Até mesmo os especialistas em segurança cibernética são pegos de surpresa. Um recente ataque cibernético ao fornecedor multinacional de tecnologia DXC Technology, que, entre outros serviços, fornece resposta a incidentes para clientes, mostrou que mesmo os especialistas são vulneráveis a ataques. Isto demonstra o risco sistémico de uma indústria depender de um grande fornecedor.
Lições do ataque cibernético X Changing
A subsidiária de serviços gerenciados da DXC, X Changing, sofreu um ataque de ransomware significativo que durou quase quatro semanas. A empresa trabalhou arduamente para restaurar o acesso ao seu ambiente operacional e manteve as seguradoras e os corretores atualizados com o progresso, mas uma boa comunicação por si só não mantém os clientes satisfeitos. Os atrasos significativos no processamento de sinistros e prémios permanecerão por muito tempo na memória de todos os envolvidos nas transacções de seguros relacionadas. Um evento cibernético mal administrado pode ser uma maneira fácil de destruir a confiança que uma empresa passou anos construindo. A transparência é fundamental.
Nem todas as empresas adotam uma abordagem transparente. Afinal, descobrir que uma empresa está sujeita a possíveis investigações regulatórias ou governamentais pode ser desconcertante. Além disso, é caro gerir publicamente um evento cibernético e, em tempos difíceis, uma empresa pode ter outras prioridades de gastos.
Isso significa que os encobrimentos acontecem, mas o custo de um encobrimento provavelmente será maior do que o custo de gerenciar bem um ataque. Por exemplo, Uber tentou encobrir uma violação e foi multada em US$ 148 milhões. Embora o desejo de ignorar, negar ou mesmo remover provas potencialmente incriminatórias seja compreensível, deve ser resistido.
Risco da cadeia de abastecimento
Costuma-se dizer que o elo mais fraco na segurança cibernética de uma empresa é sua cadeia de suprimentos à medida que a vulnerabilidade de uma empresa aumenta com a sua dependência de um fornecedor crítico. Este ponto é ilustrado pelo evento cibernético DXC, que levantou questões sobre a fiabilidade de um fornecedor responsável pela liquidação de 100 mil milhões de dólares em prémios e sinistros para a indústria de seguros.
Examine os registros de risco
O risco cibernético não se resume apenas ao mau funcionamento do antivírus ou do firewall de uma empresa. Tudo se resume aos principais controles operacionais necessários para monitorar e manter boas práticas de trabalho. Uma empresa deve explorar todos os riscos, incluindo interrupção de negócios, danos à reputação e falhas na cadeia de abastecimento. Afinal, o probabilidade de uma explosão solar do sol, danificar satélites, sistemas de comunicação e fontes de energia tem a mesma probabilidade e impacto que uma pandemia de saúde global.
É essencial que as empresas mantenham um registo de riscos atualizado e abrangente, que seja acompanhado de um mapeamento de seguros para definir quais os riscos contra os quais estão segurados e quais não estão. É mais do que provável que a DXC considere a interrupção dos seus próprios negócios, tanto pelas receitas perdidas como pelo custo de lidar com o ataque de ransomware, juntamente com as suas responsabilidades para com o setor de seguros por causar grandes perturbações.
Sobre Elmore Corretora de Seguros
Elmore Insurance Brokers Limited aconselha seus clientes a gerenciar ativamente os riscos para otimizar o seguro. O seguro é uma parceria entre empresas e seguradoras. Esta parceria pode ser significativamente melhorada através de um envolvimento centrado na compreensão e implementação das melhores práticas de gestão de riscos.
Escrito por Simon Gilbert, fundador e diretor administrativo, Elmore Corretores de Seguros Limited.