Executivos acreditam que a adaptação é possível — mas não garantida para todo o mercado
O mercado de seguro cibernético se prepara para mais uma evolução do risco cibernético impulsionada pelo poderoso modelo “Mythos”, da Anthropic. Algumas seguradoras argumentam que o setor pode se adaptar, embora nem todas as empresas sobrevivam à transição.
O Mythos, um sistema avançado de inteligência artificial, é capaz de identificar vulnerabilidades em softwares em velocidades muito superiores à capacidade humana. Segundo a Anthropic e relatórios da mídia, o modelo já expôs milhares de vulnerabilidades até então desconhecidas em sistemas operacionais e navegadores amplamente utilizados.
Preparando-se para a explosão de “dias-zero” impulsionada por IA
Por ora, a Anthropic restringiu o acesso a um pequeno grupo de organizações verificadas, no âmbito do “Projeto Glasswing”, diante do temor de que a tecnologia possa ser utilizada de forma indevida por agentes maliciosos. As seguradoras manifestaram preocupações não apenas com ataques cibernéticos mais rápidos, mas também com a possibilidade de descoberta em escala automatizada de vulnerabilidades de “dia zero” (falhas desconhecidas pelos fornecedores de software que podem permanecer ocultas por anos).
“Conseguiremos responder aos ataques impulsionados por IA assim que detectarmos os padrões”, afirmou Simon Hughes, diretor comercial da Cowbell. “O problema é a execução em massa da busca por vulnerabilidades. A escala em que o Mythos consegue fazer isso vai além do que qualquer pessoa é capaz de se defender.”
O surgimento de capacidades cibernéticas ofensivas assistidas por IA desencadeou discussões urgentes entre bancos, reguladores e seguradoras em todo o mundo. O Fundo Monetário Internacional alertou recentemente que modelos avançados de IA poderiam gerar choques cibernéticos “sistêmicos” no sistema financeiro, acelerando ataques correlacionados em softwares e infraestruturas de nuvem amplamente utilizados.
“É impressionante ver o que o Mythos consegue fazer”, disse Alessandro Lezzi, diretor global de risco cibernético da Beazley. “Estamos monitorando de perto as implicações para a agregação de riscos. Atualmente, esses modelos exigem grande poder computacional e são caros de operar, o que limita a capacidade dos agentes de ameaça de acessá-los e implantá-los em escala. Dito isso, isso pode mudar ao longo do tempo.”
A escalada da IA força as seguradoras cibernéticas a revisitar os modelos
Apesar desses temores, executivos do mercado de seguro cibernético afirmaram que o setor já demonstrou capacidade de evoluir rapidamente diante de mudanças no cenário de ameaças.
Jeff Kulikowski, vice-presidente executivo e responsável pela área de cyber e E&O da Westfield Specialty, disse que as seguradoras cibernéticas passaram anos modelando eventos cibernéticos sistêmicos catastróficos e agora estão recalibrando esses modelos para contemplar a escalada da IA.
“É possível perceber que o volume de incidentes pode crescer em um ritmo muito mais acelerado”, afirmou Kulikowski. “Isso nos leva a rever nossa modelagem… a forma como prevemos não apenas as perdas, mas até mesmo em que tipo de negócio atuamos.”
Segundo Kulikowski, o seguro cibernético difere de linhas tradicionais, como o seguro patrimonial, porque as seguradoras não conseguem diversificar facilmente o risco geográfico. Em vez disso, o setor enfrenta risco de concentração em torno de um pequeno número de provedores dominantes de nuvem e tecnologia. “As empresas de tecnologia se consolidaram bastante, assim como os serviços”, destacou.
Ainda assim, Kulikowski argumentou que o mercado cibernético já passou por adaptações anteriores. Ele citou a explosão do ransomware entre 2016 e 2017, quando as reivindicações de extorsão cibernética saltaram de praticamente zero para cerca de 80% das ocorrências em seguro cibernético.
“Tivemos um ano difícil porque não estávamos precificando o ransomware”, disse Kulikowski. “Mas nos ajustamos. Construímos um novo modelo para lidar com os sinistros de forma rápida e satisfatória para os segurados, mantendo as seguradoras lucrativas.”
Avaliações de risco mais rápidas e subscrição mais clara
No caso de ataques cibernéticos impulsionados por IA, o ajuste provavelmente envolverá uma subscrição mais sofisticada e uma linguagem contratual mais clara nas apólices.
A Beazley é uma das poucas seguradoras que caminham para uma linguagem de apólice mais explícita sobre IA, em vez de exclusões. Lezzi também ressaltou que os formulários de seguro cibernético precisam ser adaptados ao cenário de ameaças em escalada.
“Precisamos fazer perguntas diferentes aos clientes, o que também os ajuda a entender onde estão em relação aos seus pares”, disse Lezzi à Insurance Business. “Por exemplo, as perguntas que normalmente fazemos atualmente são sobre governança de IA: quais dados utilizam, quais modelos estão usando, como estão usando a IA, se estão usando IA agêntica, qual é a intervenção humana durante a implantação e quais verificações e balanços têm em vigor.”
Hughes, da Cowbell, concorda que as exclusões de IA não são “o caminho a seguir” para o setor de seguro cibernético. “Acho importante que não estejamos simplesmente excluindo os maiores erros e ameaças”, disse Hughes. “Precisamos nos sentar à mesa para oferecer uma solução sólida de transferência de risco para esses clientes, porque a IA veio para ficar. Precisamos garantir que as abordemos de forma adequada.”
Ao mesmo tempo, as seguradoras esperam combater fogo com fogo. Algumas já utilizam ferramentas de varredura baseadas em IA e telemetria externa para avaliar a postura de segurança dos clientes, reduzindo a necessidade de longos questionários.
O fantasma de um evento cibernético catastrófico paira sobre o setor
Por ora, os executivos concordam que o mercado de seguro cibernético permanece estável… mas apenas se continuar evoluindo no mesmo ritmo que a própria ameaça.
“Acredito que as seguradoras cibernéticas estão preparadas para o Mythos, embora ainda não tenhamos visto nada”, disse Kulikowski. “Pode causar turbulência, mas demonstramos como setor que nos adaptamos facilmente do ponto de vista de sinistros. Temos know-how interno por meio de nossos engenheiros de risco, modeladores terceirizados e fornecedores que nos ajudam a pensar nessas questões. É isso que torna o seguro cibernético tão único.”
No entanto, Lezzi alertou que o risco sistêmico continua sendo uma preocupação central, especialmente à medida que sistemas da classe do Mythos se tornam mais acessíveis e os custos computacionais diminuem ao longo do tempo. A Beazley já desenvolveu cenários de catástrofe cibernética e adquiriu mais de US$ 1 bilhão em proteção contra o risco de agregação cibernética sistêmica.
A capacidade de monitorar continuamente vulnerabilidades em carteiras de segurados pode em breve se tornar requisito básico do setor, caso os modelos de IA acelerem drasticamente o desenvolvimento de exploits. Hughes alertou, porém, que nem todas as seguradoras podem ter a infraestrutura técnica ou os recursos de capital necessários para acompanhar esse ritmo.
“Algumas seguradoras investiram pesadamente na tecnologia e na infraestrutura necessárias para operar com eficácia em escala, enquanto outras não”, disse Hughes. “As seguradoras que conseguem responder de forma rápida e adequada a essas ameaças em evolução são as que terão sucesso neste ambiente.”
