This post is also available in: Português Español
Apólices do tipo não estão ajudando na segurança digital, principalmente no caso dos ransomwares – mas podem evoluir para melhorar as defesas das empresas.
Existe um grande dilema atual com os seguros cibernéticos. Eles foram criados para segurar as empresas contra as consequências de invasões por crackers, incluindo a cobertura dos custos envolvidos. Mas alguns críticos argumentam que o seguro incentiva as vítimas de ransomware a simplesmente pagar o pedido de resgate, que será coberto pelas seguradoras, ao invés de ter a segurança adequada para evitar os ataques. Entretanto, as seguradoras argumentam que é o cliente que toma a decisão de pagar o resgate, e não eles.
Seria como adotar um comportamento relapso ao fazer seguro de um carro. Pelo fato de estar assegurado contra furtos, o proprietário pode deixar de travar as portas, erguer os vidros ou mesmo não consertar eventuais danos no sistema de alarme – ou sequer ter um alarme. Afinal, se acontecer algum sinistro, receberá uma determinada quantia de dinheiro previamente estabelecida em contrato.
Assim como esse comportamento não é exatamente ilegal, também não é produtivo ou adequado – e é no mínimo questionável. No caso de uma invasão por ramsomware, não é ilegal pagar aos criminosos o pedido de resgate, mas os especialistas alertam que isso dará aos golpistas mais recursos para criar novos ataques. E não é garantia de que tudo voltará ao normal, já que se trata de uma negociação com criminosos.
O tema foi debatido pelo Royal United Services Institute (RUSI) da Inglaterra, um dos órgãos mais antigos a reunir especialistas em segurança. De acordo com um artigo da instituição, que examina o seguro cibernético e o desafio da segurança digital, atualmente essa prática não apenas encoraja os crackers, como também não é sustentável para a indústria de seguro cibernético. Afinal, o ransomware já se tornou uma ameaça vital para algumas seguradoras.
“Até o momento, o seguro cibernético não correspondeu às expectativas de que pode funcionar como uma ferramenta para melhorar as práticas de segurança cibernética das empresas”, segundo o documento. “Mesmo sem querer, as seguradoras cibernéticas podem estar facilitando o comportamento dos criminosos virtuais, contribuindo para o crescimento das operações de ransomware”.
Pagar ou não pagar? Eis a questão
Quem sofre uma invasão e não paga o resgate pode realmente enfrentar semanas de inatividade, com custos enormes para as empresas que tentam restaurar suas redes do zero. Nesse contexto, de acordo com o RUSI, algumas vítimas de ransomware e suas seguradoras simplesmente pagam o resgate porque veem essa saída como tendo menor custo e tempo para a restauração dos sistemas.
“Existem preocupações generalizadas de que algumas seguradoras estão estimulando ataques de ransomware ao ver automaticamente o pagamento de resgate como primeira opção”, disse a instituição.
Algumas gangues de ransomware estão até mesmo buscando atingir empresas que já possuem políticas de segurança digital, porque acreditam que essa é a melhor maneira de garantir que ganharão dinheiro com sua invasão.
No entanto, o próprio RUSI acredita que os seguros cibernéticos podem ser protagonistas na interrupção do atual modelo de negócios do ransomware. Afinal, podem encorajar os segurados a melhorar suas defesas e evitar ao máximo que sejam vítimas de um ataque. Inclusive, um documento da entidade sugere que o seguro deve exigir controles mínimos de ransomware como parte de qualquer contrato de cobertura. Seria como aceitar apenas seguros de carros com um excelente sistema antifurto.
Controles do tipo incluem a correção oportuna de vulnerabilidades críticas em estruturas de TI externas, permitindo a autenticação multifator em serviços de acesso remoto, limitando o movimento lateral ao adotar a segmentação de rede – e implementando procedimentos para garantir que backups regulares sejam criados.
Mudanças à vista
Apesar de tudo, o cenário já começa a se transformar. De acordo com uma matéria recente no jornal Financial Times, as seguradoras já estão aumentando os prêmios e colocando em prática demandas mais rígidas em termos de estratégias de segurança cibernética usadas por empresas que desejam comprar seguros cibernéticos. O Washington Post também relatou que as seguradoras estão exigindo maior segurança e reduzindo os montantes de cobertura que estão dispostos a oferecer.
Todas essas recomendações podem evitar que um ataque de ransomware aconteça mais facilmente, ou mitigar os danos que uma invasão pode causar. Assim, pagar o resgate seria um último recurso, em vez de ser considerado como a decisão mais urgente a se fazer.
Isso também reduziria os riscos para o avanço da indústria de ciberseguro, reduzindo a necessidade de as seguradoras apoiarem pagamentos pesados por chaves de descriptografia. “O impacto do ransomware no setor de seguro cibernético enfatiza a necessidade de abordar alguns desses problemas e questões mais cedo ou mais tarde. Como algumas seguradoras correm o risco de serem sobrecarregadas por perdas, o setor e os governos precisam reagir rapidamente para garantir proteção e cobertura adequadas para as empresas”, disseram os pesquisadores da RUSI.
Entretanto, no contexto atual, os seguros cibernéticos não parecem estar ajudando a melhorar a segurança cibernética. “Entrevistados de todo o governo, indústria e negócios afirmaram consistentemente que os efeitos positivos do seguro cibernético sobre a segurança cibernética ainda não se materializaram totalmente”, disse o relatório. Ou seja, o melhor remédio continua sendo a prevenção constante e eficaz – estando segurado ou não.
This post is also available in: Português Español
