Fonte: Risk Management Magazine

https://www.rmmagazine.com/articles/article/2025/07/24/learning-lessons-from-cyber-insurance-claims

Jeremy Gittler | 24 de julho de 2025

Por trás de cada sinistro de seguro cibernético, há uma história que vai além do que aconteceu, como começou e qual o valor da perda financeira que o sinistro gerou. Os sinistros cibernéticos podem oferecer insights que ajudam as organizações a mitigar perdas futuras. Ao mostrar vulnerabilidades e áreas para melhoria, os sinistros podem, em última análise, ajudar as organizações a trilhar seu caminho rumo à resiliência.

As tendências recentes em sinistros cibernéticos mostram que os custos com incidentes — a soma de todos os tipos de custos ou despesas associados a um evento cibernético — permanecem alarmantemente altos para empresas de todos os portes. A edição mais recente do Estudo de Sinistros Cibernéticos da NetDiligence , por exemplo, mostra um custo médio por incidente em cinco anos de US$ 937.000 para pequenas e médias empresas (aquelas com receita anual inferior a US$ 2 bilhões) e US$ 36,1 milhões para grandes empresas (aquelas com receita superior a US$ 2 bilhões).

As fontes de custos de incidentes para organizações podem incluir: retenções auto-asseguradas; interrupção de negócios; custos de serviços de crise, como treinamento para violações, perícia, notificação e relações públicas; e despesas legais e regulatórias, como despesas de defesa em processos judiciais, acordos e multas regulatórias.

Em empresas de todos os portes, o ransomware foi o principal responsável por reclamações nos últimos cinco anos, seguido por comprometimento de e-mails comerciais e invasão de computadores. Em organizações de todos os portes, a interrupção de negócios é responsável por uma proporção significativa dos custos com incidentes, segundo a NetDiligence. O custo médio de interrupção de negócios em cinco anos, de US$ 464.000 para pequenas e médias empresas, representou quase 50% do custo médio de incidentes, de US$ 937.000. Entre as grandes empresas, o custo médio de negócios em cinco anos, de US$ 26,1 milhões, representou mais de 72% do custo médio de incidentes, de US$ 36,1 milhões.

Considerando esses custos e a natureza evolutiva dos riscos cibernéticos, é fundamental que os profissionais de risco ajudem suas organizações a identificar e lidar com as exposições em seus sistemas e operações comerciais. Uma boa maneira de fazer isso é aprender com sinistros cibernéticos anteriores e aplicar essas lições à resiliência da organização a incidentes futuros.

Um Conto de Duas Reivindicações

Considere dois exemplos reais de sinistros cibernéticos. No início de 2025, duas organizações de diferentes setores foram vítimas de um ataque de ransomware na mesma semana. Os ataques envolveram a variante CHAOS, uma nova forma de malware na época. Cada organização tinha o mesmo valor de seguro cibernético e ambas tinham retenções auto-asseguradas idênticas. Cada uma delas também enfrentou um pedido de resgate multimilionário, que as organizações estavam dispostas a pagar. É aí que as semelhanças terminam.

A primeira organização vítima, uma empresa de serviços empresariais, estava preocupada em manter a confidencialidade — um requisito fundamental para seus clientes — e considerou pagar o resgate para impedir que o agente da ameaça divulgasse dados confidenciais. Essa estratégia de resposta é conhecida como "supressão de dados" e não é recomendada, pois não há uma maneira eficaz de verificar se o agente da ameaça excluiu todas as informações expostas. Em vez de gastar recursos com o resgate, o dinheiro pode ser usado para despesas de defesa jurídica caso a divulgação de dados confidenciais resulte em um processo judicial. Mesmo assim, a organização buscou negociar com o agente da ameaça.

Um fator que funcionou a favor da organização foi a manutenção de backups viáveis de seus dados. Backups viáveis permitiram que a organização continuasse operando com tempo de inatividade mínimo. Por isso, a organização não precisou de uma chave de descriptografia do invasor. A organização pôde, portanto, dedicar mais tempo ao processo de negociação, o que, em última análise, lhe deu margem para reduzir o pedido de resgate.

A segunda organização, uma fabricante, estava em uma situação diferente. A empresa precisava de uma chave de descriptografia porque seus backups de dados estavam comprometidos, causando atrasos significativos em suas operações comerciais. Essa organização estava preocupada com o aumento das despesas e queria resolver a demanda por extorsão com urgência.

Negociar com agentes de ameaças sobre extorsão cibernética é um processo delicado, conduzido por profissionais que frequentemente possuem habilidades policiais e de negociação com reféns. O conhecimento da variante de malware usada em um ataque de ransomware também é útil para os negociadores, pois pode oferecer pistas sobre as tendências do agente de ameaças e orientar táticas de negociação.

Nos casos recentes, no entanto, não havia informações sobre a variante CHAOS ou possíveis grupos de ransomware que a utilizavam. De fato, como o tempo de resposta ao contato de cada organização vítima variou, os autores da ameaça por trás de cada ataque podem ter sido pessoas diferentes. Uma organização recebeu uma resposta rápida do autor da ameaça, enquanto a outra demorou dias para responder.

Após 10 dias de negociação, a primeira organização vítima reduziu a tentativa de extorsão do autor da ameaça para 15% da demanda inicial, e o autor da ameaça concordou em destruir os dados que possuía. A segunda organização vítima precisou de quatro dias de negociação para resolver a tentativa de extorsão por menos de um terço da demanda inicial do autor da ameaça, receber uma chave de descriptografia e recuperar o acesso aos seus dados.

Apesar das diferentes abordagens para resolver as duas reivindicações de ransomware, cada segurado conseguiu chegar a um resultado favorável e retomar as operações comerciais devido às suas apólices de seguro cibernético e recursos associados.

Analisando as causas raiz 

Profissionais de risco devem analisar incidentes cibernéticos sob uma perspectiva baseada em risco para identificar as causas-raízes da perda. Conhecer o ponto de falha — como um agente de ameaça conseguiu lançar malware para conduzir um ataque cibernético — é fundamental para os esforços de controle de perdas.

Nas duas alegações descritas acima, as organizações analisaram mais detalhadamente seus programas de gerenciamento de risco cibernético e descobriram que o ransomware CHAOS foi instalado involuntariamente por funcionários por meio de esquemas de phishing/engenharia social. O agente da ameaça utilizou técnicas de spoofing por telefone e videoconferência online para fazer com que os funcionários das organizações vítimas acreditassem que estavam se comunicando com membros da equipe de tecnologia da informação. Os falsificadores de TI então enviaram instruções aos funcionários para baixar e instalar o malware que iniciou os ataques.

Essas alegações proporcionaram uma oportunidade para as organizações vítimas examinarem seus planos de resposta a incidentes, vulnerabilidades e medidas de segurança. Com base em como os agentes da ameaça obtiveram acesso para lançar os ataques, treinamento adicional para os funcionários também foi necessário.

Algumas questões que os profissionais de risco devem considerar ao analisar reivindicações cibernéticas são:

Qual foi a natureza do incidente? Foi malicioso ou não?

Qual foi o motivo da falha?

Quais fraquezas na segurança cibernética ou nos processos organizacionais levaram ao incidente ou amplificaram seu impacto?

Qual foi o impacto real do incidente?

Como a organização respondeu ao incidente?

Como o incidente poderia ter sido atenuado ou evitado?

Onde estão as áreas de melhoria e como a organização deve priorizá-las?

Garantindo um seguro eficaz

Uma organização que sofre uma reclamação de seguro cibernético está melhor posicionada para entender seu próprio pessoal e processos, mas consultores de risco e seguros também podem ajudar a analisar a reclamação e abordar as condições que levaram a ela.

Muitas apólices cibernéticas oferecem serviços especializados, como perícia forense, treinamento sobre violações, comunicação de crise e restauração de dados. Uma cobertura ampla, aplicável a um amplo conjunto de cenários de perdas potenciais, é valiosa. Profissionais de risco devem buscar a cobertura cibernética mais ampla disponível, adequada às necessidades de sua organização, com a assistência de consultores qualificados em riscos e seguros.

Por exemplo, há cobertura para extorsão cibernética , mas nem todas as apólices de seguro cibernético a incluem. Profissionais de risco devem procurar contratos de seguro que definam extorsão como uma ameaça de: alterar, destruir, danificar, excluir ou corromper dados; perpetrar acesso ou uso não autorizado de sistemas de computador; impedir o acesso a sistemas de computador ou dados; roubar, usar indevidamente ou divulgar publicamente dados, informações de identificação pessoal ou informações de terceiros; introduzir código malicioso em sistemas de computador ou em sistemas de computador de terceiros; e interromper ou suspender sistemas de computador.

As apólices que oferecem cobertura para perdas por extorsão devem prever despesas razoáveis e necessárias incorridas para prevenir ou responder a uma ameaça de extorsão com o consentimento prévio por escrito da seguradora.

Também é importante identificar indivíduos e empresas que possam auxiliar no fortalecimento dos planos de resposta a incidentes antes mesmo que surja uma reclamação. Profissionais de risco prudentes devem investir tempo no desenvolvimento desses relacionamentos para aprimorar a resposta a incidentes cibernéticos e obter o máximo benefício de seu seguro cibernético.

Jeremy Gittler é chefe global de sinistros na empresa de gestão de riscos cibernéticos Resilience.

https://www.rmmagazine.com/articles/article/2025/07/24/learning-lessons-from-cyber-insurance-claims

-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Fonte: