Tribunal respondeu a questionamentos dos militares sobre a segurança das urnas eletrônicas
Por Renan Ramalho
O Tribunal Superior Eleitoral (TSE) divulgou nesta quarta-feira (16) as respostas fornecidas por seus técnicos ao Centro de Defesa Cibernética do Exército, que passou a integrar uma comissão de transparência formada pela Corte para fiscalizar o processo eleitoral. No documento, o TSE informa ter identificado um total de 712 riscos em seus projetos de tecnologia da informação desde as eleições de 2018.
Segundo o tribunal, todos eles foram registrados numa ferramenta de gestão de riscos, "desde sua identificação até o seu efetivo tratamento, com histórico de escalonamento e medidas de contingência".
Em seguida, apresentou gráficos classificando esses riscos. Do total, houve 68 riscos considerados críticos, 257 riscos altos, 230 riscos moderados e 157 riscos pequenos. Também há uma divisão por eleição: em 2018, foram identificados 207 riscos; em 2020, 292 riscos; e em 2022, 213.
Os dados foram informados em resposta a questionamentos do general Heber Garcia Portella, que chefia a área de defesa cibernética do Exército e compõe a Comissão de Transparência Eleitoral (CTE), criada no ano passado pelo presidente do TSE, ministro Luís Roberto Barroso.
No fim do ano passado, Portella apresentou 80 perguntas e pedidos de informações ao TSE sobre a segurança do voto eletrônico. Na última segunda-feira (14), Barroso informou o envio das respostas e nesta quarta-feira (16) as divulgou em um documento de 69 páginas e um anexo com mais de 700 páginas, contendo informações técnicas e resoluções internas da Corte que descrevem procedimentos de segurança.
Uma dessas resoluções trata da gestão de riscos. O risco é definido como "possibilidade de ocorrer um evento que venha a ter impacto no cumprimento dos objetivos, sendo medido em termos de impacto e de probabilidade". Essa resolução também disciplina como lidar com os riscos. A resposta a eles pode ser "aceitar o risco por uma escolha consciente"; "transferir ou compartilhar o risco"; "evitar o risco pela decisão de não iniciar ou descontinuar a atividade que dá origem ao risco"; ou "mitigar ou reduzir o risco diminuindo sua probabilidade de ocorrência ou minimizando suas consequências".
Há ainda um terceiro gráfico que separa os riscos por nível de escalonamento. Dos 712 registrados, 651 foram identificados no nível do "gerente do projeto", outros 53 no âmbito do "coordenador", 5 na Comissão Técnica de Tecnologia da Informação (CTTI) e 3 estão ligados ao diretor-geral do TSE.
O documento enviado ao Exército não dá mais detalhes sobre os riscos ligados ao programa de eleições informatizadas nos últimos 4 anos.
Nesta terça, em entrevista à imprensa, o ministro Edson Fachin, que assumirá a presidência do TSE no final do mês, disse que há preocupação com a segurança cibernética nas eleições deste ano.
"Há riscos de ataques de diversas formas e origens. Tem sido dito e publicado, por exemplo, que a Rússia é um exemplo dessas procedências. O alerta quanto a isso é máximo e vem num crescendo. A guerra contra a segurança no ciberespaço da Justiça Eleitoral foi declarada faz algum tempo", disse.
Ataques 'não são raros'
O documento, no entanto, responde a outras dezenas de questionamentos sobre a segurança do sistema eletrônico de votação. Na maior parte das respostas, há descrições técnicas sobre equipamentos, estruturas e sistemas utilizados para impedir fraudes na votação eletrônica.
Numa das perguntas, por exemplo, o Exército questionou o TSE quais são os mecanismos de controle utilizados para prevenir que um “ataque de negação de serviço (DoS/DDoS)” possa interferir na transmissão dos dados de votação para o sistema totalizador do TSE.
O TSE respondeu que a transmissão de dados da votação não utiliza os “enlaces de comunicação” do TSE com a internet, mas apenas “enlaces internos”. Em caso de necessidade de usar a internet, os contratos com as operadoras preveem que elas devem mitigar “todos os ataques DDoS”. Depois, dizem que esses ataques “não são raros”.
“Os ataques de DDoS em direção à Justiça Eleitoral não são raros, tendo ocorrido inclusive no 1º Turno das Eleições Municipais de 2020. Durante um ataque de DDoS, as equipes técnicas das operadoras interagem com equipes do TSE para efetivação dos bloqueios e restabelecimento de serviços. Trata-se de prática bastante operacionalizada e, portanto, testada de modo a aferir sua efetividade”, diz o documento.
Na eleição municipal de 2020, ocorreu um atraso anormal na totalização dos dados. À época, o TSE informou que o problema ocorreu no computador central, mas foi resolvido no mesmo dia.
Novas urnas não passaram por auditoria externa
Em outro questionamento, o Exército perguntou ao TSE se será realizada alguma auditoria externa nas novas urnas eletrônicas (modelo 2020). Observou que esse modelo não foi disponibilizado para técnicos externos que participaram do Teste Público de Segurança (TPS) no ano passado, no qual o TSE convida especialistas para tentar invadir as urnas para depois corrigir eventuais vulnerabilidades.
O TSE respondeu que seus próprios técnicos auditam a fabricação das urnas diretamente na linha de produção, inspecionando todo o processo fabril, "de maneira a verificar se o produto acabado, urna eletrônica, está em conformidade com o projeto estabelecido e as demais especificações do edital de licitação".
Depois, informou que no TPS de 2021, a urna testada foi do modelo 2015, "pois o modelo 2020 ainda estava em desenvolvimento e os sistemas ainda estão em desenvolvimento".
Nas eleições deste ano, serão utilizadas no total 577.125 urnas eletrônicas. Dessas, 224.999 (38,9%) são do modelo 2020, que não passou pelo Teste Público de Segurança. O TSE afirmou que a partir de março, o software estará disponível para testes, mas somente aqueles internos, realizados pela própria Corte.