Os riscos cibernéticos representam hoje uma grande ameaça para o sistema
financeiro. Um estudo do corpo técnico do FMI baseado em modelos estima que as
perdas médias das instituições financeiras causadas por ataques cibernéticos
poderiam chegar a centenas de bilhões de dólares por ano, erodindo os lucros
bancários e pondo em risco a estabilidade financeira.
Casos recentes mostram que a ameaça é real. Alguns ataques bem sucedidos já resultaram em vazamentos de dados, nos quais os criminosos obtiveram acesso a informações confidenciais, e em fraudes, como o roubo de US$ 500 milhões da bolsa de criptomoedas Coincheck. Existe também a ameaça de interrupção das atividades da instituição visada.
Assim, não é de surpreender que pesquisas recentes apontem os ataques cibernéticos como a maior fonte de preocupação entre gestores de risco e outros executivos do setor financeiro, como mostra o gráfico a seguir.
Vulnerabilidade do setor financeiro
O setor financeiro é particularmente vulnerável a ataques cibernéticos. As instituições financeiras são alvos atraentes devido a seu papel essencial na intermediação de fundos. Uma vez que o sistema financeiro é altamente interconectado, um ataque bem sucedido a uma instituição poderia se propagar rapidamente. Muitas instituições ainda utilizam sistemas antigos, que poderiam não resistir a ciberataques. E um ataque bem sucedido poderia ter consequências diretas significativas, na forma de perdas financeiras, mas também custos indiretos, como danos à reputação.
Alguns casos recentes amplamente noticiados fizeram com que o risco cibernético passasse a ganhar maior destaque na agenda do setor oficial, bem como dos organismos internacionais. Mas a análise quantitativa do risco cibernético ainda é incipiente, sobretudo devido à falta de dados sobre o custo dos ciberataques e às dificuldades em modelar esse risco.
proporciona uma estrutura para analisar as possíveis perdas devido a ataques cibernéticos, com ênfase no setor financeiro.
Estimar as possíveis perdas
A estrutura de modelagem utiliza técnicas da ciência atuarial e uma medida do risco operacional para estimar as perdas agregadas causadas por ataques cibernéticos. Isto requer uma avaliação da frequência dos ataques às instituições financeiras e uma ideia da distribuição das perdas causadas por esses incidentes. Pode-se então utilizar simulações numéricas para estimar a distribuição das perdas agregadas com os ciberataques.
Ilustramos nossa estrutura utilizando um conjunto de dados que abrange perdas recentes com ataques cibernéticos em 50 países, o que exemplifica como estimar as possíveis perdas para as instituições financeiras. O exercício é complexo, e as grandes lacunas de dados sobre os riscos cibernéticos dificultam ainda mais a tarefa. Além disso, felizmente, ainda não houve um ataque bem sucedido e em grande escala ao sistema financeiro.
Nossos resultados são, por isso, meramente indicativos. À primeira vista, eles sugerem que, em média, as possíveis perdas anuais resultantes de ataques cibernéticos seriam expressivas, próximas de 9% da receita líquida global dos bancos, ou algo em torno de US$ 100 bilhões. Em um cenário mais grave - em que a frequência dos ciberataques seria o dobro da registrada até hoje e o contágio mais amplo - as perdas poderiam ser duas vezes e meia a três vezes e meia maiores, da ordem de US$ 270 bilhões a US$ 350 bilhões.
O modelo pode ser usado para examinar cenários extremos de risco envolvendo ataques em grande escala. A distribuição dos dados que colhemos indica que em tais cenários, que representam os 5% de casos mais graves, as perdas médias poderiam chegar à metade da receita líquida dos bancos, colocando em risco o setor financeiro.
A magnitude dessas perdas estimadas é muito superior ao tamanho atual do mercado de seguros para riscos cibernéticos. Apesar de seu crescimento recente, o mercado de ciberseguros ainda é pequeno, com cerca de US$ 3 bilhões em prêmios em 2017, e a maioria das instituições financeiras ainda não dispõe desse tipo de seguro. A cobertura é limitada e as seguradoras enfrentam dificuldades na avaliação do risco, devido à incerteza sobre a exposição, a falta de dados e os possíveis efeitos de contágio.
Próximos passos
Ainda é possível melhorar muito a avaliação dos riscos. Dados mais granulares, uniformes e completos sobre a frequência e o impacto dos ataques cibernéticos, coletados pelo governo, ajudariam a avaliar o risco para o setor financeiro. A exigência de comunicação de vazamentos de dados, como a que está a ser considerada no contexto do Regulamento Geral sobre a Proteção de Dados da União Europeia, deve contribuir para que se tenha maior conhecimento dos ciberataques. A análise de diferentes cenários poderia ser usada para uma avaliação exaustiva do modo de propagação dos ataques cibernéticos e para formular respostas apropriadas das instituições privadas e dos governos.
Deve-se buscar formas de aumentar a resiliência das instituições e infraestruturas financeiras, para reduzir as chances de êxito de um ataque cibernético e para facilitar uma recuperação rápida e sem sobressaltos. Além disso, em muitas partes do mundo, deve-se fortalecer a capacidade do setor oficial para monitorar e regular esses riscos.
Em suma, é preciso fortalecer os quadros regulatórios e de supervisão relativos aos riscos cibernéticos, tendo como principal foco práticas de supervisão eficazes, testes de vulnerabilidade e de recuperação realistas e planos de contingências. O FMI está prestando assistência técnica para auxiliar os países membros a aperfeiçoar seus quadros regulatórios e de supervisão.
Christine Lagarde é diretora-geral do Fundo Monetário Internacional. Após cumprir seu primeiro mandato de cinco anos, foi renomeada para um segundo mandato em julho de 2016. Cidadã francesa, foi ministra das Finanças da França de junho de 2007 a julho de 2011, tendo servido também como ministra de Estado de Comércio Exterior por dois anos. Christine Lagarde teve uma extensa e notável carreira como advogada especializada em direito concorrencial e trabalhista. Foi sócia do escritório de advocacia internacional Baker & McKenzie, do qual foi eleita presidente em outubro de 1999. Ocupou o cargo máximo do escritório até junho de 2005, quando foi indicada para sua primeira pasta ministerial na França. É formada pelo Instituto de Ciências Políticas (IEP) e pela Faculdade de Direito da Universidade Paris X, onde lecionou antes de ingressar no Baker & McKenzie em 1981.
Este texto foi publicado originalmente em inglês no dia 25 de junho de 2018.
Casos recentes mostram que a ameaça é real. Alguns ataques bem sucedidos já resultaram em vazamentos de dados, nos quais os criminosos obtiveram acesso a informações confidenciais, e em fraudes, como o roubo de US$ 500 milhões da bolsa de criptomoedas Coincheck. Existe também a ameaça de interrupção das atividades da instituição visada.
Assim, não é de surpreender que pesquisas recentes apontem os ataques cibernéticos como a maior fonte de preocupação entre gestores de risco e outros executivos do setor financeiro, como mostra o gráfico a seguir.
Vulnerabilidade do setor financeiro
O setor financeiro é particularmente vulnerável a ataques cibernéticos. As instituições financeiras são alvos atraentes devido a seu papel essencial na intermediação de fundos. Uma vez que o sistema financeiro é altamente interconectado, um ataque bem sucedido a uma instituição poderia se propagar rapidamente. Muitas instituições ainda utilizam sistemas antigos, que poderiam não resistir a ciberataques. E um ataque bem sucedido poderia ter consequências diretas significativas, na forma de perdas financeiras, mas também custos indiretos, como danos à reputação.
Alguns casos recentes amplamente noticiados fizeram com que o risco cibernético passasse a ganhar maior destaque na agenda do setor oficial, bem como dos organismos internacionais. Mas a análise quantitativa do risco cibernético ainda é incipiente, sobretudo devido à falta de dados sobre o custo dos ciberataques e às dificuldades em modelar esse risco.
proporciona uma estrutura para analisar as possíveis perdas devido a ataques cibernéticos, com ênfase no setor financeiro.
Estimar as possíveis perdas
A estrutura de modelagem utiliza técnicas da ciência atuarial e uma medida do risco operacional para estimar as perdas agregadas causadas por ataques cibernéticos. Isto requer uma avaliação da frequência dos ataques às instituições financeiras e uma ideia da distribuição das perdas causadas por esses incidentes. Pode-se então utilizar simulações numéricas para estimar a distribuição das perdas agregadas com os ciberataques.
Ilustramos nossa estrutura utilizando um conjunto de dados que abrange perdas recentes com ataques cibernéticos em 50 países, o que exemplifica como estimar as possíveis perdas para as instituições financeiras. O exercício é complexo, e as grandes lacunas de dados sobre os riscos cibernéticos dificultam ainda mais a tarefa. Além disso, felizmente, ainda não houve um ataque bem sucedido e em grande escala ao sistema financeiro.
Nossos resultados são, por isso, meramente indicativos. À primeira vista, eles sugerem que, em média, as possíveis perdas anuais resultantes de ataques cibernéticos seriam expressivas, próximas de 9% da receita líquida global dos bancos, ou algo em torno de US$ 100 bilhões. Em um cenário mais grave - em que a frequência dos ciberataques seria o dobro da registrada até hoje e o contágio mais amplo - as perdas poderiam ser duas vezes e meia a três vezes e meia maiores, da ordem de US$ 270 bilhões a US$ 350 bilhões.
O modelo pode ser usado para examinar cenários extremos de risco envolvendo ataques em grande escala. A distribuição dos dados que colhemos indica que em tais cenários, que representam os 5% de casos mais graves, as perdas médias poderiam chegar à metade da receita líquida dos bancos, colocando em risco o setor financeiro.
A magnitude dessas perdas estimadas é muito superior ao tamanho atual do mercado de seguros para riscos cibernéticos. Apesar de seu crescimento recente, o mercado de ciberseguros ainda é pequeno, com cerca de US$ 3 bilhões em prêmios em 2017, e a maioria das instituições financeiras ainda não dispõe desse tipo de seguro. A cobertura é limitada e as seguradoras enfrentam dificuldades na avaliação do risco, devido à incerteza sobre a exposição, a falta de dados e os possíveis efeitos de contágio.
Próximos passos
Ainda é possível melhorar muito a avaliação dos riscos. Dados mais granulares, uniformes e completos sobre a frequência e o impacto dos ataques cibernéticos, coletados pelo governo, ajudariam a avaliar o risco para o setor financeiro. A exigência de comunicação de vazamentos de dados, como a que está a ser considerada no contexto do Regulamento Geral sobre a Proteção de Dados da União Europeia, deve contribuir para que se tenha maior conhecimento dos ciberataques. A análise de diferentes cenários poderia ser usada para uma avaliação exaustiva do modo de propagação dos ataques cibernéticos e para formular respostas apropriadas das instituições privadas e dos governos.
Deve-se buscar formas de aumentar a resiliência das instituições e infraestruturas financeiras, para reduzir as chances de êxito de um ataque cibernético e para facilitar uma recuperação rápida e sem sobressaltos. Além disso, em muitas partes do mundo, deve-se fortalecer a capacidade do setor oficial para monitorar e regular esses riscos.
Em suma, é preciso fortalecer os quadros regulatórios e de supervisão relativos aos riscos cibernéticos, tendo como principal foco práticas de supervisão eficazes, testes de vulnerabilidade e de recuperação realistas e planos de contingências. O FMI está prestando assistência técnica para auxiliar os países membros a aperfeiçoar seus quadros regulatórios e de supervisão.
Christine Lagarde é diretora-geral do Fundo Monetário Internacional. Após cumprir seu primeiro mandato de cinco anos, foi renomeada para um segundo mandato em julho de 2016. Cidadã francesa, foi ministra das Finanças da França de junho de 2007 a julho de 2011, tendo servido também como ministra de Estado de Comércio Exterior por dois anos. Christine Lagarde teve uma extensa e notável carreira como advogada especializada em direito concorrencial e trabalhista. Foi sócia do escritório de advocacia internacional Baker & McKenzie, do qual foi eleita presidente em outubro de 1999. Ocupou o cargo máximo do escritório até junho de 2005, quando foi indicada para sua primeira pasta ministerial na França. É formada pelo Instituto de Ciências Políticas (IEP) e pela Faculdade de Direito da Universidade Paris X, onde lecionou antes de ingressar no Baker & McKenzie em 1981.
Este texto foi publicado originalmente em inglês no dia 25 de junho de 2018.
Por
Christine Lagarde, no Valor Online
Para saber mais sobre o livro, clique aqui. |