SEU PATRIMÔNIO TEM UMA PORTA ABERTA

Em 21 de fevereiro de 2024, um funcionário da Change Healthcare, a maior processadora de pagamentos médicos dos Estados Unidos, notou algo estranho nos sistemas. Lento demais. Processos travando. Arquivos inacessíveis.

Em poucas horas, a empresa desligou toda a sua rede. Voluntariamente. Preventivamente. E, ao fazer isso, desconectou o sistema circulatório financeiro da saúde americana.

A Change Healthcare processa 15 bilhões de transações médicas por ano. Conecta hospitais, clínicas, farmácias, seguradoras e laboratórios. Quando seus sistemas caíram, médicos não conseguiam verificar coberturas de planos de saúde. Farmácias não conseguiam processar receitas. Hospitais pequenos, que dependiam dos repasses da Change para pagar folha, ficaram sem caixa em dias.

O ataque veio do grupo ALPHV/BlackCat, um dos mais sofisticados grupos de ransomware do mundo. O vetor de entrada? Credenciais comprometidas de um único funcionário. Sem autenticação multifator.

Uma senha. Sem segundo fator. US$ 872 milhões em prejuízo direto.

A UnitedHealth Group, controladora da Change, pagou US$ 22 milhões em resgate. Mesmo assim, os dados de mais de 100 milhões de pacientes foram expostos. Foi a maior violação de dados de saúde da história americana.

O CEO Andrew Witty, chamado a depor no Congresso americano em maio de 2024, admitiu o óbvio: a autenticação multifator não estava implementada em todos os sistemas. Um controle básico. O tipo de coisa que qualquer consultor de TI recomendaria. Mas que, naquela empresa de US$ 370 bilhões em receita, simplesmente não estava lá.

Não foi um ataque sofisticado que derrubou a maior processadora de saúde dos EUA. Foi a ausência de um controle que custa menos de US$ 3 por usuário por mês.

Essa história não é sobre tecnologia. É sobre governança. É sobre a distância entre o que o board de uma empresa acredita estar protegido e o que de fato está. É sobre o ponto cego que existe quando cibersegurança é tratada como “assunto de TI” e não como risco patrimonial.

E é exatamente sobre isso que quero falar nesta edição.

Em fevereiro deste ano, completei o programa Cybersecurity & Executive Strategy da Stanford University. Um curso desenhado não para técnicos, mas para executivos e conselheiros que precisam entender cybersecurity como risco de negócio. O que aprendi ali mudou a forma como olho para o patrimônio dos nossos clientes na Hatteras.

Esta edição é mais longa que o habitual. Porque o tema merece.

A primeira coisa que Stanford ensina é uma distinção que parece simples, mas que muda completamente a forma de pensar sobre segurança digital: existem dois tipos de ataques cibernéticos. E eles exigem respostas radicalmente diferentes.

Ataques de rotina são como acidentes de carro. Acontecem todos os dias, têm custo previsível e são gerenciáveis. Phishing, malware comum, vazamento de credenciais, ransomware de baixo calibre. A maioria das empresas vai sofrer algum desses. O custo médio de uma violação de dados no Brasil em 2024, segundo a IBM, foi de R$ 6,75 milhões. Dói, mas não mata.

Ataques existenciais são outra coisa. São o equivalente a um terremoto. Raros, mas quando acontecem, podem destruir a empresa. Ou toda uma cadeia de valor. Change Healthcare foi um desses. O ataque à SolarWinds em 2020, que comprometeu 18.000 organizações incluindo agências do governo americano, foi outro.

A pesquisa de Stanford analisou mais de 60.000 incidentes cibernéticos ao longo de seis anos e descobriu algo que os atuários conhecem bem: a distribuição dos prejuízos segue uma power law. A grande maioria dos incidentes causa perdas pequenas. Mas os eventos na cauda da distribuição, os 1% mais graves, concentram a maior parte do prejuízo total.

Em cibersegurança, 1% dos incidentes pode representar mais prejuízo do que os outros 99% combinados. Isso não é hipérbole. É estatística.

O caso da Target em 2013 ilustra como as duas categorias se conectam. O ataque começou como rotina: um e-mail de phishing enviado a um subcontratado de HVAC — a empresa que cuidava do ar-condicionado das lojas. Com as credenciais roubadas, os atacantes navegaram lateralmente pela rede até alcançar os sistemas de pagamento. Quarenta milhões de cartões de crédito comprometidos. Custo total: US$ 252 milhões, incluindo US$ 90 milhões cobertos pelo seguro cyber.

Um phishing, o ataque mais banal que existe, se transformou em um evento existencial porque os controles de segmentação de rede não existiam. O ar-condicionado estava na mesma rede dos caixas.

Isso tem nome na literatura de segurança: movimentação lateral. E é exatamente o tipo de risco que a maioria dos empresários não sabe que existe em suas próprias redes.

Em 2017, a National Association of Corporate Directors (NACD) publicou o que se tornou referência global em governança de cibersegurança: cinco princípios para engajamento de conselhos no tema. Parecem óbvios. São tudo menos isso.

Cibersegurança é risco de negócio, não risco de TI

Quando o conselho delega cyber para o departamento de TI e nunca mais toca no assunto, está cometendo o mesmo erro que cometeria se delegasse risco financeiro para o contador e parasse de olhar o balanço. Risco cibernético afeta continuidade operacional, reputação, responsabilidade legal e valor patrimonial.

Implicações legais e regulatórias

No Brasil, a LGPD (Lei 13.709/2018) estabelece que o controlador de dados responde objetivamente por falhas de segurança. Multas de até 2% do faturamento, limitadas a R$ 50 milhões por infração. A ANPD já aplicou sanções. Os diretores e conselheiros podem responder pessoalmente — e é aqui que o D&O entra na equação.

Defense-in-Depth: quatro camadas

Prevenir → Detectar → Conter → Recuperar. Se uma camada falha, a próxima segura. Se a prevenção falhou, a detecção identifica. Se a detecção demorou, a contenção limita o dano. Se o dano foi grande, a recuperação reconstrói. Nenhuma camada sozinha é suficiente.

A métrica que Stanford sugere para conselhos é simples e poderosa: tempo de detecção vs. tempo de contenção. Em 2024, o tempo médio global para identificar uma violação foi de 194 dias. Para contê-la, mais 64 dias. São 258 dias — quase nove meses — entre a invasão e a resolução.

Se a resposta for “não sabemos”, você tem um problema que nenhum seguro resolve.

Há um paradoxo na gestão de vulnerabilidades que poucos executivos entendem: corrigir uma falha de segurança também é um risco.

Cada patch, cada correção de software, pode introduzir instabilidade, quebrar integrações, derrubar sistemas. Em julho de 2024, uma atualização defeituosa do CrowdStrike (ironia: um software de segurança) causou a maior falha de TI da história, derrubando 8,5 milhões de dispositivos Windows simultaneamente. Aeroportos fecharam. Hospitais voltaram ao papel. O prejuízo global estimado: US$ 5,4 bilhões.

Isso cria o que Stanford chama de curva de otimização entre risco do exploit e risco do patch. Aplicar patches rápido demais pode desestabilizar sistemas críticos. Demorar demais deixa a porta aberta para atacantes. O ponto ótimo varia por empresa, por sistema, por criticidade.

A maioria das empresas que conheço pula do passo 1 direto para o 4. Quando faz alguma coisa. Não têm inventário completo dos seus ativos digitais. Não sabem quantos servidores têm, quais softwares rodam, quais estão desatualizados.

Outra lição contra-intuitiva de Stanford: a abordagem reativa pode ser mais eficiente que a proativa em certos contextos. A lógica vem da economia, do multiplicative update method. Se o custo de atualizar proativamente todos os sistemas é maior que o custo esperado dos incidentes que seriam evitados, a empresa racional prioriza e aceita algum nível de risco residual.

Isso não é negligência. É gestão de risco. A diferença está na consciência: a empresa que decide aceitar um risco residual após análise criteriosa está em posição radicalmente diferente da que simplesmente não sabe o que não sabe.

Agora chegamos ao território que conheço de perto. E preciso ser direto: seguro cyber é uma das áreas mais mal compreendidas do mercado de seguros, no Brasil e no mundo.

A primeira confusão é achar que seguro cyber é uma coisa só. Não é. São duas coberturas fundamentalmente diferentes:

O caso Target é instrutivo aqui. Dos US$ 252 milhões em perdas, US$ 90 milhões foram cobertos pelo seguro. Ficaram descobertos US$ 162 milhões, entre custos de remediação, processos judiciais, multas regulatórias e, o mais caro de tudo, a perda de receita durante e após a crise.

No Brasil, o mercado de seguro cyber ainda está amadurecendo. Mas há sinais claros de crescimento: o volume de prêmios cresceu 880% entre 2019 e 2023, segundo dados da SUSEP. Ainda assim, a penetração é baixíssima. A maioria das médias e grandes empresas brasileiras não tem qualquer cobertura cyber.

Um ataque cibernético grave pode ativar não apenas o seguro cyber, mas também o D&O. Se diretores falharam no dever de supervisão (não implementaram controles básicos, não tinham plano de resposta), eles respondem pessoalmente. A LGPD permite isso. O Código Civil permite isso.

O desafio para as seguradoras é precificar um risco que muda a cada dia. Diferente de um incêndio, onde os fatores de risco são relativamente estáveis, em cyber o cenário de ameaças se transforma semanalmente. Os dados históricos são escassos e enviesados. E a correlação entre eventos é alta: um zero-day pode afetar milhares de empresas simultaneamente.

É por isso que as seguradoras estão cada vez mais exigentes nos questionários de subscrição. Autenticação multifator, backup off-site, EDR, plano de resposta a incidentes documentado, treinamento de funcionários — tudo isso virou pré-requisito, não diferencial.

Para o empresário, a mensagem é: seguro cyber é essencial, mas é a última linha de defesa, não a primeira. Nenhuma seguradora vai cobrir uma empresa que não faz o básico. E o “básico” de hoje é muito mais exigente do que era há cinco anos.

A última parte do programa de Stanford trata do que talvez seja o mais importante: como mapear e quantificar o risco cibernético de forma que o conselho e o CFO consigam tomar decisões informadas.

Existem dois tipos de avaliação:

Black-box (de fora para dentro): Ferramentas como BitSight e SecurityScorecard escaneiam a presença digital da empresa — portas abertas, certificados expirados, reputação de IPs, vulnerabilidades visíveis. Geram um score. É rápido, não-intrusivo e útil como triagem. Mas é limitado: vê apenas o que está exposto na superfície.

White-box (de dentro para fora): Auditorias como ISO 27001, NIST CSF e BSIMM avaliam processos, controles internos, maturidade de segurança. São profundas, demoradas e caras. Mas dão a foto real.

Para quantificação de risco, os frameworks mais robustos são o NIST 800-30 (Risk Assessment) e o FAIR (Factor Analysis of Information Risk). O FAIR é particularmente útil porque traduz risco cibernético em linguagem financeira — frequência esperada de perda multiplicada por magnitude provável. O resultado é uma distribuição probabilística que o CFO consegue comparar com outros riscos do negócio.

Em Stanford, uma das técnicas ensinadas é a simulação de Monte Carlo aplicada a cenários cyber: definir variáveis de entrada, rodar milhares de simulações e gerar uma curva de distribuição de perdas. É exatamente o tipo de análise que fazemos na Hatteras para riscos patrimoniais tradicionais — e que deveria ser feita para risco cibernético.

O que isso significa para você

Se você é empresário, CEO, CFO ou conselheiro de uma empresa brasileira, aqui está o que eu levaria desta edição:

Primeiro: cibersegurança não é gasto de TI. É proteção patrimonial. O orçamento de segurança deveria ser discutido na mesma mesa que o orçamento de seguros, de compliance e de gestão de riscos.

Segundo: o básico importa mais que o sofisticado. Autenticação multifator, backup testado, segmentação de rede, treinamento de equipe. A Change Healthcare não caiu por falta de tecnologia avançada. Caiu por falta do básico.

Terceiro: seu conselho precisa de cibersegurança na pauta. Não como item eventual. Como item fixo. Com métricas. Com cenários de perda. Com tolerância definida.

Quarto: seguro cyber é essencial, mas é complemento, não substituto. E a sinergia entre cyber, D&O e responsabilidade civil precisa ser pensada de forma integrada — não em silos.

Quinto: o risco que você não mede é o risco que te derruba. Mapeie. Quantifique. Tome decisão informada.

O nome desta newsletter é Ponto Cego por um motivo. Cibersegurança é, hoje, o maior ponto cego patrimonial da maioria das empresas brasileiras. Não porque a ameaça seja nova — mas porque ainda é tratada como problema técnico quando é, na verdade, risco de negócio.

A porta está aberta. A pergunta é se você vai fechá-la antes que alguém entre.

Conhece alguém que precisa ler isso?

Compartilhe o Ponto Cego na sua rede preferida.

Rafael A. Weber Sócio da Hatteras Wealth & Risk Management

Sentado na mesa de empresários que construíram grandes negócios, descobri que quase todos têm o mesmo problema: ninguém olha a foto inteira. O corretor vê seguros. O assessor vê investimentos. O advogado vê estrutura. Na Hatteras, analisamos a foto inteira. Porque proteger, aumentar e perpetuar patrimônio não são três decisões. É uma só.

O Ponto Cego nasceu dessa obsessão: integrar o que o mercado fragmentou. Risco, patrimônio, investimentos e inovação, na mesma conversa, toda semana.