Na cibersegurança, há a realidade que se conhece e a realidade que não se conhece. O mais recente relatório da Marsh revela que, em Portugal, 23% das empresas admitem que já foram alvo de um ciberataque. Mas a própria empresa que explora o segmento dos seguros confirma que apenas se conhece uma parte da realidade: «Há empresas que não admitem que foram atacadas e também há empresas que não sabem que foram atacadas», explica Ana Marques, responsável pelo Desenvolvimento de Negócio na Área Financeira da Marsh.
O relatório da Marsh tem por ponto de partida um inquérito a 700 empresas na UE. Portugal foi o segundo país com mais respostas dadas ao inquérito, apesar de a Marsh não indicar qual o número de participantes. Foi com base nessas respostas, que a Marsh apurou que 57% das empresas consideram que os ciberataques como uma das piores ameaças ao decurso do negócio.
No que toca a cenários, 29% das empresas nacionais que participaram no inquérito consideram a interrupção do negócio como o pior cenário resultante de uma investida de cibercriminosos. Sobre as causas das ciberameaças, as respostas incidiram sobre hackers (39%), ameaça interna (30%) e erros operacionais (27%).
Ana Marques lembra ainda outro número que destoa da noção do perigo proveniente da Internet: 74% das empresas não fizeram qualquer estimativa quantitativa quanto às perdas causadas por um ciberataque e 87% dessas empresas não formularam quaisquer planos para subscrever seguros que compensem as perdas causadas pelas falhas ou ataques que têm origem na Internet.
Defendendo a sua “dama”, os responsáveis da Marsh lembram que os seguros poderão assumir um papel importante para minimizar estragos relacionados com a perda de dados, paragem de negócio ou compensações devidas a clientes pela perda de confidencialidade dos dados. E ainda apontam para a futura legislação europeia, que prevê a aplicação de pesadas coimas para empresas que não tomem as medidas necessárias para garantir a proteção dos dados dos respetivos clientes.
Ana Marques sublinha três lacunas apontadas pelo relatório produzido pela Marsh: A necessidade de quantificação dos riscos; a necessidade de responsabilidade partilhada entre departamentos de tecnologias e administração e serviços financeiros da empresa; e ainda necessidade de aprofundar o conhecimento de fornecedores e clientes de uma empresa, que podem funcionar como portas de entrada para ataques.