As seguradoras cibernéticas enfrentam um ponto cego crítico, pois as violações de fornecedores terceirizados expõem falhas nos modelos tradicionais de subscrição.
O risco cibernético não se limita ao firewall. De plataformas em nuvem e processadores de folha de pagamento a software de suporte ao cliente e ferramentas de análise de dados, a organização média agora depende de um ecossistema complexo de fornecedores terceirizados. Essa crescente rede de interdependência digital criou uma nova fronteira de exposição, que os modelos tradicionais de seguro cibernético não estão preparados para lidar. É uma nova fronteira de exposição também para os compradores de seguros cibernéticos, pois até o momento eles têm sido subscritos principalmente com base no entendimento da seguradora sobre seus controles cibernéticos, em vez de preocupação com a postura cibernética de seus fornecedores terceirizados.
Embora as seguradoras cibernéticas tenham feito progressos significativos no amadurecimento de seus modelos de subscrição, o risco da cadeia de suprimentos continua sendo um ponto cego persistente. Apesar da crescente conscientização, o setor continua subestimando a exposição operacional e financeira introduzida por fornecedores terceirizados. À medida que a frequência e a gravidade dos incidentes relacionados a fornecedores aumentam, seguradoras e empresas devem repensar como avaliam, medem e mitigam essa forma de risco conectado.
Suposições que ficam aquém
O desafio não é a falta de preocupação. É a falta de clareza. Muitos modelos de subscrição atuais dependem de suposições e heurísticas para estimar a exposição do fornecedor. Por exemplo, algumas seguradoras estimam o risco de concentração aplicando estimativas de participação de mercado dos fornecedores ao seu portfólio de negócios. Essa abordagem ignora as nuances da dependência real da empresa. Um fornecedor de software com uma pequena participação de mercado pode ser um parceiro de integração crítico para dezenas de segurados. Por outro lado, um fornecedor amplamente utilizado pode ter importância operacional mínima em determinados segmentos. Sem visibilidade dessas relações, as seguradoras estão voando às cegas.
Incidentes recentes destacaram esse problema. Violações de alto perfil atribuídas a fornecedores terceirizados pegaram seguradoras e segurados de surpresa, não porque esses fornecedores eram desconhecidos, mas porque seu risco não era compreendido. Um exemplo é a violação da CDK Global, um fornecedor amplamente utilizado que atende concessionárias de automóveis nos Estados Unidos. O incidente provocou interrupções em cascata em centenas de empresas. Um grupo de hackers da Europa Oriental e da Rússia, que os pesquisadores de segurança acreditam ser o BlackSuit, assumiu a responsabilidade e exigiu dezenas de milhões de dólares em resgate.
Apesar de segurar muitos segurados afetados, as seguradoras não estavam cientes da dependência compartilhada ou da magnitude de seu impacto potencial. Pelo menos oito ações judiciais alegando negligência foram movidas contra a CDK por concessionárias cujas operações foram afetadas pela interrupção. Nas duas primeiras semanas, as concessionárias registraram perdas financeiras no valor de aproximadamente US$ 605 milhões.
As implicações de uma interrupção na rede resultante de uma falha na rede de um fornecedor terceirizado ficaram muito claras com este evento. Eventos como o que afetou a CDK não são exclusivos dos fornecedores de tecnologia. As organizações precisam considerar os riscos associados a todos os tipos de fornecedores com os quais trabalham.
Entradas falhas, resultados falhos
Por que isso continua acontecendo? Parte do problema está na forma como as empresas classificam e avaliam seus próprios fornecedores. Os processos tradicionais de aquisição podem avaliar a “adequação” e a estabilidade financeira do fornecedor, mas muitas vezes ignoram a postura de controle de segurança cibernética ou não conseguem quantificar o quão crítico um fornecedor realmente é para as operações comerciais. Mesmo quando são realizadas avaliações de risco dos fornecedores, elas raramente são compartilhadas com os superiores para informar a análise do portfólio das seguradoras.
Para resolver isso, o setor precisa de um novo modelo, que leve em consideração tanto os controles técnicos quanto a dependência operacional. Um fornecedor com higiene de segurança cibernética fraca pode não representar uma exposição significativa se estiver pouco integrado e for facilmente substituível. Por outro lado, um fornecedor com controles fortes ainda pode introduzir um alto risco sistêmico se seu serviço estiver profundamente incorporado em fluxos de trabalho críticos para os negócios.
Já existe um plano
Essa abordagem dupla já é utilizada por empresas líderes, especialmente em serviços financeiros, onde a supervisão de riscos de fornecedores é uma disciplina com décadas de existência. Essas organizações combinam insights de riscos cibernéticos de terceiros com avaliações internas da criticidade dos fornecedores para tomar decisões mais informadas. As seguradoras podem seguir o exemplo, incentivando maior transparência, padronizando estruturas de relatórios e adotando tecnologias que possam dimensionar a avaliação de riscos para milhares de segurados.
Assim como a exigência de autenticação multifatorial se tornou padrão na subscrição, agora precisamos expandir as expectativas para incluir a transparência do risco do fornecedor e a avaliação da cadeia de suprimentos. O setor deve evoluir além da avaliação isolada do segurado.
Oportunidade para liderança no setor
A boa notícia? Não estamos começando do zero. Fontes de dados emergentes, telemetria aprimorada e avanços na automação tornam cada vez mais possível mapear as dependências dos fornecedores e avaliar a postura cibernética em escala. Mas a tecnologia por si só não é suficiente. Novas maneiras de quantificar o risco, incorporando o risco de fornecedores terceirizados de uma empresa juntamente com elementos históricos de risco, estão sendo desenvolvidas. Seguradoras, corretores, profissionais de segurança e líderes empresariais devem trabalhar juntos para eliminar a lacuna de visibilidade da cadeia de suprimentos.
Este não é apenas um desafio de subscrição. É um risco sistêmico para a economia digital em geral. Abordá-lo exigirá mais colaboração, padrões compartilhados e disposição para evoluir modelos desatualizados. O setor de seguros cibernéticos tem a oportunidade de liderar o caminho. Não vamos esperar pela próxima violação para provar a urgência dessa liderança.
