Gestão de Riscos Cibernéticos

20, Ago. 2021

Cyber Risks

Vazamento de dados: como proteger a sua empresa

Fonte: Você S/A.

223 milhões. Esse foi o número de CPFs afetados pelo vazamento do fim do mundo, aquele noticiado no começo do ano. Era uma base de dados com praticamente todos os brasileiros vivos, e alguns mortos também, já que nossa população é de 212 milhões. Junto do CPF, foi para a deep web uma coleção de informações pessoais tão diversa quanto data de nascimento, e-mail, endereços, fotos do rosto, escolaridade e se a pessoa recebe algum benefício do governo, tipo Bolsa Família. Em suma, até a sua alma caiu na boca do povo.

Ninguém sabe ao certo como o vazamento aconteceu. Especialistas acreditam que houve uma grande soma de bases de dados de diversos tamanhos e que foram unidas em um único arquivo de proporções mastodônticas. A origem, nesse caso, pode ter sido menos pirotécnica, mas igualmente grave: pequenos vazamentos feitos ao longo de meses, anos até.

Começa mais ou menos assim. Numa loja de roupas, a vendedora pede seu CPF, data de nascimento e o WhatsApp para avisar das novidades. Você dá meio que no automático. Na farmácia, o CPF é para monitorar as compras que você faz, e oferecer microdescontos personalizados em produtos parecidos, de modo que você compre mais. Tem também o programa de fidelidade do supermercado e, na loja de lingerie, o cadastro pode servir para você lembrar a medida do seu sutiã. Pois é. Assim você distribui suas informações pessoais por aí sem nem se dar conta. Se você está do outro lado do balcão, e é o empreendedor, tem ouro nas mãos, já que elas podem aumentar suas vendas.

Os hackers, por outro lado, consideram essas informações diamantes preciosos, já que elas também podem servir de matéria-prima para fraudes e golpes, como tentar acesso à sua conta de banco. E, sim, se você tiver um negócio, mais hora menos hora eles vão caçar esses e outros dados nos seus sistemas. Caso dê certo, você pode ter prejuízos (veja como mais adiante) e ainda pode ser multado. É que agora a legislação brasileira pune empresas que não são capazes de proteger adequadamente as informações dos seus clientes. Mais do que nunca, é hora de entender que segurança de dados não é só coisa de governo ou de Facebook: é também do seu negócio.

O tamanho do buraco

Na dúvida, assume que você já foi ou logo será alvo de um hacker. Estimativas falam que 50% a 60% dos pequenos e médios negócios sofrem algum tipo de ataque cibernético ou vazamento de dados todos os anos. Outros cálculos vão além: a PSafe, uma das maiores companhias de cibersegurança da América Latina e a primeira a identificar o tal vazamento do início de 2021, estima que três em cada quatro empresas tenham tido informações sigilosas roubadas. O número foi calculado por meio de uma amostragem de 150 empresas em uma ferramenta desenvolvida pela marca para vasculhar a web em busca de dados vazados.

Uma das dificuldades para mensurar o fenômeno é que, muitas vezes, esses ataques ocorrem de forma silenciosa. A IBM calcula que, em média, são necessários 287 dias para uma empresa descobrir que foi vítima de uma invasão e corrigir o problema, isso quando descobre. Mas, calma: há como se proteger.

Alvo fácil

Dado é uma palavra bastante abstrata. Mas é só o sinônimo para coisas como seu nome, idade, senha do seu cartão de crédito ou número que você calça. Em suma, qualquer coisa é um dado. Algumas dessas informações são consideradas pessoais. Isso significa que dá para ligar o dado a uma pessoa. Essa é a função primordial do CPF, por sinal, mas vale para telefone, endereço, nome da mãe (usado para diferenciar homônimos em cadastros oficiais). Outras informações são mais gerais, como saber quantos clientes do sexo feminino uma empresa tem. E é por isso que os números de vazamentos de dados são tão grandes: eles incluem tudo isso. Quase metade (44%) dos dados vazados são do tipo pessoal, segundo o relatório IBM Data Breach Report 2021. Pode não parecer o fim do mundo que seu e-mail ou seu número de RG sejam de conhecimento de outras pessoas. Sozinhos, de fato, eles não servem para muita coisa.

A questão é o efeito dominó. Com dados básicos, dá para descobrir outras informações. A data de nascimento pode ser usada para adivinhar a senha do e-mail dos preguiçosos e desmemoriados, por exemplo. E, com acesso ao e-mail, um hacker pode habilitar um novo celular para usar o seu WhatsApp. Aí ele passa a pedir dinheiro a seus amigos se passando por você. Você pode ser mais precavido e ter uma senha forte, claro. Mas tem jeito de dar golpe com dados vazados mesmo assim.

Informações mais específicas, como a cidade em que você nasceu estampada no RG, podem ser usadas para recuperação de senhas esquecidas, aquela pergunta de segurança que cadastramos quando criamos um e-mail novo. Ela servia para provar que você esqueceu a senha, agora pode ajudar um ladrão a invadir a sua conta, assim caminha a criminalidade.

No fim, criminosos sabem tanto sobre cada pessoa que podem investir em golpes mais sofisticados e personalizados, do tipo engenharia social. Se um golpista liga para você fingindo ser do seu banco e diz seu nome completo, data de nascimento, nome da mãe, número do cartão e uma compra recente, a probabilidade de você cair num golpe cresce exponencialmente. Será um prejuízo na casa dos milhares de reais que começou com um e-mail vazado.

E as pequenas e médias empresas são o alvo perfeito para coleta de matéria-prima. Primeiro porque elas reúnem dados de várias pessoas em seus sistemas, e basta um único ataque para conseguir tudo, economizando tempo e esforço. Segundo, porque elas não têm estrutura tecnológica nem dinheiro para se proteger dos invasores, como fazem as grandes empresas e suas enormes equipes de TI.

E, terceiro, porque muitas acreditam que isso simplesmente não é um problema para elas. Uma pesquisa de 2019 descobriu que 66% dos pequenos empreendedores americanos não se preocupavam com ataques cibernéticos porque achavam que seus negócios eram pequenos demais para atrair hackers, segundo o estudo Keeper Security’s 2019 SMB Cyberthreat.

Ledo engano: 43% dos ataques cibernéticos miram os pequenos negócios, de acordo com a empresa de cibersegurança Symantec.

OS DADOS VAZARAM. E AGORA? CALCULE O TAMANHO DO ESTRAGO

O primeiro passo é entender as reais dimensões do problema. Quais dados foram vazados? Quem foi afetado? As respostas vão guiar sua reação.

PEÇA AJUDA

Um advogado vai ajudar você a entender as obrigações legais num caso assim. Para identificar a fonte do vazamento e corrigir o problema, vale a pena procurar empresas de TI e segurança da informação.

AVISE

A LGPD obriga que qualquer incidente de vazamento seja comunicado à ANDP e aos clientes que tiveram seus dados vazados, isso evita que eles caiam em golpes posteriores.

NÃO DEIXE SE REPETIR

Aproveite o momento para corrigir os erros da empresa como um todo, não só aquele que causou o vazamento. Faça uma varredura em todos os setores para evitar novos problemas.

Não é pessoal

Sim, seu negócio talvez seja pequeno demais para a mira de um hacker. O lance é que muitos desses ataques não são direcionados para sua empresa especificamente, são armadilhas que eles atiram para todos os lados, esperando alguém cair.

Quando pensamos em ataques cibernéticos, a imagem que vem à cabeça é de algum nerd encapuzado infectando o seu computador com um vírus, roubando suas senhas e esvaziando o dinheiro da sua conta. Pode até acontecer, mas não é a norma, ainda mais para pequenas e médias empresas.

O modo mais frequente de vazamento de dados, segundo a IBM, são as credenciais comprometidas. Traduzindo: logins e senhas que são descobertos e vão parar nessas bases de dados vazados. Aí o hacker se loga na sua conta como se fosse você, sem galho. Ou seja, ele não cava um túnel secreto. O que ele faz é entrar pela porta da frente usando a chave que você escondeu debaixo do tapete. (Pode ir lá trocar as suas senhas de e-mail, a gente te espera para continuar a leitura).

Dito assim, parece burrice generalizada, mas não se sinta mal. Este repórter já teve uma conta invadida a partir da Ucrânia por usar a mesma senha em todos os sites. A editora do texto sofreu uma invasão diretamente da China pelo mesmo motivo: login e senha comprometidos. No nosso caso, sem grandes prejuízos detectados, ainda bem.

A IBM estima que 95% de todos os vazamentos de dados envolvem, em alguma etapa, um erro humano como o nosso. Usar a mesma senha em todos os cadastros é um deles. Clicar em links duvidosos (o golpe conhecido como phishing) é outro. Só 5% dos incidentes são daqueles puramente técnicos, em que hackers invadem os sistemas de empresas no estilo Hollywood.

A vantagem é que, sabendo disso, fica mais fácil evitar a próxima casca de banana. Se você não aproveitou a pausa para trocar as senhas, a gente te dá uma segunda chance agora. Aproveita para configurar a autenticação em dois fatores do e-mail, WhatsApp e redes sociais, e veja outras sugestões de proteção no box ao lado.

Vale a pena apostar também em um programa gerenciador de senhas para sua empresa (como o Dashlane e o Sticky Password). Eles reúnem todas as suas diferentes senhas em uma única conta, cuja chave de entrada é sempre ligada a uma autenticação de duas etapas. Daí, você e os demais funcionários não precisam lembrar de todas as combinações complicadas que criaram, basta ter acesso ao cofre via senha mestra. Versões mais caras desse tipo de software também monitoram a deep web para saber se alguma senha sua foi violada, e podem mudá-la automaticamente para evitar hackers.

Não rouba, mas...

Nem sempre o hacker quer roubar seus dados. Às vezes, ele promove um sequestro em um tipo de ataque chamado de ransomware. Aí sim eles infiltram um vírus nos sistemas da empresa e bloqueiam todos os acessos, essa invasão inicial pode ser por phishing. É como se a fábrica fosse tomada e trancada por dentro. Para abrir o cadeado, os criminosos pedem que a empresa pague um resgate polpudo, em geral, em bitcoin, por ser bem mais difícil de rastrear que dinheiro de verdade ou um Pix.

Esse tipo de ataque, mais sofisticado, existe há décadas, e ganhou força com a popularização das criptomoedas. Em 2020, o sequestro de dados quadruplicou nos EUA. O Brasil, vale destacar, é o nono país com mais registros de ransomware no mundo, segundo dados da Kaspersky.

Os sequestros são mais lembrados que os vazamentos porque eles paralisam grandes empresas. O caso mais recente foi o do grupo Fleury, alvo de um ransomware em junho. Por quatro dias, a rede de laboratórios de análises clínicas ficou sem acesso a seus sistemas. E se você tivesse feito um exame de sangue, não conseguiria consultar o resultado. As despesas para recuperar o sistema e ainda pagar por consultorias num esforço de evitar uma repetição do episódio reduziram em R$ 14 milhões o lucro da companhia no segundo trimestre.

A JBS foi outro caso notável. A maior empresa de carnes do planeta teve suas operações nos EUA, Austrália e Canadá paralisadas por um ataque ransonware e acabou pagando US$ 11 milhões em bitcoin aos hackers para recuperar o acesso a seus sistemas e voltar a operar. O governo americano conseguiu rastrear e reaver uma parte do dinheiro.

E hackers também sequestram PMEs. Esses episódios não movimentam milhões nem ganham manchetes, mas são devastadores: nos EUA, 60% das pequenas e médias empresas que sofrem algum tipo de ataque que impede o uso de seus sistemas acabam tendo que fechar as portas depois de seis meses, dado o tamanho do prejuízo, calcula a US’ National Cyber Security Alliance.

A dica número um de proteção antissequestro é a seguinte: Fugir dos softwares piratas [que têm brechas de segurança feitas por hackers] e procurar os oficiais, diz Eder Max, consultor do Sebrae. Manter antivírus eficazes e atualizados em todas as máquinas também é essencial. Outra boa pedida é apostar nos backups em nuvem, para o caso de perda de acesso de um sistema de dados específico. E, se quiser ser ultracauteloso, dá para fazer um backup offline, em um HD externo que deve ser guardado com segurança.

Eternamente responsável

É como no Pequeno Príncipe: Tu te tornas eternamente responsável pelos dados que coleta. Tanto que, desde 1º de agosto de 2021, empresas podem ser punidas pela Lei Geral de Proteção de Dados (LGPD). Ela está em vigor há quase um ano, mas houve um prazo de adaptação para os negócios.

A essência da lei é regular que tipo de dados as empresas podem coletar e como podem usá-los. Não dá, por exemplo, para compartilhar nem vender a base de clientes para outras empresas sem autorização expressa dessas pessoas. Mas uma outra parte importante do texto é a segurança das informações.

A ideia é que a empresa só colete e guarde esses dados se tiver condições de garantir que eles não irão a lugar algum. Não adianta a empresa tentar se esquivar e dizer nossos dados foram roubados, não foi culpa nossa, explica Lorena Lage, advogada da Lage & Oliveira, especializada em pequenos negócios. Nesse caso, a culpa é da vítima também.

E mais: o texto não faz distinção entre pequenas e grandes empresas. O que pode mudar é a punição. Quem decide isso é a Autoridade Nacional de Proteção de Dados (ANDP), órgão federal criado para regular a aplicação da LGPD. Eles vão poder dosar a multa dependendo do tamanho da empresa, da gravidade do incidente, do tipo de dado que vazou etc. Pode rolar só uma advertência ou medidas mais graves: bloqueio e exclusão daqueles dados, obrigatoriedade de informar não só o cliente, mas fazer um anúncio público de que houve o vazamento. A punição mais dura é mesmo a multa, cujo valor pode chegar a 2% do faturamento, o teto é de R$ 50 milhões.

E a LGPD tem mais regras. A lei criou a figura do Data Protection Officer (DPO), ou encarregado de dados. Você vai precisar desse funcionário caso processe mais de 5 mil registros de clientes por ano. Ele é tipo um contador, só que, em vez de cuidar dos balanços e normas contábeis, fica responsável por fiscalizar o uso de dados de acordo com a LGDP. Para pequenas e médias empresas, há a possibilidade de terceirizar a tarefa a escritórios de advocacia ou empresas de TI. Mas, para negócios com presença digital maior e uma gestão de dados complexa, como e-commerces, fica mais difícil.

Eder Max, do Sebrae, recomenda levar o cargo a sério, e não só conseguir um nome para preencher no documento que o governo vai exigir. Afinal, quando se trata de segurança de dados, remediar sai muito mais caro do que prevenir.

Contribuiu: Denis Riviello, Head de Cibersegurança da Compugraf, empresa de segurança da informação e privacidade de dados

COMO EVITAR VAZAMENTOS DE DADOS EM SUA EMPRESA

BOAS PRÁTICAS

A maioria dos vazamentos ocorre por erro humano. Adote medidas simples: senhas fortes e diferentes salvas em um bom gerenciador, não clicar em links duvidosos, usar o e-mail e os aparelhos do trabalho apenas para fins profissionais. E conscientize todos na empresa a fazer o mesmo.

MENOS É MAIS

Repense: você realmente precisa de todos os dados que coleta? Guarde somente as informações que de fato são usadas em ações da empresa. E só conceda acesso a eles aos funcionários que de fato precisam.

ANONIMIZAÇÃO

Outra dica é evitar a coleta de informações pessoais: você pode criar um perfil genérico do seu público, mas sem armazenar dados específicos de cada cliente. Vale evitar a coleta de CPFs, por exemplo.

BONS PRODUTOS

Invista em softwares originais, os piratas podem vir com brechas para hackers. Nada de fechar o aviso de antivírus expirado eternamente. Faça a atualização.

LGPD: como os bancos digitais estão se preparando para a proteção dos dados pessoais?

Fonte: Revista IstoÉ

Se você ainda não tinha ouvido falar na LGPD, o significado de sua sigla quer dizer Lei Geral de Proteção de Dados. Seu objetivo principal é garantir a proteção dos dados pessoais do cliente, que necessita ter transparência sobre o tratamento de dados pessoais, para a realização de qualquer cadastro na aquisição de um serviço ou para fechar uma compra.

A LGPD no Brasil foi desenvolvida para criar regras específicas em que empresas e órgãos públicos precisarão garantir a segurança dos dados pessoais do cliente, através da aplicação de medidas de proteção contra o vazamento dos dados e justificar a necessidade de cada dado que for solicitado ao cliente.

Para isso, a LGPD vai contar com a Autoridade Nacional de Proteção de Dados (ANPD), criada em 2020, para garantir que as regras da lei sejam seguidas pelas empresas.

LGPD quando entra em vigor?

A lei foi criada em 2018, entrou em vigor em 2020 e, as multas administrativas aplicadas pela ANPD passaram a valer no início deste mês, no dia 1 de agosto de 2021.

Por esse motivo, as empresas que ainda não se atualizaram precisarão correr contra o tempo para estarem em conformidade com a lei.

Mas como ficam os bancos digitais e fintechs nessa conversa?

Com a vigência das multas administrativas, o cenário se transforma para os bancos digitais, que devem atualizar as suas políticas de privacidade, caso já não tenham providenciado, para atender às regras de tratamento e segurança de dados pessoais.

Afinal, um dos pontos da LGPD é justamente estabelecer um padrão para a coleta, armazenamento e compartilhamento de dados pessoais.

Na prática, a Lei Geral de Proteção de Dados afeta diretamente os bancos digitais e fintechs, isso porque ela garante alguns direitos ao cliente que antes não eram obrigatórios, tais como:

Opção de exclusão dos dados do cliente na base cadastral do banco, se o cliente solicitar após a finalização da sua conta; Manifestar oposição à utilização de seus dados cadastrados no banco para ofertar produtos e serviços que não interessam ao cliente; Aplicação de cláusulas específicas sobre os processos de privacidade dos dados e o consentimento do que for proposto, quando necessário, segundo a LGPD.

Uma pesquisa realizada pela PG Advogados constatou que o índice de conformidade com a LGPD é de apenas 30% em médias e grandes empresas de 36 segmentos diferentes. No entanto, os bancos são o setor mais adiantado em relação ao cumprimento da lei e um dos principais motivos é que o setor já é bastante regulamentado por diversos órgãos como o Banco Central.

Além disso, a preocupação com a segurança é um dos pilares principais para a solidificação de um banco, ainda mais um banco digital.

Esses bancos, como o novo Banco Master, vêm investindo nesse novo cenário e em tecnologias que protejam as informações do cliente, dando foco à qualidade dos serviços, transparência no tratamento de dados pessoais, nomeação de um encarregado de dados e criação de uma área específica na instituição para lidar com o tema com a responsabilidade que este requer, bem como promover as melhores práticas na área. Essa evolução é uma prova do novo momento do Brasil, que promete uma pulverização ainda maior dos serviços financeiros e crédito para os próximos anos.

O cenário com a vigência da LGPD é positivo. Afinal, além de garantir a segurança e autonomia dos dados pessoais por parte do cliente, os bancos ainda devem melhorar seus serviços de segurança para continuarem competitivos no mercado.

Ficar dependente da nuvem não é seguro; saiba como armazenar seus dados

Fonte: Estadão

Estamos armazenando cada vez mais fotos, documentos e vídeos online. Mas quanto desses arquivos ainda nos pertencem de verdade? Esta é a questão que veio à tona nas últimas semanas, por causa de uma mudança que está chegando aos iPhones: a Apple anunciou uma ferramenta para vasculhar arquivos salvos em nuvem e sinalizar casos de abuso sexual infantil.

O debate tem implicações para a privacidade online e a vigilância governamental e também destaca como o armazenamento de nossos dados digitais mudou ao longo do tempo, levantando preocupações sobre as maneiras como devemos nos conduzir em termos tecnológicos.

Em um primeiro momento, a nova ferramenta da Apple, que será incluída na próxima atualização de software para os iPhones, até parece uma boa ideia. O sistema funciona escaneando determinado iPhone em busca de um código vinculado a um banco de dados conhecido pela pornografia infantil quando as fotos do dispositivo são carregadas para o iCloud, o serviço de armazenamento em nuvem da Apple. Quando houver um determinado número de correspondências, um funcionário da Apple analisará as fotos antes de fazer a denúncia para autoridades.

Porém, alguns especialistas em segurança cibernética argumentaram que o sistema de sinalização de conteúdo era invasivo e infringia a privacidade das pessoas. Eles alertaram que a Apple estava criando um precedente que facilitaria para países com forte vigilância, como a China, aprovar leis que poderiam exigir que a empresa usasse a tecnologia para outros fins, como identificação de imagens políticas desfavoráveis a um governo autoritário.

Eles disseram que não têm planos de fazer coisas piores com essa tecnologia, mas, neste momento, essa posição parece ingenuamente otimista, disse Erica Portnoy, da Electronic Frontier Foundation, organização sem fins lucrativos de direitos digitais.

Em resposta à reação, a Apple publicou na semana passada um documento explicando que o novo sistema não fará a varredura nas galerias de fotos do iPhone das pessoas. Além disso, a tecnologia de identificação deixará de funcionar se as pessoas desativarem a biblioteca de fotos de seu iPhone para fazer backup de imagens no iCloud, disse um porta-voz da empresa.

Mas, independentemente de como se desenrole, este episódio da Apple é um lembrete de quanto nosso armazenamento de dados digitais mudou. No passado, a maioria de nós armazenava nossas fotos digitais em drives de computadores pessoais e em pen drives de USB, ou seja, elas ficavam sob nossa posse. Agora, cada vez mais armazenamos nossos documentos e outras informações na nuvem, onde grandes empresas como Apple, Google e Microsoft hospedam os dados em seus servidores. No processo, essas empresas ganharam muito mais poder sobre nossas informações.

Por isso, é aconselhável ter uma estratégia de saída para puxar seus dados da nuvem caso você queira sair desse sistema. Basta ter um pouco de planejamento.

Nos últimos anos, adotei uma abordagem híbrida de armazenamento de cópias de meus dados online e offline, para que possa colher os benefícios da nuvem, mas também manter a propriedade independente de meus dados. Meus esforços culminaram na criação de um servidor online em casa, que é essencialmente uma nuvem privada.

Confira abaixo um passo a passo de como fiz tudo isso, junto com outras medidas para uma abordagem híbrida de armazenamento de dados.

Backup híbrido

Muita gente se acostumou a fazer backup automático de dados nos servidores online da Apple, do Google e da Microsoft. Esses serviços em nuvem são convenientes e seu uso garante que seus dados sejam armazenados em um backup na internet periodicamente.

Mas a melhor prática é a híbrida. A empresa de proteção de dados Acronis recomenda que você armazene cópias locais em unidades físicas também. É bom ter um backup local para quando você não tiver conexão com a internet e precisar de acesso imediato a determinado arquivo.

Felizmente, não é difícil criar um backup local. A primeira etapa é fazer o backup seguro de todas as suas informações digitais em outro dispositivo.

Para fotos do iPhone, a opção mais simples é fazer backup das imagens em um computador. Em um Mac, você precisa conectar seu iPhone, abrir o aplicativo Fotos da Apple e importar todas as suas fotos. No Windows, você pode usar o aplicativo Windows Photos para fazer o mesmo. E, se quiser ser mais minucioso, você pode fazer um backup de todos os dados do seu iPhone com a ferramenta Finder no Mac ou o aplicativo iTunes no Windows.

A partir daí, você pode criar um backup dos dados do seu computador em uma unidade externa que se conecte ao seu computador. Aplicativos como Time Machine da Apple para Macs ou File History para Windows cuidarão disso para você.

Agora que retirou as fotos do celular, você pode decidir o que fazer a partir daí, como excluí-las da nuvem e transferi-las para outro serviço de nuvem, como o Google Fotos. Apenas lembre-se de não ficar totalmente dependente da nuvem.

Configuração extrema: uma nuvem pessoal

Também existe uma versão extrema do backup híbrido, que é o que eu faço, mas não recomendo para todo mundo. A ideia é configurar um dispositivo de armazenamento conectado à rede, que é um servidor em miniatura que se conecta ao seu roteador de internet e fornece acesso remoto aos seus dados. É como ter uma nuvem privada em sua casa.

Construir um servidor não é simples. Primeiro, porque não é fácil usar o software. Segundo, porque não é barato. Um dispositivo de armazenamento conectado à internet, como o Synology DS220+, custa cerca de US$ 300 e os discos rígidos devem ser comprados separadamente.

Mas descobri que valeu a pena o tempo e o investimento. Conecto meu telefone ao meu Mac semanalmente, para fazer o backup de dados do celular para o computador. E, quando estou dormindo, o Mac faz o backup de seus dados no meu miniservidor.

Não é tão perfeito quanto o armazenamento na nuvem de uma empresa, mas é bem conveniente, além disso, eu estava cansado de pagar por várias assinaturas de serviços em nuvem.

Seguradoras avançam silenciosamente no mercado de cannabis nos EUA

As vendas de cannabis legal nos EUA aumentaram 45% no ano passado e devem atingir US$ 41 bilhões em 2026

Fonte: Reuters

As seguradoras se preparam silenciosamente para um potencial aumento nas vendas de seguros para a crescente indústria de cannabis, estimada em US$ 17,6 bilhões, enquanto o Congresso se aproxima da legalização da maconha em nível federal nos Estados Unidos.

Enquanto 36 estados dos EUA e o Distrito de Columbia legalizaram a maconha para uso médico ou recreativo, o seguro para produtores, laboratórios de teste e varejistas é controlado em grande parte por leis federais rígidas que criminalizam a maconha junto com heroína, metanfetamina e LSD.

Mas a indústria escreveu apenas cerca de US $ 250 milhões em apólices no ano passado, estimam agentes de seguros para a Reuters, com um punhado de seguradoras oferecendo cobertura limitada de propriedade e responsabilidade.

As empresas também precisam de cobertura para safras e roubo, junto com limites de pagamento maiores, de acordo com mais de uma dúzia de seguradoras, corretores, agentes, advogados e proprietários de negócios de maconha entrevistados pela Reuters.

Enquanto o Congresso considera projetos de lei que afrouxariam as leis federais, algumas seguradoras tentam preencher a lacuna com novos tipos de cobertura. Como as seguradoras são regulamentadas em nível estadual, elas agora podem oferecer cobertura em estados onde a droga é legal, e a descriminalização federal expandiria o mercado.

Há uma necessidade esmagadora de vários tipos de seguro, disse Rocco Petrilli, presidente da National Cannabis Risk Management Association, um grupo comercial de 3 mil empresas de cannabis.

Em abril, a NCRMA criou uma seguradora cativa para oferecer cobertura de propriedade, responsabilidade civil geral e responsabilidade pelo produto aos membros. Ela planeja adicionar compensação de trabalhadores e cobertura de automóveis no quarto trimestre, disse Petrilli. A abordagem cativa fornece cobertura apenas para membros da NCRMA que é adaptada às suas necessidades.

CannGen Insurance Services, uma seguradora nacional de riscos de cannabis, CBD e cânhamo que trabalha com seguradoras comerciais, planeja introduzir seguro de responsabilidade civil de diretores e executivos (D&O) em breve, por meio de uma nova divisão chamada CannGenPRO, disse Charles Pyfrom, diretor de marketing.

Algumas grandes seguradoras, como Progressive Corp., Farmers Insurance, Liberty Mutual e Axa SA, estão oferecendo cobertura conforme mais estados legalizam a maconha. A Progressive disse que suas apólices de veículos cobrem responsabilidade e danos físicos em estados que legalizaram o transporte de cannabis, mas não oferece seguro para cargas. As outras empresas não quiseram comentar.

Os proprietários de negócios de maconha dizem que a cobertura costuma ser difícil de encontrar e cara. Os proprietários de dispensários de cannabis disseram à Reuters, por exemplo, que seus prêmios são de 20% a 30% mais altos do que um varejista comum pagaria. Alguns tipos de cobertura de veículos podem custar quatro ou cinco vezes mais, eles disseram.

O seguro D&O, que é crucial para atrair líderes empresariais experientes e levantar capital, também é caro, disse Gavin Kogan, CEO do Grupo Flor, que é um cultivador, distribuidor e fabricante licenciado com cinco dispensários na Califórnia. Ele disse que paga US$ 85 mil a US$ 100 mil anualmente por US$ 1 milhão de proteção D&O, e a cobertura é superlimitada.

A falta de seguro também pode criar desafios operacionais e aumentar os custos. Limites de cobertura baixos no seguro de carga, por exemplo, podem forçar as empresas a dividir as remessas, disse Gene Brown, um agente de seguros em Carmel, Califórnia, especializado em cobertura de cannabis. Você tem grandes frotas entregando grandes quantidades de cannabis ou transportando grandes quantias de dinheiro, disse ele. Eles precisam de cobertura de US$ 1 milhão, mas você só pode conseguir $ 500 mil agora.

Impulso de legalização

À medida que mais estados legalizam a cannabis, os legisladores dos EUA estão sob crescente pressão para segui-la. No mês passado, o líder da maioria no Senado, Chuck Schumer, apoiou o movimento, revelando um ambicioso projeto de lei para legalizar a cannabis.

Petrilli, da NCRMA, disse que isso poderia elevar as vendas de seguros para empresas de maconha a mais de US$ 3 bilhões nos próximos cinco anos se a indústria fosse segurada como negócios normais. Quem quer que seja líder no fornecimento de seguro com preços razoáveis para esta indústria com a cobertura necessária terá muito, muito sucesso, disse Kogan.

O que configura concorrência desleal entre Corretores De Seguros

Fonte: CQCS

Conforme preceitua o artigo 195, da Lei nº 9.279, de 14 de maio de 1996, que regula direitos e obrigações relativos à propriedade industrial, comete crime de concorrência desleal o funcionário da empresa corretora de seguros ou o próprio corretor de seguros que divulga, explora ou utiliza-se, sem autorização, de conhecimentos, informações confidenciais, utilizáveis na prestação de serviços, obtidos por meios ilícitos ou a que teve acesso mediante fraude.

Assim, podemos enumerar alguns itens que caracterizam crime de concorrência desleal:

a) publicar, por qualquer meio, falsa afirmação, em detrimento de concorrente, com o fim de obter vantagem;

b) prestar ou divulgar, acerca de concorrente, falsa informação, com o fim de obter vantagem;

c) empregar meio fraudulento, para desviar, em proveito próprio ou alheio, clientela de outrem;

d) usar expressão ou sinal de propaganda alheios, ou os imitar, de modo a criar confusão entre os produtos ou estabelecimentos;

e) usar, indevidamente, nome comercial, título de estabelecimento ou insígnia alheios ou vender, expor ou oferecer à venda ou ter em estoque produto com essas referências;

f) substituir, pelo seu próprio nome ou razão social, em produto de outrem, o nome ou razão social deste, sem o seu consentimento; 

g) dar ou prometer dinheiro ou outra utilidade a empregado de concorrente, para que o empregado, faltando ao dever do emprego, lhe proporcione vantagem;

h) receber dinheiro ou outra utilidade, ou aceitar promessa de paga ou recompensa, para, faltando ao dever de empregado, proporcionar vantagem a concorrente do empregador;

i) divulgar, explorar ou utilizar-se, sem autorização, de conhecimentos, informações ou dados confidenciais, utilizáveis na prestação de serviços, excluídos aqueles que sejam de conhecimento público ou que sejam evidentes para um técnico no assunto, a que teve acesso mediante relação contratual ou empregatícia, mesmo após o término do contrato;

j) divulgar, explorar ou utilizar-se, sem autorização, de conhecimentos ou informações obtidos por meios ilícitos ou a que teve acesso mediante fraude.

Com referência ao assunto concorrência desleal reitero a sugestão comentada em matéria anterior intitulada Decisão judicial traz alerta aos Corretores de Seguros, no sentido de que as empresas corretoras de seguros assinem um documento de confidencialidade com todos os seus funcionários, com duas testemunhas e firmas reconhecidas, visando inibir, evitar ou amenizar possíveis condenações definidas na lei.

Autor: Dorival Alves de Sousa / Advogado e Corretor de Seguros

Gestão de Riscos Ambientais

Petrobras incorpora questão climática em todos os planejamentos e ações

O presidente da Petrobras, Joaquim Silva e Luna, reforçou em coletiva de imprensa realizada na Offshore Technology Conference (OTC), em Houston (EUA), o papel da Petrobras no contexto da transição energética. Ele lembrou que a eficiência operacional em gases de efeito estufa é uma das quatro métricas de topo da companhia, que influenciam a remuneração de todos os executivos e empregados.

Como resultado do esforço que vem sendo feito pela companhia, as emissões para cada barril produzido pela Petrobras caíram praticamente à metade nos últimos 11 anos.

Todas as nossas ações estão voltadas para produção com baixo carbono tanto na fase de exploração e produção quanto na fase de refino. O nosso planejamento estratégico para 2022-2026 vai novamente contemplar todas as ações com preocupação não só com descarbonização, mas também com o meio ambiente, destacou Silva e Luna durante a coletiva, promovida pela Agência Brasileira de Promoção de Exportações e Investimentos (Apex-Brasil).

Silva e Luna lembrou, ainda, que a produção no pré-sal totalizou cerca de 2 milhões de barris de óleo equivalente por dia no segundo trimestre de 2021, atingindo a marca de 70% da produção total da Petrobras. Desta produção, mais de 80% é de petróleo de baixo custo de produção e baixo teor de emissões, o que confirma o potencial das gigantescas reservas no litoral do Brasil no novo contexto da indústria do petróleo. Segundo o presidente da Petrobras, os bons resultados no pré-sal comprovam o acerto da estratégia de investirmos firmemente no seu desenvolvimento.a segunda-feira (16/8), foi realizada a sessão especial Buzios Project: A Brazilian Pre-salt Super Giant, na qual foram detalhadas as tecnologias desenvolvidas para viabilizar o campo de Búzios e que levaram a companhia a receber o Distinguished Achievement Award for Companies, principal prêmio da indústria mundial de petróleo e gás, pela quarta vez. Este campo possui o maior volume de petróleo no portfólio da Petrobras e também é o maior campo de petróleo em águas profundas do mundo. Ele ocupa uma área que é maior do que a cidade de Nova York, comparou Marcio Kahn, gerente Executivo de Búzios, em uma das sete apresentações de executivos da Petrobras na sessão.

Marcio destacou alguns dos resultados já alcançados desde abril de 2018, quando foi iniciada a produção no campo. Em 2020, após menos de dois anos de operação, o campo de Búzios ultrapassou a marca de produção de 600 mil barris de petróleo por dia, devido aos expressivos resultados operacionais e a um estudo técnico que permitiu que nossas unidades operassem acima da capacidade original, disse. Outros recordes citados pelo executivo foram a produção média atual por poço de 36 mil barris por dia (com picos de até 70 mil) e uma produção acumulada de 100 milhões de barris de óleo equivalente alcançada em apenas 18 meses.

Segundo Marcio, essas marcas são mais relevantes diante dos complexos desafios do campo, com temperaturas e pressões elevadas nos reservatórios, rochas heterogêneas que favoreciam a perda de fluidos durante a perfuração e fundo do mar muito acidentado, que dificultava a ancoragem das unidades de produção. Para superar esses desafios, enquanto enfrentávamos forte restrição de investimentos, tivemos de desenvolver tecnologias inovadoras que nos permitissem, simultaneamente, melhorar a produtividade, segurança e reduzir custos, explicou Kahn, que elogiou o corpo técnico da Petrobras e demais parceiros. A experiência técnica do nosso time, desenvolvida ao logo de décadas de experiência, foi indispensável para alcançarmos feitos tão incríveis. A cooperação e colaboração com fornecedores, universidades e pesquisadores também foram extremamente valiosas e abriram caminho para inovação e conquistas.

O plano de desenvolvimento do campo de Búzios prevê a operação de até 12 FPSOs (unidades flutuantes que produzem, armazenam e transferem petróleo), atingindo até o final da década uma capacidade instalada superior a 2 milhões de barris de óleo equivalente por dia. Atualmente, quatro FPSOs produzem em Búzios, sendo que a quinta unidade (FPSO Almirante Barroso) encontra-se em estágio avançado de construção, enquanto a sexta (FPSO Almirante Tamandaré) está prevista para 2024.

Fonte: Revista Portos e Navios

Gestão de Riscos Logísticos

Carga de 50 toneladas de milho roubados são recuperados

Fonte: Estado de Minas

Um homem foi preso e o bitrem carregado com milho que ele dirigia foi apreendido na noite desta quarta-feira (18/8), na BR-365, no município de Uberlândia, no Triângulo Mineiro. Veículo e carga eram roubados. No momento da abordagem, a Polícia Rodoviária Federal (PRF) constatou que o verdadeiro condutor ainda estava desaparecido.

Foi durante uma abordagem de rotina que os policiais deram ordem de parada ao condutor, que não obedeceu e seguiu com o veículo em direção a Uberlândia. Foi feita uma barreira na entrada da cidade e o bitrem foi impedido de seguir pela zona urbana.

Durante a fiscalização, foi constatado o registro de roubo para o veículo, ocorrido na tarde de ontem. O motorista que tentou fugir da PRF tem 43 anos e informou que tinha sido contratado para levar a carreta de Itumbiara (GO) para Uberlândia. O bitrem estava carregado com mais de 50 toneladas de milho.

A vítima do roubo foi encontrada horas depois, já perto das 2h desta quinta-feira (19/8). Ele contou aos policiais que o assalto aconteceu na rodovia BR-452, na altura do Município de Maurilândia (GO). A vítima ficou como refém em um canavial próximo a Itumbiara (GO).

Diante dos fatos, o conjunto veicular, a carga de milho e o condutor foram encaminhados para à Polícia Civil, informou a PRF.

Agentes de cargas contam com seguro para atrasos nos embarques

Os recentes atrasos nos embarques marítimos de cargas verificados nos portos da China e de outros países asiáticos, consequentes dos congestionamentos portuários com navios e cargas paradas aguardando para embarcar causam prejuízos ao comércio internacional em escala global.

No Brasil, os importadores estão apreensivos em não receber suas mercadorias no tempo previsto e elevam a pressão sobre os agentes de cargas contratados para trazer as cargas ao país, inclusive com ameaças de acioná-los judicialmente por eventuais perdas financeiras decorrentes da demora.

Os embarcadores (importadores e exportadores) ao contratar os serviços de um agente de cargas, raramente têm conhecimento para qual empresa de transporte suas cargas serão entregues. Ocorrendo extravio, perdas, faltas, danos e avarias às mercadorias e outras ocorrências sem danos físicos, mas com prejuízos, como por exemplo os decorrentes de atraso, avaria grossa, redirecionamento de carga, armazenagem extra e despesas de quarentena, os embarcadores buscam o ressarcimento de seus prejuízos inicialmente junto ao agente de cargas a quem confiou o transporte de suas mercadorias.

Embora o agente de cargas não possua responsabilidade de resultado, quando é acionado por prejuízos causados por culpa de seus subcontratados, precisa se defender. Não pode simplesmente esperar e depender, exclusivamente dos Tribunais, incluindo o Superior Tribunal de Justiça (STJ) para a aceitação da tese de irresponsabilidade no caso de prejuízos reclamados. Esta situação reforça a importância da contratação de um seguro específico para cobrir uma eventual decisão de responsabilização. Para suprir essa necessidade, o mercado segurador oferece o seguro de responsabilidade civil e erros e omissões para a atividade de agenciamento de cargas.

O seguro de responsabilidade civil e erros e omissões tem por objetivo garantir o pagamento ou reembolso das quantias que forem impostas ao agente de cargas, judicialmente ou por acordo extrajudicial autorizado pela seguradora, pela prestação de seus serviços, em ações indenizatórias promovidas pelos seus próprios clientes, terceiros, e em especial, ações regressivas de ressarcimento de companhias de seguros.

O seguro traz ainda, as coberturas complementares de responsabilidade por perdas ou danos causados às cargas; despesas de salvamento; adiantamento para contribuições de avaria grossa; despesas adicionais de redirecionamento da carga; despesas adicionais de remoção e descarte de cargas danificadas; despesas de quarentena; despesas relacionadas à insolvência do transportador marítimo; responsabilidade civil por danos causados a terceiros; poluição, contaminação e vazamento súbitos; e custos de defesa em juízo cível; e responsabilidade civil pelas perdas financeiras causadas aos embarcadores.

Importadores e exportadores estão cada vez mais exigentes e preferem trabalhar com agentes de cargas protegidos por apólice de seguro com garantias para suportar eventuais atribuições de responsabilidades e indenizações. Entretanto, o seguro de responsabilidade civil e erros e omissões é um seguro de difícil aceitação por parte das seguradoras e apenas corretores de seguros com profundos conhecimentos em comércio exterior, Incoterms®, tratados internacionais, legislação aduaneira, direito e seguros conseguem viabilizar a colocação do seguro e resseguro pertinentes.

Fonte: Blog do Rocha / Autor: Aparecido Rocha / insurance reviewer

O impacto do vírus sobre o capital humano

Fonte: Estadão

A perda de mais de 570 mil brasileiros por covid-19 é inestimável. Para suas famílias, além da dor do luto, há o impacto sobre a renda. Muitas perderam o seu principal provedor e entraram na faixa de pobreza. Pelas estimativas do Instituto Brasileiro de Economia da Fundação Getulio Vargas (Ibre/FGV), a perda de renda das famílias com parentes vitimados pelo vírus passa de R$ 14,3 bilhões por ano.

O cálculo considera a renda do trabalho das vítimas em idade produtiva somada à de aposentados. Diferentemente das receitas perdidas por desemprego temporário, estas foram irremediavelmente perdidas.

Ainda que o levantamento não faça estimativas diferenciadas por faixa de renda, é certo que o impacto é muito maior para os mais pobres.

Morando em piores condições sanitárias, com mais dificuldade de trabalhar em casa e menos acesso a bons tratamentos hospitalares, os pobres apresentaram taxas de contágio e mortalidade proporcionalmente maiores, como maiores foram entre eles o desemprego e as reduções de salário ou de rendas do mercado informal. A recuperação dos postos de trabalho menos qualificados tomará mais tempo, e as famílias pobres, que consomem proporcionalmente mais com necessidades básicas, como moradia e alimentação, foram mais impactadas pela inflação.

Além disso, a perda prematura de aposentados afeta especialmente as famílias pobres, que muitas vezes têm na aposentadoria dos idosos uma importante fonte de renda.

Tudo isso evidencia a importância do auxílio emergencial e do fortalecimento de programas sociais, como o Bolsa Família. Mas mecanismos de transferência de renda não bastarão para repor a perda de capital humano. Todas essas pessoas vitimadas tinham um certo conhecimento, certas habilidades adquiridas ao longo da vida, que utilizando e transmitindo para colegas poderiam, por muito tempo ainda, contribuir para gerar uma renda para si, para eventuais dependentes e, portanto, para o País, dizem os pesquisadores.

Como aponta Claudio Considera, do Ibre, tem tanta gente desempregada, mas essas pessoas não necessariamente serão capazes de substituir no mercado de trabalho aqueles que morreram. A reposição da massa de habilidades e conhecimentos perdidos dependerá de bons programas de educação e capacitação.

CIST | Curso | Introdução ao Transporte Nacional

Clube Internacional de Seguro de Transportes - CIST , entre os dias 23 e 26 de agosto, promoverá mais um curso de curta duração de 8 horas, 100% online. Desta vez, o tema será curso Introdução ao Transporte Nacional, ministrado por Domingos Pozzetti.

Formado em Engenharia Química pela Escola de Engenharia Mauá, Pós Graduação na Universidade Presbiteriana Mackenzie e MBA Executivo no Insper, experiência de 20 anos no Mercado de Seguros, especialista em Seguros de Transportes com atuação como Corretor, Broker de Resseguros e Segurador, atualmente dirigindo a Berkley Brasil Seguro, professor do curso de Transporte Nacional.

Conteúdo:

Introdução ao Seguro de Transporte / Números do Mercado / Matriz de Transporte Brasileira - Importância do modal Rodoviário / Código Civil / Lei do Motorista / Hierarquia da Apólice / Garantias Básica, Adicionais e Especiais / Identificação de Necessidades / Preenchimento do Questionário / Papel do Corretor na instrução do processo / Cartas de DDR / Apólice Estipuladas / Análise de Risco / Gerenciamento de Riscos / Aviso e Regulação de Sinistros.

Serviço: Data: 23 a 26 de agosto de 2021 / Horário: 19h00 às 21h00

Investimento: R$ 180,000 para sócio e de R$ 300 para não sócio.

Mais informações: secretaria@cist.org.br / #Conhecimento e #networking qualificado.

Acesse as edições mais recentes das publicações do mercado:

Revista Apólice: https://www.revistaapolice.com.br/2021/05/edicao-265/

Revista Cobertura:  https://www.revistacobertura.com.br/revistas/revista-cobertura/revista-cobertura-edicao-231/#2

Revista Segurador Brasil: https://issuu.com/revistaseguradorbrasil/docs/segurador_166_

Revista Seguro Total: https://revistasegurototal.com.br/2021/06/14/mercados-de-vida-e-previdencia-apresentam-crescimento/

Revista Insurance Corp: http://insurancecorp.com.br/pt/content/pdf/ic_ed36_2021.pdf

Caderno de Seguros: https://cnseg.org.br/publicacoes/revista-de-seguros-n-916.html

Revista Brasil Energia: https://editorabrasilenergia.com.br/wp-content/uploads/sites/1/flips/129726/Bia469v3/2/index.html

Relatório 2020 da CNseg (destaca os seus projetos e ações em ano desafiador): https://cnseg.org.br/noticias/relatorio-2020-da-cnseg-destaca-os-seus-projetos-e-acoes-em-ano-desafiador.html

2021 / CNseg: O Setor de Seguros Brasileiro: https://cnseg.org.br/publicacoes/o-setor-de-seguros-brasileiro-folder-2021.html

Curso Extensão de Responsabilidade Civil da ENS

O Curso de Extensão ENS em parceria com a AIDA, tem como objetivo proporcionar o conhecimento das modalidades de seguros do ramo de Responsabilidade Civil, as normas legais que o regulam, a formação do contrato e todas as obrigações e os direitos dele decorrentes, como coberturas, exclusões e diversos temas conexos e diretamente relacionados. Para maiores informações e inscrições acesse: https://www.ens.edu.br/.../cursos-de-extensao-aulas-ao...