- O ciclo de endurecimento de 2021 tornou os controles técnicos obrigatórios, não opcionais, para a maioria das apólices cyber
- MFA no acesso remoto é o motivo mais comum pelo qual as seguradoras recusam cotar
- A perícia pós-violação verificará se seus controles correspondem ao que você declarou na proposta
- O Lloyd's of London agora exclui ataques patrocinados por Estado de apólices cyber independentes
- Os sublimites de primeira parte e terceiros no cronograma da apólice frequentemente diferem do limite nominal
Por que a subscrição de seguro cyber mudou
A epidemia de ransomware de 2020 e 2021 custou às seguradoras mais do que haviam modelado. Colonial Pipeline, JBS Foods e dezenas de sistemas hospitalares registraram sinistros multimilionários em poucos meses. A taxa de sinistros combinada em todo o mercado atingiu níveis insustentáveis: as seguradoras pagavam mais em sinistros do que arrecadavam em prêmios, mais as despesas operacionais.
Os prêmios subiram acentuadamente. A Marsh McLennan reportou aumentos médios de 130% para alguns segmentos no quarto trimestre de 2021. As seguradoras também introduziram sublimites especificamente para ransomware, de modo que uma apólice com limite nominal para qualquer evento cibernético poderia limitar a recuperação de ransomware à metade desse valor, com uma franquia maior.
O mercado se estabilizou desde então. Os aumentos médios de prêmio caíram para cerca de 3% em 2023, à medida que as seguradoras ajustaram suas carteiras e os requisitos de controles se tornaram mais rígidos. Mas os controles que emergiram desse ciclo de endurecimento são agora elementos permanentes. Não vão desaparecer quando o mercado amolecer ainda mais.
Os cinco controles que as seguradoras verificam primeiro
As propostas de subscrição modernas chegam a 40 ou mais perguntas. Cinco controles têm mais peso do que todos os outros combinados. Se você não conseguir demonstrar esses cinco, espere uma cotação recusada ou cobertura com exclusões significativas.
Além dos cinco, as seguradoras perguntam cada vez mais sobre autenticação de e-mail DMARC, DKIM e SPF (reduz exposição a phishing e comprometimento de e-mail corporativo), segmentação de rede e se há um plano de resposta a incidentes documentado e testado nos últimos 12 meses.
Como é o processo de proposta
A precisão das suas respostas importa mais do que a qualidade dos seus controles. A perícia pós-violação verificará o que estava em vigor, não o que você disse que estava. Se houver lacuna entre os dois, a seguradora tem base para contestar o sinistro por declaração incorreta.
Perguntas típicas da proposta abrangem:
- Se o MFA está implantado em e-mail, VPN, acesso remoto, serviços em nuvem e contas privilegiadas separadamente, não como resposta única de sim ou não
- O percentual de endpoints cobertos pelo EDR
- O SLA de gestão de patches para vulnerabilidades críticas
- Se há um plano de resposta a incidentes documentado e quando foi testado pela última vez
- Se os backups são testados para restauração e com que frequência
- Se há controles PAM e se as contas privilegiadas estão armazenadas em cofre
- Receita anual, número de funcionários, tipos de dados processados (dados pessoais, cartão de pagamento, saúde) e setor
Não preencha o questionário de memória. Construa um inventário de controles antes de começar: mapeie cada controle exigido para o sistema ou grupo de usuários que cobre, a pessoa responsável e a data da última revisão. Traga documentação para o processo de proposta. Se descobrir lacunas durante esse exercício, trate-as antes de fazer a proposta, não depois.
Solicite ao seu corretor uma cópia da proposta do ano anterior. Comparar as respostas ano a ano com sua postura atual é uma das formas mais rápidas de identificar onde sua documentação não corresponde aos seus controles.
Como as seguradoras avaliam os sinistros
Quando você registra um sinistro, sua seguradora nomeia uma empresa forense. A função principal dessa empresa é determinar a causa raiz, o escopo e se seus controles correspondiam à sua proposta. Eles revisarão logs do Active Directory e registros de firewall, avaliarão se o MFA foi aplicado em todos os pontos de autenticação que você descreveu, examinarão logs de backup e verificarão se o vetor de ataque inicial foi uma vulnerabilidade conhecida sem patch.
O relatório forense vai para a seguradora antes de o sinistro ser liquidado. Se contradizer sua proposta, a seguradora usará isso para contestar o sinistro. Isso não é teórico: as taxas de negação de sinistros cyber têm aumentado.
O segundo fator que determina os resultados dos sinistros é o prazo de notificação. A maioria das apólices exige que você notifique a seguradora prontamente após tomar conhecimento de um incidente, geralmente dentro de 72 horas. A notificação tardia é por si só um motivo para redução do sinistro, independentemente de seus controles estarem em vigor.
Entre em contato com sua seguradora e assessor jurídico antes de contratar uma empresa de relações públicas ou fazer declarações externas após uma violação. Muitas apólices cobrem custos de comunicação de crise, mas apenas se a seguradora aprovar a empresa de comunicações. Contratá-la de forma independente pode invalidar esse elemento da cobertura.
Exclusões que você precisa entender
Leia o cronograma da sua apólice, não apenas o resumo de marketing. As exclusões mais importantes não estão em destaque.
Preparando-se para a renovação
O melhor momento para se preparar para a renovação é seis meses antes de ela acontecer. A maioria dos corretores enviará um questionário de pré-renovação dois a três meses antes. Nesse ponto, quaisquer lacunas encontradas levarão mais tempo para fechar do que você tem disponível.
Uma organização que chega à renovação com um inventário de controles concluído, um relatório de backup testado e um exercício de simulação documentado está em posição mais forte do que aquela que depende da memória. A documentação também é o que sobrevive a uma revisão forense pós-violação.
As orientações da ENISA sobre medidas mínimas de segurança de referência estão disponíveis em enisa.europa.eu. O NCSC publica orientações práticas de implementação dos controles técnicos mais comumente exigidos por seguradoras e reguladores.