Gestão de Riscos Cibernéticos

19, Mai. 2021

Cyber Risks

Ataque virtual com graves consequências reais: a ameaça crescente do ransomware

Fonte: InfoMoney

Invasão hacker em sistema de oleoduto nos EUA coloca em evidência um problema que já afeta até empresas brasileiras: o sequestro de dados

O ataque de hackers à Colonial Pipeline, operadora de oleodutos responsável por quase metade do abastecimento de combustíveis para a Costa Leste dos Estados Unidos, colocou em evidência um problema cada vez mais preocupante para empresas e governos do mundo inteiro: a vulnerabilidade das informações digitais.

A Colonial Pipeline foi vítima de um crime conhecido como ransomware, ou sequestro de dados. Seja burlando os mecanismos de segurança ou aproveitando o descuido de funcionários, os hackers obtêm acesso aos sistemas críticos de uma organização e os bloqueiam ou roubam. Para libertar os reféns, cobram resgate.

A empresa interrompeu o fornecimento por alguns dias, o que levou muitos americanos a estocar gasolina. Oficialmente, foi uma medida preventiva. Mas, de acordo com relatos publicados na imprensa americana, a Colonial Pipeline pagou um resgate de US$ 5 milhões em criptomoedas aos hackers.

Os cibercriminosos ameaçavam divulgar informações confidenciais roubadas dos computadores da companhia. Não se sabe como eles tiveram acesso aos sistemas da Colonial Pipeline.

Esse tipo de crime quadruplicou no ano passado nos Estados Unidos, segundo o secretário de Segurança Interna, Alejandro Mayorkas.

O mesmo acontece no resto do mundo. Segundo dados compilados pela empresa de segurança digital Sonic Wall, os ataques de ransomware aumentaram 62% em 2020 em comparação com o ano anterior. O Brasil é o nono país com maior registro desses ataques, de acordo com o mesmo levantamento.

Buscando os peixes grandes

O ransomware não é uma modalidade de crime digital exatamente nova, muito menos rara. Estima-se que os casos anuais se contem aos milhões ao redor do mundo.

Mas, recentemente, os hackers vêm mirando em organizações de grande porte, e não mais em empresas pequenas ou indivíduos.

Existem algumas especulações para explicar o aumento desse tipo de ataque. Uma delas é a pandemia: o trabalho remoto, que se tornou regra ao redor do mundo, criou brechas de segurança.

Outro motivo seria o crescente número de companhias seguradas contra esse tipo de incidente.

Os ataques podem deixar as empresas impossibilitadas de operar. Por contrato, a decisão de ceder aos pedidos de extorsão cabe às companhias, não às seguradoras, e muitas acabam se dobrando às demandas.

Especialistas em cibersegurança afirmam que os grupos de hackers fazem a lição de casa, ou seja, buscam justamente as companhias que contrataram esse tipo de seguro. Os cibercriminosos não são burros, disse Matt Durin, investigador especializado em crimes digitais, numa entrevista recente.

É difícil obter dados confiáveis sobre ataques de hackers, pois a maioria das companhias não vêm a público falar sobre as invasões sofridas.

A consultoria especializada em blockchain Chainanalysis estima em US$ 350 milhões os resgates pagos em criptomoedas no ano passado. Em 2019, o total teria ficado em cerca de US$ 90 milhões.

Piratas profissionais

A explosão dos ataques de ransomware também está relacionada a modelos de negócio cada vez mais sofisticados dos hackers.

Segundo o FBI, a polícia federal americana, o ataque à Colonial Pipeline foi organizado por um grupo chamado DarkSide, que teria obtido US$ 60 milhões em suas operações.

Segundo especialistas, o DarkSide é um franqueador, uma espécie de empresa de serviços criminais. Ou era.

Segundo informações da imprensa americana, o grupo interrompeu suas operações depois de intervenção do FBI. Seu modo de operação, entretanto, segue vivo, e os responsáveis pelas quadrilhas muitas vezes reaparecem usando novos nomes.

Em troca de parte dos espólios, essas franquias criminosas oferecem o malware que será usado na invasão, além de assistência técnica para os hackers, uma equipe responsável pela negociação do resgate e um serviço de atendimento para as vítimas.

Segundo um jornalista da rede CNBC, o DarkSide teria reivindicado a autoria de pelo menos três outros ataques: um nos Estados Unidos, um no Reino Unido e um no Brasil.

A informação teria sido publicada na dark web. O InfoMoney não foi capaz de identificar a companhia brasileira. Segundo a CNBC, trata-se de uma revendedora de energias renováveis.

Um problema complexo

O mundo digital é, há muito tempo, considerado uma das principais fronteiras da segurança, e em todos os níveis: pessoal, corporativo e governamental.

Mas a sensação é que estamos sempre um passo atrás dos agentes maliciosos. A explicação, como diz um dos lugares-comuns mais repetidos por aqueles que trabalham com cibersegurança, é a tese do elo mais fraco da corrente.

Mesmo que todos os sistemas de segurança sejam os mais sofisticados, muitas vezes são descuidos humanos que abrem as portas para os criminosos.

Assim como podem introduzir vírus em computadores pessoais, arquivos anexos a e-mails (como planilhas ou fotos) muitas vezes são usados pelos hackers para abrir uma “porta dos fundos” em sistemas corporativos.

Além disso, o inimigo é invisível e está além das fronteiras. A maioria dos crimes cibernéticos ocorridos em países ocidentais partem da Rússia ou de outros países que faziam parte da extinta União Soviética.

Na quinta-feira (13), o presidente americano, Joe Biden, afirmou que conversaria com seu par russo, Vladimir Putin, para cobrar uma ação decisiva contra essas redes de ransomware.

Ataques eletrônicos contra negócios e órgãos do governo americano são considerados parte de uma estratégia de desestabilização promovida, ou no mínimo tolerada, pelo governo russo.

Seja qual for a participação de atores oficiais, o DarkSide também investia em sua reputação. Em outubro do ano passado, o grupo postou imagens de doações de US$ 10 mil para duas entidades de caridade.

Nosso objetivo é ganhar dinheiro, não criar problemas para a sociedade, dizia um comunicado publicado na página do grupo, na dark web.

Consequências no mundo real

Mas esse tipo de crime virtual pode ter graves consequências no mundo real. Há quatro anos, o National Health Service (NHS, equivalente britânico do SUS) foi uma das vítimas do ataque conhecido como WannaCry.

Supostamente originado na Coreia do Norte, o WannaCry infectou cerca de 200.000 computadores em 150 países. Computadores, geladeiras de armazenamento de bolsas de sangue e scanners de ressonância magnética ficaram fora de operação. Alguns procedimentos não-emergenciais tiveram de ser adiados.

Em setembro passado, ocorreu na Alemanha o que pode ter sido a primeira morte diretamente atribuível a um ataque cibernético. A ambulância que transportava uma mulher de 78 anos foi orientada a levá-la a um hospital a 30 quilômetros de distância.

Alvejado por hackers, o hospital mais próximo não conseguia atender apenas metade dos pacientes de um dia típico. 

Para Bolsa dos EUA, Eletrobras aponta riscos da privatização

Fonte: Monitor Mercantil

A Eletrobras, que tem ações listadas na bolsa de Nova York, publicou em 10 de maio o relatório padronizado obrigatório, que contém informações que não foram reveladas a seus acionistas brasileiros e à população em geral.

O levantamento feito pela Associação dos Engenheiros e Técnicos do Sistema Eletrobras (Aesel) aponta que, ao citar a privatização, objeto da Medida Provisória 1.031/2021, a estatal admite que não pode prever os impactos operacionais e financeiros do projeto.

No caso da privatização, seguida da descotização de suas usinas (mecanismo que elevará o preço para o consumidor), a companhia deixará de receber as receitas da GAG Melhoria, o que afetará adversamente o fluxo de caixa, condições financeiras e resultados de suas operações, segundo o relatório.

A Eletrobras ressalta que o fato de as subsidiárias Itaipu e Eletronuclear serem segregadas da empresa privatizada causaria perdas dos ativos e da geração de 9.000 MW, podendo resultar na inadimplência de vários financiamentos junto aos seus [da empresa] credores.

Por fim, o relatório 20-F aos acionistas estrangeiros afirma não poder garantir que os termos apresentados de renovação sejam atrativos para a empresa e que a privatização pode resultar em um menor suporte do governo à companhia. Sem contar a possibilidade de aumento dos custos de capital de terceiros pelo fato da União deter menos de 50% das ações, o que caracterizaria possibilidade de inadimplência.

O que nos chama atenção é o fato das autoridades brasileiras esconderem propositadamente tais informações do Parlamento e da população brasileira, já que as preocupações expostas à SEC [CVM dos Estados Unidos] jamais foram levadas à sociedade e ao parlamento brasileiro, destaca a Aesel.

O presidente da Câmara dos Deputados, Arthur Lira (PP-AL), pretende votar a MP nesta quarta-feira.

Projeção para o PIB avança

A mediana das projeções do mercado para o crescimento da economia brasileira em 2021 teve sua quarta alta consecutiva, agora de 3,21% para 3,45%, no Boletim Focus, do Banco Central

Fonte: Sonho Seguro

A onda de bons indicadores tem feito os analistas econômicos elevaram suas projeções para o PIB este ano. Pela quarta semana consecutiva subiu a mediana das projeções do mercado para o crescimento da economia brasileira em 2021, desta vez de 3,21% para 3,45%, no Boletim Focus, do Banco Central, divulgado nesta segunda-feira, 17. No primeiro trimestre, a alta acumulada do IBC-Br é de 2,3%, indicando que, ao contrário das expectativas anteriores, pode haver crescimento do PIB no período. Ainda assim, a projeção para o crescimento do PIB em 2021 permanece abaixo do carregamento estatístico (3,6%), fato para o qual temos chamado atenção há muitos meses, comenta Pedro Simões, do Comitê de Estudos de Mercado da CNseg, a Confederação Nacional das Seguradoras.

Um dos destaques do Boletim Acompanhamento de Expectativas Econômicas semanal feito pela Superintendência de Estudos e Projetos (Suesp) da CNseg desta semana é a alta das projeções para a inflação, com reflexo no cenário para os juros. O mundo está preocupado com a inflação, tanto nas economias centrais quanto nas emergentes, com relatos de escassez ou elevação de preços de insumos de produção e materiais básicos, além dos alimentos. Seja por qual razão for, a atividade menos aquecida do que o esperado não impediu que a inflação na maior economia do mundo, os EUA, acelerasse, sendo a mais alta dos últimos 13 anos, e isso tem despertado questionamentos sobre a eficácia das fortes medidas de estímulo do governo Biden, alerta e economista.

Seguros paramétricos: alternativa de cobertura para uma era de pandemias?

Os seguros paramétricos e suas soluções para os problemas enaltecidos pela era das pandemias se tornam mais necessárias e atraentes aos olhos dos gestores

Fonte: Revista Apólice

A revista científica The Lancet / Planetary Health publicou, em 1º de janeiro de 2021, o editorial A Era Pandêmica. Os cientistas chamam a atenção para o fato de as pandemias estarem aumentando quantitativamente nos últimos anos, e para a nossa incipiente capacidade de resposta e prevenção a esses eventos. Embora ainda seja cedo para afirmar que a magnitude social e econômica causada pela Covid-19 seja uma resultante da disrupção ecológica, a revista indica que a única maneira de escapar uma era pandêmica estaria no repensar da nossa relação com a natureza, na adoção de mecanismos de prevenção e adaptação e, fundamentalmente, no frear do consumo insustentável que resulta na perda de biodiversidade, no agravamento das mudanças climáticas.

Lamentavelmente, os indícios no sentido da confirmação de que o século XXI será marcado pelas pandemias são múltiplos e decorrem não apenas da mencionada crise climática, como também do agravamento da desigualdade social, da insegurança alimentar, entre outros fatores. Esse ambiente de sensibilização social em relação aos riscos sanitários em um mundo fortemente globalizado se soma à conscientização acerca do agravamento do quadro climático e resulta em uma profunda pressão sobre o mercado segurador e sua função social e econômica.

E no xadrez da pandemia de Covid-19, o setor securitário está em xeque.

Mesmo antes da pandemia, já se via a recusa de asseguramento para diversos riscos, o descasamento entre o conteúdo e o escopo das garantias e as morosas e restritivas regulações de sinistros. Os seguradores enfrentam, nessa segunda década do século XXI, percepção social de descrédito catalisada pela resposta das seguradoras à pandemia. Esta crise de confiança, elemento primordial para o sucesso no empreendimento segurador, deve ser reparada com uma nova ética, muito trabalho, concorrência e ideias disruptivas.

Passado o primeiro ano da pandemia, o que se observa em relação ao atendimento das expectativas dos consumidores é preocupante. As coberturas tradicionais, sobretudo aquelas de lucros cessantes, não atenderam às expectativas dos segurados de maneira satisfatória. Segundo pesquisa realizada no Reino Unido, 17,3% das pequenas e médias empresas (PMEs) tinham apólices de interrupção de negócios no ano passado, no entanto, a maioria dessas apólices não oferecia cobertura para pandemias.

Esse futuro cenário de pandemias faz surgir dúvidas sobre o seguro, questionamentos sobre a renovação das coberturas e, sobretudo, provoca os debates sobre a reformulação dos contratos de seguro, seu formato e regulação. Os seguros paramétricos, embora não sejam um produto novo, emergem nessa era como uma alternativa de cobertura atrativa.

Os seguros paramétricos se diferem dos seguros tradicionais por serem acionados por parâmetros, gatilhos estabelecidos nos contratos de seguro a partir dos quais o pagamento da indenização é automático, e são atrativos para uma sociedade organizada em rede, marcada pela automação e pela interconectividade, assolada pela ameaça de extinção, entre outras, pela via climática e pela sanitária.

Tratam-se de contratos de seguro nos quais as coberturas são acionadas por um elemento objetivo, isento da necessidade de apuração e quantificação de danos, e que, uma vez atingido, terão como efeito, um pagamento célere da indenização securitária. Por ser o gatilho ou parâmetro uma métrica aferível objetivamente, a extensão da indenização fica baseada em níveis, que terão como base a magnitude do evento a acionar estipulado.

Os seguros paramétricos podem ser contratados por pessoas físicas (por exemplo, para a cobertura de riscos de viagens) e pessoas jurídicas, incluindo a administração pública. Geralmente, são utilizados pelos setores da economia que têm receitas, custos e operações diretamente impactados por questões da natureza, como variações inesperadas de temperatura, de índice pluviométrico, terremoto, inundação, entre outros, justamente por oferecerem a possibilidade objetiva de aferição da sua magnitude.

Mas não só. Os seguros paramétricos também são uma alternativa interessante para o oferecimento de soluções para as deficiências dos seguros tradicionais na resposta aos megaeventos danosos causadores de sinistros simultâneos, como pandemias e riscos catastróficos decorrentes da atividade humana.

A resseguradora Munich Re e a corretora Marsh, em conjunto com empresa de modelagem de riscos, apontam nesse sentido e lançaram, desde 2018, uma espécie de seguro paramétrico para proteção de empresas contra o impacto econômico de doenças infecciosas. O produto foi projetado para os comércios que dependiam da presença das pessoas (como hotéis e eventos esportivos). Neste caso, o produto tem como parâmetros as taxas de ocupação/lotação desses estabelecimentos a partir da comparação das médias históricas com aquelas observadas em tempos de medo durante pandemia ou surto epidêmico.

Diferente das coberturas tradicionais de lucros cessantes, os seguros paramétricos permitem a aferição objetiva do gatilho e do quantum indenizatório devido, minimizando a zona de discricionariedade por parte do segurador. Além disso, oferecem a vantagem de um pagamento célere, na medida em que o tempo da regulação do sinistro é reduzido substancialmente.

Na perspectiva dos consumidores de seguros e beneficiários, os seguros paramétricos são interessantes não apenas pela mencionada agilidade na regulação de sinistro e pagamento da indenização, mas pelas possibilidades de personalização das coberturas ao interesse e apetite financeiro dos segurados, que passam duplamente a verificar no seguro ferramenta de mitigação do seu risco empresarial e de rentabilidade financeira.

Diante do avanço da tecnologia e da captação de dados, cada vez mais, ampliam-se as possibilidades de mensuração objetiva de eventos danosos, assim como as suas consequências para o capital segurado. Com resultado, os seguros paramétricos e as suas soluções para os problemas enaltecidos pela era das pandemias se tornam mais necessárias e atraentes aos olhos dos gestores das PMEs, assim como dos profissionais liberais e departamentos de risco nas grandes empresas.

Os seguros paramétricos, nessa compreensão da sua tendente ampliação, não irão esvaziar a função do seguro tradicional, e tampouco tornarem-se outro serviço, distinto do seguro. Pelo contrário, ao afirmarem-se os seguros paramétricos como uma alternativa para esse tempo delicado em que a morte e a incerteza se tornam companheiras, o que se conclui é que irão aprimorar a qualidade e a complexidade do seguro, contribuindo para a realização da sua função social, para o restabelecimento da confiança e, finalmente, para o atendimento das expectativas dos consumidores. É um jogo ganha-ganha, impossível de se jogar sem visão, estratégia e uma nova ética.

Autores: Carolina Cavalcanti e Vitor Boaventura, sócios do Ernesto Tzirulnik Advocacia e membros do Instituto Brasileiro de Direito do Seguro (IBDS)

Pandemia: Estado não pode barrar operadora de cancelar plano de saúde

STF julgou inconstitucional lei do RJ que impedia operadoras de suspender, cancelar ou cobrar multa de planos de saúde por falta de pagamento.

O STF, por maioria, julgou inconstitucional lei do Rio de Janeiro que impedia operadoras de suspender, cancelar ou cobrar multa de planos de saúde por falta de pagamento durante a pandemia. Nos termos do voto da relatora, ministra Cármen Lúcia, a Corte considerou que a matéria é de competência privativa da União. Ficaram vencidos os ministros Marco Aurélio, Edson Fachin e Rosa Weber.

A CNSEG - Confederação Nacional das Empresas de Seguros Gerais, Previdência Privada e Vida, Saúde Suplementar e Capitalização contestou a lei estadual 8.811/20 do Rio de Janeiro, que impede as operadoras de suspender ou cancelar planos de saúde por falta de pagamento durante a pandemia do coronavírus.

A norma também determina que, após o fim das restrições, as operadoras deverão possibilitar o parcelamento do débito pelo consumidor antes de suspender ou cancelar o plano, veda a cobrança de juros e multa e estende as disposições aos microempreendedores individuais, às micro e pequenas empresas e aos optantes do Simples Nacional.

A autora da ação sustentou usurpação da competência privativa da União para legislar sobre direito civil e seguros e que a norma interfere indevidamente na dinâmica econômica da atividade empresarial, em clara ofensa ao princípio da livre iniciativa. Não é razoável, segundo a CNSEG, que apenas no Rio de Janeiro existem regras adicionais e distintas, sem previsão em norma federal, pois não há diferença entre as seguradoras e o segurados que firmam contrato em outro estado.

Competência da União

Ao analisar a matéria, a relatora, ministra Cármen Lúcia, salientou que a lei estadual inaugurou cuidado jurídico que ultrapassa o escopo da proteção ao consumidor em situação de vulnerabilidade, autorizando-se, de modo geral e indiscriminado, o sobrestamento do dever de adimplemento de obrigação contratual, disciplina de direito civil de competência privativa da União.

Quanto aos juros e multas, a ministra considerou que a lei impõe às operadoras de planos de saúde o recebimento de pagamento parcelado de débitos anteriores a março de 2020, adentrando-se, com essas normas, no campo jurídico do cuidado de institutos de direito civil sobre tempo e do modo de pagamento.

Deve ser realçado que este Supremo Tribunal já declarou inconstitucionais leis estaduais pelas quais se estabelecia a redução das mensalidades na rede privada de ensino durante o plano de contingência do novo coronavírus, por contrariarem a competência da União para legislar sobre Direito Civil.

Dessa forma, votou pela procedência da ação para declarar a inconstitucionalidade da lei 8.811/20 do RJ.

Os ministros Gilmar Mendes, Alexandre de Moraes, Nunes Marques, Dias Toffoli, Luiz Fux e Ricardo Lewandowski seguiram o entendimento da relatora.

Ao abrir divergência, o ministro Marco Aurélio votou pela improcedência do pedido. Para S. Exa., o texto constitucional não impede a elaboração de legislação estadual que, sem tratar especificamente dos negócios jurídicos firmados, venha a afetar a atividade das operadoras de planos de saúde, ampliando-se a salvaguarda do consumidor, preservado o núcleo de obrigações assumidas em contrato.

O ministro ressaltou que a lei buscou potencializar mecanismo de tutela da dignidade dos consumidores, considerada a pandemia da covid-19, a implicar crise econômica e financeira.

Ausente interferência na atividade-fim das pessoas jurídicas abrangidas pela eficácia do ato atacado, inexiste usurpação de competência da União.

Os ministros Edson Fachin e Rosa Weber acompanharam a divergência. Afirmou suspeição o ministro Luís Roberto Barroso.

Fonte: Migalhas

Setor de seguros alerta sobre perigo das associações de proteção veicular

Justiça, Procons e órgão de supervisão observam aumento significativo na quantidade de reclamações por parte dos consumidores prejudicados pelas associações

Fonte: Revista Apólice

As principais entidades de representação do setor de seguros estruturaram diversas ações de comunicação para fornecer esclarecimentos à sociedade sobre os riscos da proteção veicular. A iniciativa é composta por site, vídeos e a cartilha Proteção veicular não garante proteção, com encarte apresentando quadro comparativo entre o seguro auto e a proteção veicular. A assinatura das ações é encabeçada pela CNseg (Confederação Nacional das Seguradoras), pelas Federações que a compõem, Sindicatos das Seguradoras e Sinapp, Fenacor e Sindicatos dos Corretores de Seguros. Todo o material de comunicação institucional descreve as principais diferenças entre o seguro e o produto das associações, permitindo ao consumidor final ter um melhor entendimento sobre as diferenças que existem entre eles.

A Justiça, os Procons e órgão de supervisão do setor de seguros enfrentam crescimento significativo na quantidade de reclamações por parte dos consumidores prejudicados pelas associações. Nos últimos anos, o Ministério Público Federal e a Susep (Superintendência de Seguros Privados) têm atuado, por vezes em conjunto, para coibir a atuação das associações. Só a Susep já ingressou com aproximadamente 213 ações civis públicas, das quais 29 tiveram reconhecidas a ilegalidade da atuação no âmbito dos Tribunais Regionais Federais das cinco regiões do País e do Superior Tribunal de Justiça, segundo a cartilha Proteção veicular não garante proteção.

Espalhadas por todo o País, sobretudo entre pequenas e médias cidades brasileiras, as associações podem se tornar um problema de enorme gravidade, sem qualquer controle de sua solidez financeira para oferecer irregularmente produto equiparável a seguro, segundo avaliação do setor de seguros. A cartilha esclarece que as associações de proteção veicular não querem se enquadrar no Código de Defesa do Consumidor, não admitem ser fiscalizadas pelo Poder Público e entendem que não estão sujeitas a pagar tributos.

Nos três vídeos disponíveis no site é possível ampliar o conhecimento sobre o tema. Em off, o locutor lembra que as seguradoras seguem leis e normas de órgãos reguladores, deixando assim o consumidor protegido de várias formas. Isso permite que as seguradoras planejem e utilizem os recursos de forma a cumprir com o que prometeram e sejam fiscalizadas com imparcialidade. Já na proteção veicular quem recolhe o dinheiro é o mesmo que faz a gestão de recursos. Não há regras, fiscalização nem imparcialidade. Isso não garante proteção, o associado não é considerado um consumidor e não terá direitos que garantam melhor atendimento ou defesa. Para que acreditar em algo que te deixa vulnerável?, indaga o locutor.

Em outro, é lembrado que, se a associação não tiver dinheiro suficiente no fundo para arcar com algum imprevisto, o associado pode receber menos do que o valor total necessário. Ou pode ser que a associação tenha que recolher mais dinheiro dos associados para cobrir essa indenização. Nessas situações, terão associados que pagarão mais do que outros ou associados que receberão suas indenizações integrais e outros não. É justo?, indaga o locutor em off.

No terceiro vídeo, explica-se por que o consumidor pode confiar no mercado legal. Nas seguradoras, o pagamento da indenização é de até 30 dias após a entrega da documentação, de acordo com regras da Susep. A seguradora sempre se planeja para ter recursos. Nas associações, não há prazo determinado para o pagamento, não há órgão público regulador que estabeleça as regras da operação, que dependerá de as associações ter ou não recursos no momento em que o associado precisar. Ou seja, na prática, nem todo mundo recebe aquilo que foi combinado! Por lei, a seguradora precisa garantir ao segurado o dinheiro de sua indenização e você terá o apoio de várias instituições para isso.

Acesse as edições mais recentes das publicações do mercado: