos em caso de sinistros associados a
epidemias e pandemias declaradas por órgãos competentes"11.
Outrossim, é comum encontrar cláusula de "perda de
direitos", prevendo situações nas quais o segurado poderá perder o direito
à indenização, como, por exemplo, deixar de comunicar à seguradora, logo que
saiba, qualquer fato suscetível de agravar o risco coberto, se ficar comprovado
que silenciou de má-fé.
No velho continente, o mercado de seguros para riscos
cibernéticos está crescendo cada vez mais rápido. O relatório da European
Insurance and Occupational Pensions Authority – EIOPA12 indica um aumento
de 72%, na Europa, da compra desse seguro, de 2017 para 2018. Esse aumento
decorreu, principalmente, da entrada em vigor da GDPR, em 25 de maio de 2018.
A GDPR, ou, em português, a Regulação Geral de Proteção
de Dados é uma nova regulação adotada pela União Europeia e
que entrou em vigor em 25 de maio de 2018.
A lei foi criada com a intenção de proteger a privacidade
dos dados pessoais de cidadãos europeus (...) O objetivo
principal da lei é de evitar o vazamento de informações, que, por
definição, é um incidente de segurança da informação envolvendo processamento
de dados sensíveis ou confidenciais em desconformidade legal,
seja de maneira intencional ou não.13
Uma outra causa para o aumento na contratação de seguros
dessa espécie, na Europa, remonta a casos recentes atinentes a grandes empresas
que tiveram seus dados violados. No final de 2019, por exemplo, o conglomerado
industrial norueguês, com empresas de produção de alumínio e energia
renovável, Norsk Hydro, teve 22 mil computadores desligados em 170 locais
diferentes, em todo o mundo, após um ataque de ransomware14. Depois dos
ataques, a empresa fez diversas declarações públicas alegando que contava com
uma robusta política de seguro cibernético.15
Embora o Brasil seja o terceiro país com maior número de
ataques cibernéticos, de acordo com o último relatório
global da Symantec16, o seguro ainda não entrou com força no mercado
securitário nacional, sendo desconhecido por expressiva parcela da população, e
destituído de regulação específica, enquadrando-se como um novo ramo do Grupo
03 (Responsabilidades) do anexo I da circular Susep 535/2016, o ramo 27 (Compreensivo
Riscos Cibernéticos).17
Além da pandemia da covid-19 que, como visto, contribui
potencialmente para a vulnerabilização da segurança cibernética, o que,
portanto, reclama maior atenção para a contratação securitária em comento, não
podemos nos descurar que, em agosto do corrente ano, entrará em vigor a Lei
Geral de Proteção de Dados – LGPD.
Esses dois fatores conduzem a uma amplificação da
importância e notoriedade do seguro. Afinal, quando ocorre um crescimento
vertiginoso da adoção do regime de teletrabalho, o número de crimes virtuais
acompanha esse aumento. Aliado a isso, existindo norma específica prevendo a
responsabilização das empresas que sofrerem vazamentos de dados de terceiros,
torna-se, não apenas objeto de interesse, mas uma ferramenta essencial, um
mecanismo que mitigue os danos causados por crimes cibernéticos.
Alerte-se, por fim, que as empresas que já contam com a
proteção do seguro em debate, quando da migração para o home office,
devem, imediatamente, comunicar tal fato às seguradoras, à luz do princípio da
boa-fé objetiva, especialmente no tocante ao duty to mitigate the loss,
para que não se subsumam às chamadas cláusulas de "perda de direitos"
(perda de direito à indenização por agravamento do risco), já que, como arguido
alhures, a migração para o "escritório em casa" potencializa os
riscos cibernético.
Fonte: Migalhas
