Por Danielle M. Gardiner, CPA, CFF, e Joseph Lazzarotti
Contribuição: Shiraz Saeed
Data de publicação original: novembro/dezembro de 2021, Revista Claims Magazine
Quando se trata de riscos de cibersegurança, o setor de seguros realmente não pode escapar da experiência. “Não há um segmento de negócios que possa se esconder disso”, explica Shiraz Saeed, vice-presidente e líder de produtos de risco cibernético do Arch Insurance Group.
Incidentes de segurança cibernética, como violações de dados ou ataques de ransomware, estão se tornando tão frequentes que podem ser insuportáveis para as seguradoras “Gerenciar o risco cibernético é complicado. Tentar descobrir a probabilidade de uma organização ser hackeada é muito desafiador, existem ferramentas que podem ajudar as organizações com a previsibilidade de uma falha de segurança de rede, mas essa ainda não é uma ciência perfeita. Em vez de pensar na probabilidade disso possivelmente acontecer com sua organização, você deve assumir que sim e investir em pessoas, ferramentas, políticas, procedimentos e controles para ajudar a mitigar o risco. Ter uma organização com um modelo maduro e robusto de gerenciamento de riscos de cibersegurança reduz as chances de sua organização ser vítima de um incidente cibernético”, observa Saeed.
A questão é, como podemos limitar a exposição? Na esteira de um incidente de dados, existem várias despesas e passivos que terão que ser pagos — muitos dos quais estão contemplados em uma apólice de seguro cibernético. Isso incluiria despesas legais, cibersegurança forense, relações públicas, negociação e pagamentos de pedidos de resgate, recuperação de dados ou perda de renda empresarial. Isso se aplicará à maioria das organizações que possuem um modelo de negócios B2B (Business-to-Business). Se a organização for direcionada diretamente ao consumidor ou tiver um modelo B2B onde a organização tem acesso às informações privadas ou sistemas de computador de seus clientes, veremos potencialmente a necessidade de ter que notificar e fornecer monitoramento de identidade para indivíduos impactados e pode haver processos judiciais de indivíduos ou de outras empresas ou de agências reguladoras, dependendo das leis de privacidade que podem ter sido impactadas.
O quadro geral é o seguinte: Quando ocorre uma perda cibernética, as seguradoras estão, em primeiro lugar, preocupadas em restabelecer novamente seus segurados. Mas à medida que a poeira assenta e o quadro completo da perda vem à tona, rapidamente descobre-se que uma brecha significa mais do que avisos e monitoramento de crédito. Os reguladores têm que olhar para onde está a falha e quem deve ser responsável. A subrogação é um meio eficaz de responsabilizar as partes causadoras e, por sua vez, ajudar a diminuir a carga financeira da seguradora. Mas nem sempre é tão simples quanto parece.
SUBROGAÇÃO CIBERNÉTICA: QUEM É, EM ÚLTIMA ANÁLISE, RESPONSÁVEL?
Para terminar em subrogação, o assunto naturalmente será multipartidário (leia-se: complexo). No final do dia, há um terceiro (ou vários terceiros) envolvido cujas ações ou inércia permitiram que a violação ou incidente cibernético ocorresse à empresa segurada.
Considere o seguinte cenário:
A ABC Corp. é uma varejista nacional de vestuário. As vendas são realizadas por meio de uma rede de proprietários de quiosques locais em shopping centers por todo o país que contam com a ABC para suporte a vendas, apoio administrativo de back-office e processamento de pagamentos. A ABC contrata uma empresa de TI local para fornecer o gerenciamento de serviços em conformidade com a PCI (Payment Card Industry) e segurança de dados. A empresa de TI falha em cuidar dos sistemas da ABC e, em 15 de dezembro, a ABC sofre um ataque de ransomware orquestrado pelo grupo Conti.
O ataque prejudica os sistemas da ABC e os atores de ameaças afirmam ter extraído 50Gb de dados, incluindo dados de pagamento de clientes. Como resultado do ataque, os proprietários dos quiosques são significativamente afetados. Os proprietários (i) não podem processar pagamentos, pois as transações em dinheiro são limitadas, forçando muitos a fechar, e (ii) não estão recebendo novas remessas de mercadorias para a temporada de compras de Natal porque os pedidos não podem ser feitos ou enviados.
Após três semanas, os sistemas são restaurados, mas a ABC determina que os atores de ameaças extraíram dados de cartões de pagamento e de cadastro dos clientes. A ABC notifica prontamente 2 milhões de clientes em 10 de janeiro do ano seguinte, muitos dos quais expressam raiva dos proprietários dos quiosques locais.
Este cenário oferece muitos caminhos para entender como um regulador de sinistros poderia abordar a subrogação, primeiro determinando o caminho da insegurança e segundo, determinando quem é o responsável pela perda final.
Em nosso cenário, o segurado é o lojista e um regulador de sinistros gostaria de estabelecer a participação acionária entre os proprietários dos quiosques e a Companhia ABC. Quando há um franqueado e um franqueador, normalmente há um acordo que fala da propriedade, processamento e segurança das informações dos clientes. Normalmente, o franqueador quer possuir todas as informações do cliente. Os franqueadores também tendem a ditar o sistema de PDV, que no caso do varejista provavelmente também inclui gestão de estoque e logística. É o caso do nosso segurado, ABC.
Assim, mesmo que a ABC Co. não seja dona dos quiosques, seus sistemas estão conectados aos sistemas da ABC e estão processando as informações pessoais dos clientes. Quem é realmente responsável, então? O franqueador ou o franqueado? É aí que a subrogação poderia entrar em jogo. Mas há a empresa de TI que gerencia o sistema de PDV da ABC. Quem trouxe a empresa de TI? Foi o franqueador? Eles foram necessários ou escolhidos? Esta é mais uma variável que entrará em jogo.
A história da ABC Co. é um cenário típico de resgate. O regulador gostaria de considerar a perda total incorrida entre legal, forense, notificações, investigação e penalidades do PCI, monitoramento de identidades, relações públicas, recuperação de dados, substituição/atualização de sistemas e equipamentos, renda empresarial, pagamento de acordos processuais e realização do trabalho regulatório. Este é o caso de muitos seguros. Se custar à seguradora US$ 10 milhões, torna-se o objetivo do regulador subrogar e recuperar o dinheiro.
Todas as perdas desencadeadas sob o acordo de garantia neste cenário estão ligadas de volta à falha de segurança e/ou à perda das informações privadas. Neste caso, está entrelaçado. O regulador pode determinar que isso não teria acontecido, se não fosse pelo fornecedor de TI.
A ADIÇÃO DE LUCROS CESSANTES À EQUAÇÃO
Os lucros cessantes no cenário descrito acima considerará o lucro ou prejuízo líquido que teria sido obtido mais os custos e despesas fixos que devem necessariamente continuar durante o período de restauração. A medição dos lucros cessantes começará oito horas após o ataque de ransomware interromper as operações comerciais da ABC durante o período de restauração que termina quando o sistema da ABC Co. for restaurado. Neste caso, é determinado que o período de restauração será de três semanas.
O contador forense vai medir a perda de renda resultante da incapacidade dos donos de quiosques da ABC de realizar negócios. Além disso, a ABC está recorrendo à sua apólice para a perda futura de renda resultante de sua incapacidade de fazer pedidos para a temporada natalina. Neste caso, existem várias considerações que o contador forense terá que contemplar e discutir com a seguradora no que se refere à aplicação da apólice.
Caso a seguradora determine que o período de restauração termine na data e hora em que os sistemas são restaurados, isso impede o contador forense de considerar a perda futura de renda que pode ocorrer devido à redução dos níveis de estoque nos quiosques, resultando em sua incapacidade de atender à demanda prevista para ocorrer durante a temporada de compras de Natal?
O contador forense pode considerar o aumento imediato das vendas ocorridas em vários quiosques uma vez que o sistema é restaurado e os quiosques começam a operar? Será que a seguradora considerará o aumento das vendas como “make-up” ou “receita atrasada”, e se assim for, qual é o tempo razoável para incluir esses aumentos como uma compensação às vendas perdidas?
A cláusula de perda comercial por dependentes responde pelas empresas que vendem a mercadoria aos quiosques da ABC para os pedidos que não foram colocados? Neste caso, se houver cobertura para perda de negócios por dependentes, esta estará sujeita a um sub-limite.
A apólice neste caso também responderá à consequente perda de reputação, que ocorrerá durante o período de notificação que é o período de 30 dias a partir de 10 de dezembro, quando os 2 milhões de clientes foram notificados. O contador forense vai medir a perda de renda que a ABC está impedida de ganhar como resultado direto dos danos à reputação da ABC causados pela violação real da segurança. A análise da perda de renda para este período conflitará com a perda potencial de faturamento experimentado devido à redução dos níveis de estoque por causa do incapacidade de fazer pedidos.
A ABC Co. fará o que for razoavelmente necessário para garantir tais direitos e é obrigada a não prejudicá-los. A documentação e as informações fornecidas pela ABC Co. servirão de base para o cálculo de lucros cessantes do contador forense. Essa documentação e informação, juntamente com a análise do contador forense, servirão de base para as recuperações buscadas durante a subrogação, específicas para a interrupção do negócio e quaisquer despesas extras. O contador forense pode antecipar que sua análise ficará sob o escrutínio da seguradora da empresa de TI, e pode ser necessário que o contador forense forneça mais explicações e bases para o seu cálculo de lucros cessantes.
O CAMINHO PARA A SUBROGAÇÃO BEM SUCEDIDA
Como a seguradora, neste caso, pode encontrar com sucesso seu caminho através de uma subrogação cibernética? Neste exemplo fictício da empresa de vestuário ABC, uma vez que os pagamentos são feitos pela operadora, é provável que a seguradora vá avançar com seus direitos de recuperação na subrogação contra a empresa de TI da ABC.
Aqui, oferecemos três considerações:
1. Contratos: A linguagem contratual com terceiros o favorece ou proíbe você de ir atrás do dinheiro?
2. Evidência: Você tem provas de que o terceiro foi o culpado?
3. Capacidade de pagamento: O terceiro tem a capacidade de pagar? Eles têm espaço na política de E&O para cobrir a perda?
Os riscos de cibersegurança são reais. A sensação desconfortável que as seguradoras têm é real. E quando uma perda ocorre, ela realmente se resume a duas coisas para as seguradoras: indenizar ou não e se ela poderá receber seu dinheiro de volta. Como o cenário deste artigo prova, nem sempre é um processo simples, mas com algumas considerações básicas em mãos, os ajustadores podem tomar decisões mais inteligentes sobre como proceder.
Reimpresso com permissão da edição de novembro/dezembro de 2021 da Revista Claims. © ALM 2021. Outra duplicação sem permissão é proibida. Todos os direitos reservados.