Ciberataque ‘extremo’ pode causar perdas de até US$ 53 bilhões

A cifra representa o valor médio de perda causada pela interrupção dos serviços de nuvem, por exemplo, mas ele pode subir para até US$ 121 bilhões, aponta estudo da seguradora britânica Lloyd’s

Um ciberataque de grandes proporções pode causar perdas financeiras de até US$ 53 bilhões, de acordo com pesquisa recente realizada pela seguradora britânica Lloyd’s e a Cyence, empresa especializada em modelagem analítica de riscos cibernéticos.

O levantamento revela o potencial impacto econômico de dois cenários: um hacking malicioso que derruba um provedor de serviços em nuvem com perdas estimadas em até US$ 53 bilhões, e uma falha em um sistema operacional crítico administrado por empresas em todo o mundo, podendo gerar perdas de US$ 28,7 bilhões.

As perdas econômicas podem alcançar cifras astronômicas. No cenário de interrupção dos serviços de nuvem considerados no relatório, a média das perdas econômicas varia de US$ 4,6 bilhões, para um evento grande, até US$ 53 bilhões, para um evento de proporções extremas. Essa é a média do cenário, uma vez que devido à incerteza com relação às perdas cibernéticas agregadas, esse valor pode subir para até US$ 121 bilhões, ou cair para US$ 15 bilhões. Enquanto isso, as perdas médias seguradas variam de US$ 620 milhões, para uma perda grande, até US$ 8,1 bilhões, para perda extrema.

No cenário de vulnerabilidade dos softwares de “massa”, as perdas médias variam de US$ 9,7 bilhões, para um grande evento, até US$ 28,7 bilhões, para um evento extremo, como uma falha em um sistema operacional crítico exemplo, administrado por empresas em todo o mundo. As perdas médias seguradas variam de US$ 762 milhões até US$ 2,1 bilhões.

Já o gap sem cobertura dos serviços de nuvem pode chegar a US$ 45 bilhões — ou seja, menos de um quinto (17%) das perdas econômicas realmente possuem cobertura. A defasagem segurada por um valor inferior pode chegar a US$ 26 bilhões para o cenário de vulnerabilidade em massa — o que significa que apenas 7% das perdas econômicas estão cobertas.

Os resultados também revelam que, apesar da demanda por seguros contra riscos cibernéticos seguir em crescimento, a maioria dessas perdas não está segurada, o que deixa um déficit de bilhões de dólares em seguros.

Inga Beale, CEO do Lloyd’s, diz que o relatório dá uma noção real do tamanho do estrago que um ataque cibernético pode causar à economia global. “Assim como alguns dos piores desastres naturais, esses eventos podem causar um impacto grave em empresas e economias, desencadeando inúmeras solicitações de acionamento do seguro e aumentando drasticamente os custos do serviço. As seguradoras precisam considerar essa forma de cobertura contra riscos cibernéticos e assegurar que os cálculos dos prêmios estejam em sintonia com a realidade da ameaça no ambiente digital”, destaca ela.

Segundo a executiva, esses cenários foram incluídos para ajudar as seguradoras a obterem um melhor entendimento sobre a sua exposição ao risco cibernético, para que possam melhorar a gestão da exposição de seu portfólio e a precificação do risco, estabelecer limites adequados e expandir seus serviços, com confiança, para essa que é uma classe inovadora e de rápido crescimento.

“As conclusões desse relatório sugerem que perdas econômicas relacionadas a ataques cibernéticos podem ser, potencialmente, tão grandes quanto aquelas causadas por grandes furacões. As seguradoras podem beneficiar-se ao pensar sobre cobertura para ataques cibernéticos nesses termos, e adquirir subsídios específicos para considerar catástrofes cibernéticas Para isso, a coleta e a qualidade dos dados são muito importantes, principalmente quando o risco cibernético está em constante mudança”, disse Trevor Maynard, responsável pela área de inovação da Lloyd’s.

A Lloyd’s trabalhou com a Cyence, coletando dados em nível de internet para fazer a modelagem do risco cibernético e avaliar o impacto financeiro, econômico e no setor de seguros desses cenários.

O relatório está disponível aqui.

O alto preço dos crimes cibernéticos

As consequências econômicas e aquelas relacionadas ao seguro para crimes cibernéticos aumentaram significativamente nos últimos anos. Em 2016, estimou-se que os custos dos ciberataques para as empresas era de até US$ 450 bilhões por ano (Graham, 2017). Hoje, a equipe da Lloyd’s Class of Business estima que o mercado cibernético  global vale algo entre US$ 3 bilhões e US$ 3,5 bilhões (Stanley, 2017). Até 2020, alguns analistas estimam que esse valor pode chegar a US$ 7,5 bilhões (PwC, 2015).

O relatório descreve dois cenários:Cenário 1: “Hack malicioso” de um provedor de serviços de nuvem. Um grupo sofisticado de “hackers” prepara-se para interromper provedores de serviços de nuvem e seus clientes, para chamar atenção para os impactos ambientais do negócio e da economia moderna. O grupo faz uma modificação maliciosa num “hipervisor”, que controla a infraestrutura da nuvem. Isso provoca falha em muitos servidores de clientes com base em nuvens, levando a uma interrupção generalizada do negócio e dos serviços;

Cenário 2: Ataque de vulnerabilidade em massa. Um analista virtual esquece a bolsa acidentalmente no trem, com a cópia de um relatório sobre vulnerabilidade, que afeta todas as versões de um sistema operacional executado por 45% do mercado global. Esse relatório é negociado no mercado negro virtual e comprado por um número indeterminado de criminosos virtuais, que desenvolvem exploits de sistemas e começam a atacar empresas vulneráveis para obter ganho financeiro.

Estes números representam os valores médios de um ano de perdas para eventos graves simulados, de proporções grandes e extremas, e consideram todas as expectativas de despesas diretas relacionadas com os eventos. Impactos como danos materiais, lesões corporais, assim como perdas indiretas – como a perda de clientes e o dano à reputação – não são considerados.

Perdas econômicas podem ser muito maiores ou menores que a média indicada nos cenários, devido à incerteza com relação à concentração de riscos cibernéticos.

O desafio da personalização e capitalização do risco cibernético é a falta de dados de fontes de informação oficial. Informações de anos anteriores sobre seguros acionados e dados de sinistros normalmente não são confiáveis, devido à natureza volátil e variável do risco. E, ao contrário de perigos físicos, o risco cibernético possui concentração de acúmulos, com o uso crescente de redes e tecnologia.