Relatório de Resiliência Cibernética 2023

Esta é a parte 5 de 16 neste relatório.

October 11, 2023 / 4 minutos de leitura

Passos para minimizar o impacto do ciber-risco no risco sistêmico.

O risco sistêmico surge interna e externamente à organização e representa um efeito multiplicador na escala e abrangência de um incidente cibernético.

Principais conclusões

  1. A tarefa de gerenciar o risco sistêmico catapultou para o topo da lista de prioridades para a indústria de seguros.
  2. A Aon prevê que um único ataque cibernético significativo e bem-sucedido poderia potencialmente afetar até 20% das organizações em todo o mundo.
  3. Modelar eventos cibernéticos extremos pode expor riscos agregados e prever a probabilidade de um ataque.

Os ataques SolarWinds (2020) e Kronos (2021) tocaram o alarme de que o risco sistêmico é considerável. Milhares de empresas de diversos setores sentiram o impacto quando um ataque de ransomware comprometeu a nuvem privada da Kronos. As consequências generalizadas levantaram a questão crucial da responsabilidade do fornecedor e de quem era responsável pela perda após esse incidente.

O risco sistêmico é abrangente e provém principalmente de duas fontes: o uso difundido de tecnologias padrão e a natureza integrada de nossas economias globais. Reguladores prudentes estão preocupados com os riscos sistêmicos associados à agregação e acumulação. O risco agregado surge quando há uma dependência de toda a indústria em relação a um número limitado de provedores de tecnologia, resultando em um cenário em que uma única interrupção pode simultaneamente paralisar várias entidades. Por exemplo, se uma tecnologia crítica ficar offline, inúmeros bancos que dependem dela podem ser paralisados. Por outro lado, o risco de acumulação refere-se a vulnerabilidades sistêmicas compartilhadas devido à adoção de tecnologia comum dentro de uma indústria. Um exemplo seria vários bancos expostos à mesma vulnerabilidade de dia zero, que, se explorada, poderia causar danos generalizados.

O risco sistêmico surge tanto interna como externamente à organização e representa um efeito multiplicador na escala e no alcance de um incidente cibernético. Isso significa que as organizações individuais podem sofrer perdas financeiras significativas se os riscos sistêmicos não forem gerenciados de forma eficaz. Não é de surpreender, então, que a tarefa de gerenciar o risco sistêmico tenha se tornado uma das principais prioridades para a indústria de seguros. À medida que as ameaças cibernéticas evoluem, os modelos de quantificação de riscos e o planejamento de cenários estão sendo aprimorados para determinar com precisão o perfil de risco de uma organização. Isso informa a extensão da cobertura de seguro cibernético necessária para proteger contra possíveis perdas decorrentes de riscos sistêmicos. Assim como rastrear o caminho de uma tempestade, a modelagem de eventos cibernéticos extremos pode expor o risco agregado e prever a probabilidade de um ataque. A inteligência de dados, incluindo um mapa detalhado da infraestrutura tecnológica da organização (infraestrutura interna e de fornecedores terceirizados), ajuda a fornecer insights sobre o nível de conectividade, a sofisticação dos atores maliciosos e a consideração de mecanismos de segurança padrão que servem de base para os modelos de risco.

A pesquisa do grupo de Prática de Resseguro Cibernético da Aon indica que o impacto do ataque NotPetya em 2017, um exemplo primordial de um cenário de acumulação, representa apenas uma pequena fração da devastação potencial que poderia ser causada por ataques cibernéticos semelhantes, porém em maior escala. Imagine as possíveis consequências: A Aon prevê que um único ataque cibernético significativo e bem-sucedido poderia potencialmente afetar até 20% das organizações em todo o mundo. É um pensamento assustador. Previsivelmente, as seguradoras estão mais cautelosas ao emitir apólices e conscientes do potencial de pagar no futuro. Embora a taxa média de perda do setor tenha apresentado uma pequena diminuição de 67% para 66%, três quartos das 20 principais seguradoras viram suas taxas de perda mudarem em mais de 5%, tanto para cima quanto para baixo. Em resposta ao aumento da frequência de sinistros nos anos anteriores, as seguradoras passaram a exigir controles de segurança aprimorados para as empresas seguradas em 2022. Impulsionadas pelo aumento da frequência de sinistros nos anos anteriores, as seguradoras exigiram controles de segurança aprimorados para as empresas em 2022. Empresas que não investiram e não aprimoraram sua segurança viram restrições contratuais ou aumento de recusas de cobertura.

Existem mais exclusões no risco cibernético, e o risco agregado impulsiona o endurecimento ou a subscrição adicional. A frequência de perdas continua a diminuir desde o pico em 2021, mas ainda está mais alta do que em 2019. Em uma nota preocupante, a frequência de ataques de ransomware registrou um aumento acentuado, aumentando 49% no primeiro trimestre de 2023. Com uma frequência de sinistros melhorada e o ambiente de taxas sem precedentes que surgiu em 2022, prevemos um crescimento robusto do mercado. Isso sugere que o seguro cibernético pode se tornar um segmento de produto altamente lucrativo nos próximos anos.

Referências

1 “Risco Cibernético Sistêmico”. European Systemic Risk Board (ESRB). Relatório. Fevereiro de 2020.

2 “Agregação de Risco Cibernético”. DeNexus. Blog. 29 de novembro de 2021. https://blog.denexus.io/cyber-risk-aggregation | Buyer-Friendly Cyber and E&O Market: How to Take Advantage | Aon

3 Relatório de Seguro Cibernético de 2021 e 2022 da National Association of Insurance Commissioners (NAIC).

4 Mercado Cibernético e de Responsabilidade Civil Profissional Favorável ao Comprador: Como Aproveitar | Aon.


Produtos e serviços de seguros são oferecidos pela Aon Risk Insurance Services West, Inc., Aon Risk Services Central, Inc., Aon Risk Services Northeast, Inc., Aon Risk Services Southwest, Inc. e Aon Risk Services, Inc. da Flórida, e suas afiliadas licenciadas.

As informações contidas aqui e as declarações expressas têm caráter geral, não se destinam a abordar as circunstâncias de qualquer indivíduo ou entidade em particular e são fornecidas “apenas para fins informativos. Essas informações não substituem a orientação de um advogado ou de um profissional de segurança cibernética e não devem ser usadas para esse fim. Embora nos esforcemos para fornecer informações precisas e oportunas e usemos fontes que acreditamos serem confiáveis, não há garantia de que essas informações sejam precisas na data em que foram recebidas ou que continuarão a ser precisas no futuro.” como nas demais páginas.

Gerenciando a segurança cibernética através de seis temas de risco destacados.

Este relatório deste ano é um guia para líderes compararem a maturidade de risco de suas organizações em relação a empresas similares e para auxiliar na tomada de decisões mais assertivas sobre a gestão de riscos cibernéticos em seis temas de risco destacados: cibernético, operacional, da cadeia de suprimentos, interno, reputacional e sistêmico.