Guilherme Fiuza
O relatório da auditoria concluiu que “os mecanismos existentes de segurança, transparência e checagem compõem um arcabouço institucional suficiente para assegurar que o resultado divulgado pelo TSE após a contagem dos votos é fiel à vontade do eleitor efetivamente manifestada nas urnas eletrônicas”. Já o revisor aponta uma série de discordâncias sobre essa premissa — às quais nem o próprio TCU, nem o TSE responderam satisfatoriamente.
Seguem-se os principais problemas e vulnerabilidades apontados no Voto Revisor, apresentado em 20 de outubro de 2021.
“Questão 2: Os procedimentos estabelecidos pelo TSE para implementação da votação eletrônica e para verificação/auditoria/fiscalização dos sistemas/programas/softwares são adequados para viabilizar e garantir a transparência e a confiabilidade do processo em todas a suas etapas?
Risco 1: Eventual deficiência das estratégias adotadas pelo TSE para identificar e mitigar ou eliminar os riscos de falhas/erros/fraudes no processo eleitoral poderá resultar na persistência de vulnerabilidades dos sistemas, podendo comprometer a confiabilidade de eleições pretéritas e credibilidade do processo de votação no futuro;
Risco 2: O baixo índice de governança e gestão em tecnologia da informação poderá impactar no desenvolvimento e na manutenção dos sistemas, comprometendo a segurança e a confiabilidade dos sistemas e da votação eletrônica;
Risco 3: O eventual tratamento inadequado ou insuficiente, ou a ausência de tratamento, das vulnerabilidades dos sistemas/programas/softwares identificadas pelas entidades fiscalizadoras, nas verificações/auditorias/fiscalizações, ou pelos especialistas, nos testes públicos de segurança, ou registradas em publicações de especialistas e acadêmicos, poderá evidenciar uma política do TSE de autossuficiência, comprometendo a credibilidade da votação eletrônica perante a opinião pública;
Priorizar a celeridade da apuração do resultado em detrimento dos mecanismos de segurança pode fragilizar a segurança da informação
Risco 4: A deficiência qualitativa e quantitativa do pessoal envolvido com as atividades relacionadas à votação eletrônica, em especial de TI, poderá impactar o desenvolvimento e a manutenção dos sistemas, comprometendo a segurança e a confiabilidade dos sistemas;
(…)
Questão 3: Os regulamentos e os procedimentos estabelecidos pelo TSE para as etapas de desenvolvimento, compilação, assinatura digital, lacração, verificação da integridade e da autenticidade dos sistemas eleitorais, geração de mídias e preparação e funcionamento das urnas eletrônicas atendem aos requisitos de auditabilidade definidos em normas nacionais e internacionais?
Risco 1: O baixo índice de urnas eletrônicas compatíveis com a Infraestrutura de Chaves Públicas Brasileira — ICP-Brasil e subordinadas à ICP-Brasil, associado à baixa implementação do módulo de segurança em hardware, poderá fragilizar a segurança e a auditabilidade das urnas, o que poderá levar ao comprometimento da credibilidade da votação eletrônica, impactando a confiança no sistema de votação eletrônica;
Risco 2: Devido à ausência de certificação do hardware e do software, poderá ocorrer desconfiança geral no sistema de votação eletrônica, o que poderá levar à mudança da sistemática, impactando todo o processo eleitoral brasileiro;
Risco 3: O fato de todos os elementos de auditabilidade do voto serem originados da mesma fonte poderá, em caso de contaminação da urna, contaminar o resultado, levando à inutilização do mecanismo de asseguração dos votos, no caso de fraude do software, e poderá resultar na contagem de votos indevidos na urna e impactar a credibilidade das eleições;
Risco 4: Devido ao armazenamento da hora de votação de cada eleitor no sistema eletrônico de votação, poderá ocorrer identificação do respectivo voto resultando na quebra do sigilo do voto e impactando a credibilidade das eleições;
(…)
Risco 6: A omissão do TSE na requisição, na avaliação e no tratamento das atas/relatórios elaborados no âmbito dos TREs e dos cartórios eleitorais acerca das respectivas etapas de verificação/auditoria/fiscalização pode comprometer a realização, o registro e a efetividade dessas etapas, na forma prevista na Resolução TSE 23.603/2019;
Questão 4: As diretrizes, as políticas e os controles implementados relativos à segurança da informação atendem aos requisitos definidos na legislação e nas normas internas, estão de acordo com as melhores práticas internacionais e efetivamente asseguram um nível adequado de proteção às informações, aos processos e aos recursos envolvidos no processo eleitoral?
Risco 1: Procedimentos de verificação/auditoria/fiscalização do sistema eletrônico de votação e apuração não aderentes às normas internacionais de segurança (NBR 27002) podem resultar em vulnerabilidades dos sistemas ou das urnas, podendo impactar a segurança, a confiabilidade e a auditabilidade dos sistemas e da urna e a credibilidade da votação eletrônica;
Risco 2: A ausência de segregação de funções nos processos críticos poderá permitir que um servidor concentre a execução de atividades essenciais, o que poderá propiciar fraudes nos processos críticos, impactando a segurança do processo de votação eletrônica;
(…)
Risco 5: A definição incorreta dos requisitos de negócio para controle de acesso poderá possibilitar o acesso indevido às bases de dados ou aos sistemas, o que poderá levar a acessos não autorizados, a vazamento ou alteração de informações ou à perpetração de fraudes, impactando os resultados e a confiança no sistema de votação eletrônica;
(…)
Risco 7: A proteção insuficiente aos recursos externos ao datacenter, tais como as urnas de votação, o transporte das mídias dos locais de votação para a central de transmissão e outros fora das dependências da organização, pode impactar os resultados e a credibilidade da eleição;
(…)
Risco 11: A ausência de controles efetivos para proteção das redes de comunicação e das transferências de informações entre o TSE e os demais órgãos da Justiça Eleitoral pode propiciar violação do sistema interno do TSE de transmissão e consolidação dos dados e resultar em fraudes ou comprometimento do resultado das eleições e em ataque ao site do TSE, comprometendo a credibilidade da instituição e, consequentemente, das eleições;
(…)
Risco 13: Priorizar a celeridade da apuração do resultado em detrimento dos mecanismos de segurança pode fragilizar a segurança da informação e impactar a confiabilidade de todo o sistema eletrônico de votação;
(…)
- Entre os possíveis achados levantados pela equipe do Tribunal e constantes da Matriz de Planejamento (peça 13), destaco: i) a baixa governança no desenvolvimento e na manutenção dos sistemas, deixando-os vulneráveis; ii) fragilidades do processo de auditabilidade, com impacto na segurança das urnas; iii) a possibilidade de identificação do voto do eleitor, resultando na quebra do sigilo do voto; iv) a divulgação de dados errados ou sigilosos, o acesso indevido às bases de dados ou sistemas ou o vazamento e a alteração de informações, inclusive com impacto no resultado das eleições; e v) violação do sistema interno do TSE de transmissão e consolidação dos dados, com possibilidade de manipulações imperceptíveis, também com impacto no resultado dos pleitos.”
É difícil continuar chamando de democracia um país onde a autoridade judiciária não dá respostas satisfatórias a essa multidão de lacunas e consagra, por esse mesmo sistema, um criminoso descondenado como presidente da República.
Leia também “Bem-vindo ao talibã”
Guilherme Fiuza, colunista - Revista Oeste
