1) As PME estão cada vez mais na mira de ciberataques e devem se preparar melhor, investindo em segurança cibernética e seguros contra riscos cibernéticos.
2) Ataques como o WannaCry mostraram que nenhuma organização está imune e destacaram a importância da resiliência e preparação para incidentes cibernéticos.
3) Seguradoras devem ajudar a minimizar riscos cibernéticos oferecendo apólices adequadas e compartilhando conhecimento sobre perdas registradas
1. 26 | O Jornal Económico, 16 junho 2017
MERCADOS & FINANÇAS
“Futuros
ciberataques
vão visar
sobretudo as PME”
Jacqueline Legrand, Chief Opera-
tional Officer (COO) da MDS, de-
fende que as Pequenas e Médias
Empresas (PME) têm de precaver-
-se contra os ataques informáticos.
Isto porque, garante, serão cada vez
mais um alvo para os piratas infor-
máticos.
O recente grande ataque
cibernético revela que as
empresas estão mal preparadas
para o ciber-risco?
Além da necessidade de prevenção
e dasubscrição de seguros contraos
riscos cibernéticos, o recente ata-
que cibernético de ‘ransomware’
sublinhou a importância da resi-
liência em qualquer organização
empresarial. Em breve, será impos-
sível evitar ataques cibernéticos,
uma vez que estão a aumentar rapi-
damente e a constituir-se o novo
paradigma na era digital. Por isso,
as empresas têm de compreender
muito bem esta ameaça e preparar-
-se para responder atempadamente
à mesma, de forma a mitigar perdas
de exploração, reduzircustos e con-
trolar danos de reputação.
O ataque do ‘software’
malicioso WannaCryé também
um aviso para os países e para
as organizações públicas?
O ‘ransomware’ não é uma ameaça
nova, mas a escala viral do Ran-
somware WannaCry é. A socieda-
de moderna é global e está interli-
gada, e as organizações dependem
do fluxo contínuo de dados, sejam
elas privadas ou públicas. A explo-
ração desta situação pelo Wanna-
Cry demonstrou ter um impacto
global devastador: mais de 200 mil
computadores de 150 países foram
atingidos no espaço de 48 horas. No
Reino Unido, o sistemade saúde foi
temporariamente encerrado em
todo o país.
Os ativos digitais fazem parte das
organizações modernas e o Wan-
naCryserve, de facto, de alerta para
todas, onde quer que se encontrem.
Vale a pena salientar que a rápida
disseminação deste ransomware,
que se autorreplica, foi facilitada
por uma vulnerabilidade conhecida
no Microsoft Windows. Infeliz-
mente, aindaexistem muitas vulne-
rabilidades conhecidas e desconhe-
cidas que são suscetíveis de serem
alavancadas em ataques semelhan-
tes ou distintos.
Que custos para as empresas
poderão estar envolvidos num
ataque como o que aconteceu
recentemente?
Os custos podem ser muito signifi-
cativos. Entre os encargos que as
empresas poderão ter de suportar
estão: investigação forense; notifi-
cação a pessoas cujos dados possam
ter sido roubados (em maio de 2018
entrará em vigor, na Europa, o
novo Regulamento Geral de Prote-
ção de Dados, aplicável a este tipo
de situações); perda de receitas de-
vido à indisponibilidade dos siste-
mas informáticos; responsabilidade
civil por danos patrimoniais e per-
das financeiras de terceiros; custos
de defesa; pedidos de resgate, pagos
anonimamente em bitcoins; even-
tuais processos judiciais de acionis-
VITOR NORINHA
vnorinha@jornaleconomico.pt
ENTREVISTA JACQUELINE LEGRAND, COO do grupo de seguros MDS
As empresas deverão
assegurar uma apólice
de seguro cibernético
eficaz, uma resposta
bem planeada para
fazer face a incidentes
cibernéticos e uma
equipa especializada
Os ciberataques estão
a transformar-se num
jogo de números. A
sofisticação crescente
de técnicas de
autorreplicação faz
com que qualquer
tentativa de ataque se
torne viral a um custo
muito baixo
tas contra os gestores da empresa,
se considerarem que a mesma não
adotou medidas de segurança e
proteção adequadas.
Como devem e podem as
empresas preparar-se para este
tipo de ataques?
As empresas deverão assegurar a
existência de programas de pre-
venção adequados, ou seja, políti-
cas e procedimentos de cibersegu-
rança e formação em matéria ci-
bernética para os colaboradores.
Devem ter também uma apólice de
seguro cibernético eficaz, uma res-
posta bem planeada para fazer face
a incidentes cibernéticos e uma
equipa especializada.
O ciber-risco é a principal
vulnerabilidade das empresas
nos tempos que correm?
O ciber-risco é considerado uma
das principais ameaças para as or-
ganizações do mundo inteiro, jun-
tamente com as interrupções na ca-
deia de fornecimento, as catástrofes
naturais, os danos de reputação e
alterações legais e regulamentares.
Os gestores já conseguem
assumir o ciber-risco como
uma necessidade de gestão, ou
ainda a consideram um custo?
A maioria das empresas europeias
aindanão tomou medidas significa-
tivas para gerir adequadamente os
ciber-riscos. Isto deve-se sobretudo
a uma atitude de “esperar para ver”
e à dificuldade que os responsáveis
das empresas têm em entender de
forma clara as vulnerabilidades dos
seus sistemas de Tecnologias de In-
formação (TI) e os impactos destas
nos negócios. Tradicionalmente,
as questões relacionadas com as TI
são da responsabilidade do respeti-
vo departamento.
Os líderes das empresas ainda
não conseguiram ultrapassar a bar-
reira tecnológica de forma a serem
eles a liderar a agenda de TI, dando
prioridade a todas as matérias rela-
cionadas com a cibersegurança e os
impactos que tem nas empresas.
No entanto, há uma nova gera-
ção de líderes de empresas “tecno-
lógicos” que percebeu a magnitude
do que está em jogo em matéria de
ciber-risco, levando os conselhos
de administração a tomar iniciati-
vas de investimento estratégico
nesta área.
Por que é que os gestores não
mudam a mentalidade perante
este tipo de inevitabilidade?
Estão a mudar. Nos últimos dois
anos, verificou-se uma mudança si-
gnificativa na atitude dos gestores
das empresas em quase todo o
mundo. Mas também é de salientar
que esta mudança foi mais signifi-
cativa nos países que implementa-
Cerca de 60% dos ciberataques são às PME, mas esta percentagem “vai intensificar-se”, afirma a COO
da MDS. Muitas PME estão desprotegidas e vão servir de “portas de acesso” para novos ataques, alerta.
ESPECIAL SEGUROS E RISCO CIBERNÉTICO
2. O Jornal Económico, 16 junho 2017 | 27
ram regulamentação exigente so-
bre proteção de dados. Tendo em
conta os eventos mais recentes e
com a entrada em vigor do regula-
mento europeu sobre proteção de
dados em maio de 2018, é altamen-
te provável que os ciber-riscos ve-
nham a ser tratados como uma
ameaça séria e comum em todos os
países-membros da União Euro-
peia. Existe um consenso entre os
gestores de todo o tipo de organiza-
ções de que os ciberataques podem
acontecer em qualquer momento,
em qualquer lugar e com cada vez
maior impacto nas empresas.
Que procedimentos devem
adotar as empresas para manter
os níveis de segurança
aceitáveis?
A primeira coisa a fazer é guardar
regularmente dados confidenciais
em cópias de segurança e manter
cópias da rede da empresa. Os fi-
cheiros guardados em cópias de se-
gurança podem ser restaurados ra-
pidamente, o que reduz os efeitos
de um ataque, incluindo de um ata-
que de ransomware.
Depois, é necessário instalar to-
das as atualizações de software dis-
poníveis. Muitas vezes, estas atuali-
zações trazem correções que visam
eliminar vulnerabilidades em ter-
mos de segurança.
As empresas devem também in-
vestir em proteção anti-malware
abrangente para monitorizar regu-
larmente os sistemas e detetar as
ameaças, bem como implementar
uma firewall bem configurada para
impedir intrusões. Devem inclusi-
ve controlar os acessos dos utiliza-
dores aos sistemas da empresa, es-
tabelecendo procedimentos de au-
tenticação adequados.
Numa outra vertente importan-
te, precisam de educar e formar os
colaboradores sobre ciberseguran-
ça contra qualquer tipo de cibera-
taque, incluindo ransomware, e
definir um protocolo formal para
informação sobre suspeitas de ci-
berataques. Nesta linha, é cada vez
mais relevante estabelecer e pro-
mover diretrizes para os colabora-
dores, relativas à utilização de dis-
positivos móveis e redes sociais no
trabalho.
As preocupações já chegaram às
pequenas empresas ou apenas as
grandes têm a noção dos riscos
inerentesaumciber-ataque?
O Relatório de Ameaças à Seguran-
ça na Internet de 2015 da Symantec
indica que 60% dos ciberataques em
2014 foram dirigidos contra PME,
percentagem esta que se irá intensi-
ficar no futuro próximo.
Os ciberataques estão a transfor-
mar-se num jogo de números. A
sofisticação crescente de técnicas de
autorreplicação faz com que qual-
quer tentativa de ataque se torne
viral a um custo muito baixo, pelo
que as vítimas serão as organiza-
ções menos protegidas, indepen-
dente da dimensão que tenham. In-
felizmente, ao contrário das gran-
des organizações, muitas PME não
têm capacidade para investir numa
proteção cibernética eficaz. Por
isso, são um alvo mais fácil para es-
tes ataques, que irão não só afetá-
-las, mas também servir-se delas
como portade acesso aoutras orga-
nizações a que estejam ligadas,
como aconteceu no ataque à Target
no Natal de 2013.
O que pode uma seguradora
fazer para minimizar o risco?
Antes de mais nada, as seguradoras
têm de se protegerasipróprias, im-
plementando uma gestão do risco
de primeira linha nas suas próprias
redes, uma vez que as suas opera-
ções dependem grandemente de
ativos digitais. Têm também um
papel importante na criação de
apólices de seguro cibernético efi-
cazes e deverão partilhar proativa-
mente os seus dados sobre perdas
registadas, de forma a contribuir
para o conhecimento global e me-
lhorar as medidas de prevenção.
O seguro cibernético tornou-se
uma importante componente dos
planos de mitigação de perdas de ex-
ploração. As apólices de seguro ci-
bernético deverão não só cobrir a
perda de receitas, mas também o
custo de investigare responderaum
caso ou a uma suspeita de incidente
cibernético. Um sistema deste tipo
deverá ajudar as empresas a com-
preenderem melhor a sua exposição
ao ciber-risco e a melhorar os seus
controlos de segurança no futuro.
Os ciberataques mudam constante-
mente e tornam-se mais sofisticados
a cada dia que passa, e a ciberprote-
ção deveráfazero mesmo.
Que custos estão associados a
uma proteção a nível de
contrato de seguro para uma
PME?
As apólices de seguro cibernético
têm vindo a evoluir muito ao longo
dos últimos anos, ajustando-se às
necessidades do mercado em termos
decoberturas elimites decapital. No
que respeita a custos, quer as garan-
tias das apólices quer os prémios
irão depender de vários fatores
como a atividade da empresa, da sua
exposição ao risco, do seu nível de
segurança cibernética, do volume de
faturação anual, das coberturas e dos
limites de capital seguro. As empre-
sas devem procurar o apoio de um
consultor especializado neste tema,
que possa combinar o aconselha-
mento em termos de cibersegurança
e a transferência do risco através de
um seguro. Na MDS acreditamos
nesta abordagem conjunta: as em-
presas devem avaliar o seu risco e
subscreverumseguro.●
Fotocedida