À medida que a procura cresceu para níveis sem precedentes, a indústria tornou-se altamente volátil. Os prémios estão a aumentar, existem mais regras sobre o que está ou não coberto e foram introduzidas normas mínimas para as empresas que pretendem estar seguradas. Isso pode parecer uma má notícia para as empresas, mas, em última análise, há vários aspectos positivos.
Às vezes as pessoas pensam que a segurança cibernética é um mundo sombrio. Na realidade, a realidade física e digital são muito mais semelhantes do que você imagina. Há trinta anos, as empresas que queriam proteger o seu património pensavam primeiro nos seguros contra incêndio e roubo. Hoje os riscos são mais digitais. De acordo com Relatório de Tendências de Proteção de Dados da Veeam 2024, três em cada quatro organizações sofreram pelo menos um ataque de ransomware no ano passado e uma em cada quatro foi atacada mais de quatro vezes no mesmo período.
Não é de admirar que o seguro cibernético tenha se tornado uma escolha cada vez mais popular para muitas organizações – deverá crescer 24% tornar-se uma indústria de 84,62 mil milhões de dólares até 2030. No entanto, à medida que o número de empresas que compram e necessitam de seguros aumentou, o seu custo também cresceu de forma constante, com os prémios a aumentar nos últimos três anos. Esta não foi a única mudança das seguradoras que procuram manter a rentabilidade da protecção cibernética: uma avaliação de risco mais significativa, a introdução de padrões mínimos de segurança e a redução da cobertura tornaram-se práticas comuns nos últimos anos.
O seguro cibernético tornou-se um tema controverso recentemente, que se resume principalmente à questão de um milhão de dólares sobre ransomware: pagar ou não pagar? Embora muitos rejeitem a ideia de que as empresas seguradas sejam mais propensos a pagar resgates, tem Relatório de 2023 sobre as vítimas descobriu que 77% dos resgates foram pagos por seguros. No entanto, muitas seguradoras estão tentando acabar com esta situação. O mesmo relatório descobriu que 21% das organizações excluem agora explicitamente o ransomware das suas políticas. Também vimos outros excluir explicitamente pagamentos de resgate das suas políticas: cobrirão custos de tempo de inatividade e danos, mas não custos de extorsão.
Na minha opinião, a última abordagem é a melhor. Pagar resgates não é uma boa ideia e não é para isso que o seguro deve ser usado. Não se trata apenas de uma questão de ética e de incentivo ao crime, mas do facto de que pagar o resgate não resolve imediatamente o problema e muitas vezes cria novos problemas. Primeiro, os cibercriminosos rastreiam quais empresas pagam para que possam voltar para um segundo ataque ou compartilhar essas informações com outras organizações.
Um estudo descobriu que 80% das empresas que pagaram resgate foram atingidas pela segunda vez. Mas mesmo antes de chegar a este ponto, a recuperação através do pagamento do resgate raramente é fácil. A recuperação com chaves de descriptografia fornecidas por invasores leva muito tempo, muitas vezes intencionalmente, pois alguns grupos cobram por cada chave para acelerar o processo.Enquanto a descriptografia funcionar, uma em cada cinco empresas paga um resgate e não consegue recuperar os próprios dados.
Assim, o pagamento de resgates através de seguros está, felizmente, desaparecendo lentamente. Mas essa não foi a única coisa que mudou. As empresas que exigem seguro cibernético são cada vez mais obrigadas a cumprir padrões mínimos de segurança e resiliência contra ransomware. Isso pode incluir o uso de backups criptografados e imutáveis e a implementação de princípios de práticas recomendadas de proteção de dados, como privilégio mínimo (dar acesso apenas a quem precisa) ou quatro olhos (exigir que alterações ou solicitações significativas sejam aprovadas por duas pessoas). Algumas políticas também exigem que as empresas tenham planos sólidos para garantir a disponibilidade do sistema, incluindo processos de recuperação de desastres. definido para evitar tempo de inatividade devido a um ataque de ransomware. Afinal, quanto mais tempo um sistema ficar inativo, maior será o custo do tempo de inatividade e, com ele, o custo de um sinistro.
As empresas ainda devem ter todos esses elementos. Se o seguro for acompanhado por processos desleixados de proteção e recuperação de dados, os pagamentos do seguro apenas encobrirão as falhas. A introdução de normas mínimas é uma boa notícia para as empresas. Não só reduzirá o custo dos prémios a longo prazo, mas os princípios de segurança que exigem serão mais valiosos para as empresas do que o seguro era inicialmente. O seguro cibernético não é uma garantia absoluta, mas pode ser um elemento benéfico de uma estratégia mais ampla de resiliência cibernética. Ambos são úteis, mas caso você seja obrigado a escolher apenas um, a resiliência seria sempre a melhor escolha. Felizmente, as seguradoras concordam, uma vez que as empresas desprotegidas estão a tornar-se demasiado pouco lucrativas para cobrir.
O seguro cibernético, especialmente no que se refere ao ransomware, está caminhando para um mundo onde as empresas seguradas têm forte resiliência cibernética e planos de recuperação de desastres bem estabelecidos definite e use seguro apenas para mitigar o impacto dos ataques e o custo do tempo de inatividade enquanto restauram por meio de backups imutáveis. Este é um mundo muito mais resistente ao ransomware do que aquele em que as empresas dependem apenas de seguros.
BlogInnovazione.it
Uma operação de oftalmoplastia usando o visualizador comercial Apple Vision Pro foi realizada na Policlínica Catania…
O desenvolvimento de habilidades motoras finas por meio da coloração prepara as crianças para habilidades mais complexas, como escrever. Colorir…
O setor naval é uma verdadeira potência económica global, que navegou para um mercado de 150 mil milhões...
Na segunda-feira passada, o Financial Times anunciou um acordo com a OpenAI. O FT licencia seu jornalismo de classe mundial…