INOVAÇÃO | 21.02.2022
Ciberterrorismo e ciberguerra: como enfrentar estes inimigos invisíveis
Um ataque cibernético apoiado por um Estado poderia causar perdas grandes demais e incertas para serem absorvidas apenas pelo seguro.
Nossas sociedades estão em meio a um processo de mudança com profundas consequências: a transformação digital. À medida que empresas, governos e indivíduos passam por essa transformação, suas atividades se deslocam para o universo online. É uma evolução que está ocorrendo em todas as áreas, e como uma parte crescente do nosso trabalho assume novas formas, também os riscos, que são multiplicados pela adição de riscos de natureza digital aos tradicionais. De fato, os ciberataques já são uma das maiores ameaças enfrentadas pelo setor segurador.
Em termos gerais, os principais riscos online são:
- Cibercrime: o mais comum. Engloba atividades criminosas baseadas no abuso de tecnologias e da Internet. Cometido por organizações ou indivíduos que costumam ter um objetivo econômico.
- Ciberterrorismo: neste caso o ataque tem objetivos políticos, ideológicos ou religiosos, e busca exercer influência ou produzir medo.
- Ciberguerra: atividades ofensivas e coercitivas realizadas por um Estado, com o objetivo de infligir danos ou ganhar vantagem perante outros países.
Embora a cibersegurança represente um grande desafio para os seguros, ela é especialmente estas duas últimas formas: o terrorismo e a guerra digital. O dano potencial de ambas é enorme, mas no caso da guerra, isto é, nos ataques apoiados por um Estado, alcança um nível incalculável. Um dos principais problemas é que a antiga divisão, que é clara no papel, é muito mais embaçada na realidade. Como estabelecer quem são os responsáveis? Como trabalhar com isso e fornecer soluções do setor? Como estabelecer limites sobre o que o seguro pode cobrir e o que não pode ser assumido? A guerra é um risco que está excluído da maioria das apólices, embora esta política esteja começando a se adaptar aos novos cenários abertos pelos ataques cibernéticos.
Um evento recente salienta a importância desta questão. Em 2017, aconteceu um grande ataque cibernético à Ucrânia que afetou as empresas multinacionais, causando milhões de dólares em prejuízos que reclamaram de suas seguradoras. A crença generalizada era que a agressão era cometida pela inteligência militar russa, por isso as companhias de seguros invocaram os atos de exclusão de guerra. Mas os tribunais não estão aceitando este argumento, argumentando que o conceito de guerra nos contratos é entendido como um conflito armado tradicional. As consequências desta interpretação são colossais: no caso mais importante, uma decisão de janeiro ordenou o pagamento de 1,4 bilhões de dólares a uma única empresa afetada pelo ataque cibernético na Ucrânia.
Dada a incerteza gerada por esta questão, a Associação de Genebra (GA), a organização que reúne as principais seguradoras e resseguradoras do mundo, e o International Forum of Terrorism Risk (Re)Insurance Pools (IFTRIP), publicaram uma série de relatórios para lançar luz ao assunto. Entre os especialistas destas organizações estão Daniel Largacha, diretor do Global Security Center da MAPFRE, e Óscar Taboada, responsável pela de Riscos Cibernéticos na MAPFRE RE.
Um novo conceito: “ciberatividade hostil”
O dilema de como lidar com a “área cinza ambígua” entre os diferentes tipos de ataques cibernéticos e seu possível apoio estatal é tão complexo que os profissionais de seguros não podem sequer concordar em como nomear e categorizar este terreno. E este não é um debate estéril: a falta de definição ao enfrentar este tipo de sinistros já levou a litígios dispendiosos, com o consequente prejuízo à reputação das seguradoras envolvidas, mas especialmente à perda de confiança no setor. A solução proposta pela AG é introduzir o termo “ciberatividade hostil” (HCA), um novo conceito para preencher a lacuna no mundo digital entre terrorismo e os atos de guerra, estabelecendo um ponto de partida para o trabalho.
A ciberatividade hostil (HCA) “geralmente, mas nem sempre, refere-se a ataques encobertos dirigidos a alvos econômicos ou à desestabilização da vida pública ou da confiança pública (incluindo processos democráticos), usando meios cibernéticos ou acionadores, geralmente perpetrados por outros estados, seja diretamente por eles, em seu nome ou com seu apoio prático e/ou estímulo moral”, de acordo com o relatório.
Embora seja uma definição ampla, o estudo é específico ao prever as consequências de um ataque deste tipo, que divide entre “destrutivo” e “perturbador”.
- Impacto destrutivo: causa um dano físico. Pode tomar a forma de um ataque que, por exemplo, desliga os sistemas de resfriamento das turbinas a gás (utilizadas em usinas de energia e transporte), abre as comportas de contenção dos reservatórios ou fecha as válvulas de segurança dos dutos de água.
- Impacto disruptivo: concentrado na inutilização de sistemas, serviços ou infraestrutura digital. Pode variar desde o bloqueio de redes de caixas eletrônicos, roubo de ativos financeiros e contas bancárias, ou bloqueio de computadores e corrupção de dados em hospitais, serviços de emergência ou utilidades críticas, até ataques à rede elétrica, levando a apagões ou interrupção das cadeias de distribuição de alimentos ou combustível.
Procurando os culpados
Uma vez estabelecido o contexto, é hora de atribuir o ataque, um processo que os especialistas da Associação de Genebra advertem que muitas vezes é “inerentemente difícil“. Para começar, é necessário distinguir entre os três atores que podem estar por trás disso: criminosos, terroristas e estados, tendo em mente que somente um ator do estado tem a capacidade de realizar um evento HCA. Na maioria dos casos, este é o ponto fundamental do qual a categorização dependerá: se o perpetrador é uma organização terrorista ou um Estado. “Atribuição e autoria são os principais desafios enfrentados pelo setor segurador, já que a resolução de muitos casos exigiria uma coordenação internacional rápida e transparente, que atualmente não está em vigor e não se espera que seja resolvida nos próximos anos“, diz Daniel Largacha.
A natureza diferente dos dois é tanto uma pista quanto um obstáculo. O terrorismo precisa de notoriedade, pois tende a justificar seus ataques. Por outro lado, um ator estatal atuando secretamente, não só não tem nenhum incentivo para tornar pública sua autoria, como também tentará não deixar nenhum vestígio que possa ser usado na atribuição do ataque.
O relatório propõe uma estrutura passo a passo para que os profissionais de seguros respondam perguntas mais simples, que vão desde os regulamentos de segurança de um país ou se ele conduz uma investigação eficaz, até a coordenação de ataques ou o envolvimento de forças oficiais como os militares em um ataque. Esta estrutura resulta em envolvimento estatal inexistente, baixo, médio ou alto em vários casos, tais como ação direta, incitação ou simplesmente deixar as mãos livres dos atacantes. Entretanto, a Associação de Genebra adverte que o sucesso desta metodologia requer mais esforços para unificar os critérios em nível internacional.
Mas para fins do seguro, uma vez que a autoria de um ataque determinará se seus danos estarão incluídos no contrato, e mesmo o tamanho da indenização, os responsáveis finais por estabelecer uma autoria pouco clara caberá aos tribunais. A atribuição mais confiável virá das investigações da polícia, dos serviços secretos e das empresas especializadas, que muitas vezes não são de domínio público. Aqui, o relatório é contundente: as seguradoras só podem estabelecer um caso de ciberatividade hostil se a acusação for pública e incluir provas. Levanta também dois cenários a meio caminho: que a atribuição seja tornada pública, mas sem provas, o que “pode não ser suficiente para que a seguradora a utilize nos tribunais“, ou que a acusação seja feita por um país “não credível”, quando “é improvável que seja validada por um tribunal, a seguradora tem que prová-la com evidências”.
Soluções do setor segurador
Atualmente, os danos potenciais da ciberatividade hostil são cobertos de forma limitada pelo setor de seguros. Mas a transformação dos riscos e sua evolução para a esfera digital torna necessário que os seguros tenham uma presença maior nesta área. Este crescimento, entretanto, não pode ser impulsionado apenas pelas seguradoras.
“As perdas potenciais causadas pelo terrorismo cibernético ou eventos HCA são muito grandes e incertas para que somente o mercado de resseguros as absorva”, diz a associação industrial global do setor, que aponta às parcerias público-privadas (PPP, na sigla em inglês) como uma solução possível. Através de tal aliança, o setor público absorveria parte dos riscos cibernéticos “máximos”, dos quais, após exemplos como apagões massivos ou ataques a usinas de energia, é difícil imaginar o impacto econômico potencial.
Embora o formato desta colaboração possa variar dependendo das diferentes jurisdições, o estudo aponta alguns exemplos bem-sucedidos de PPP já existentes em outros casos, como a empresa alemã Extremus, que cobre danos de atentados terroristas até um limite, além do qual o país responde; a empresa francesa Assuratome e sua cobertura de acidentes nucleares; ou o Consórcio de Compensação de Seguros na Espanha com sua resposta a desastres naturais.