28 setembro 2022

PROCESSO ELEITORAL: TSE SATISFAZ APENAS 5% DOS REQUISITOS PARA ATENDER A NORMA DA ABNT NBR ISO IEC 27001 de 2013

Auditoria do PL diz que técnicos do TSE têm “poder de manipular resultado da eleição”

O presidente do TSE, Alexandre de Moraes, com o presidente do PL, Valdemar da Costa Neto, e o engenheiro Carlos Rocha, durante visita à sala de totalização dos votos, nesta quarta (28) Foto: Alejandro Zambrana/Secom/TSE

O Partido Liberal (PL), do presidente Jair Bolsonaro, divulgou nesta quarta-feira (28) as principais conclusões de uma auditoria que fez sobre a segurança do sistema de votação, apuração e totalização dos votos do Tribunal Superior Eleitoral (TSE).

Num documento de duas páginas, o partido diz ter encontrado, entre outros pontos, um “quadro de atraso” na implantação de medidas “mínimas necessárias” na segurança da informação; risco de invasão interna ou externa nos sistemas eleitorais, “com grave impacto nos resultados das eleições de outubro”; e um “poder absoluto” de alguns técnicos da Corte para “manipular resultados da eleição, sem deixar qualquer rastro”.

Em nota oficial, o TSE afirmou que as conclusões do documento "são falsas e mentirosas", e informou que o presidente da Corte, ministro Alexandre de Moraes, determinou a apuração de responsabilidade criminal de seus idealizadores – "uma vez que é apócrifo", alega o tribunal –, bem como uma investigação contra o PL por suposto desvio de finalidade no uso de verba do fundo partidário (leia a nota na íntegra no final deste texto).

A auditoria do PL foi iniciada em julho deste ano por um grupo de técnicos do Instituto Voto Legal (IVL), comandado pelo engenheiro Carlos Rocha, um dos desenvolvedores do primeiro modelo de urna eletrônica usado no Brasil e crítico do sistema atualmente adotado pelo TSE. Ele defende a certificação digital de cada voto e auditorias externas independentes, não controladas pela Corte, sobre o funcionamento das urnas eletrônicas.

O trabalho foi iniciado após pressão de Bolsonaro por uma fiscalização mais profunda e independente sobre os sistemas do TSE, tarefa também realizada pelas Forças Armadas. Do ano passado para cá, o presidente tem intensificado suas críticas às urnas eletrônicas, especialmente após a rejeição, pelo Congresso, da proposta do voto impresso.

Na auditoria, auditores do PL buscaram informações detalhadas do próprio TSE sobre a segurança de seus sistemas de tecnologia e a gestão de riscos, inclusive numa autoavaliação submetida ao Tribunal de Contas da União (TCU). O grupo de auditores contratados pelo PL buscou verificar se procedimentos e gestão seguem normas vigentes e as melhores práticas na área.

Ao todo, a auditoria diz ter identificado 24 itens como falhas, quando confrontados com a Constituição Federal, leis, resoluções, normas técnicas e boas práticas, detalhados no Relatório de Auditoria de Conformidade do PL no TSE e agrupados nos seguintes temas:

  • Descumprimento de Resoluções, Leis e da Constituição Federal;
  • Assinatura Digital com Certificado Digital ICP-Brasil;
  • Sigilo do Voto;
  • Governança Organizacional do TSE;
  • Governança e Gestão de Segurança e de Tecnologia da Informação;
  • Documentação dos Processos Eleitorais;
  • Certificação de Equipamentos e Programas do Sistema Eletrônico de Votação SEV.

“A auditoria do Partido Liberal (PL) utilizou uma lista de avaliação e controles com 215 questões propostas com base no Anexo A da norma ABNT de Sistemas de Gestão da Segurança da Informação - Requisitos (NBR ISO IEC 27001 de 2013). O TSE satisfaz plenamente apenas 5% dos requisitos para atender à certificação por esta norma de segurança”, diz a conclusão da auditoria.

Na autoavaliação, feita pelo próprio TSE e submetida ao TCU, os técnicos atribuíram nota zero em sete itens ligados à área de segurança e tecnologia da informação, entre eles “identificação precoce de requisitos de segurança da informação e a gestão permanente desses requisitos durante todo o ciclo de vida do software”; “processo de gestão de continuidade do negócio”; “capacidade em gerir riscos de TI”; e “gestão de incidentes de segurança da informação”.

O PL diz que algumas dessas atividades são de “fundamental importância” e que a governança e gestão identificadas nessa área revelam “extrema insuficiência”.

Poder de manipular resultados num grupo restrito de servidores

Segundo o PL, o poder de manipulação dos resultados se daria porque “somente um grupo restrito de servidores e colaboradores do TSE controla todo o código fonte dos programas da urna eletrônica e dos sistemas eleitorais”, e “sem qualquer controle externo”. “Não foram encontrados os procedimentos necessários para proteger estas pessoas expostas politicamente (PEP) contra a coação irresistível, gerando outro risco elevado”.

Outro problema identificado está na “gestão de fornecedores da cadeia de tecnologias de informação e comunicação”, considerada “precária”. Não há, segundo a auditoria, uma política de segurança na relação com fornecedores de equipamentos, serviços e sistemas. “Considerando que cerca de dois terços da força de trabalho compõe-se de terceiros, trata-se de um risco substancial”, diz essa parte da auditoria.

Mesmo os documentos oficiais emitidos pelas urnas eletrônicas e que, segundo o TSE, registram fielmente as escolhas do eleitor, não são confiáveis, no entendimento do PL. “Sem a assinatura eletrônica qualificada, com um certificado digital da Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil), os documentos gerados pela urna eletrônica, incluindo a zerésima, o registro do voto e o boletim de urna, não têm a garantia da presunção legal de que o seu conteúdo é legítimo e verdadeiro, definida em lei”, diz o partido.

O boletim de urna é um extrato emitido por cada máquina com a soma dos votos recebidos naquela seção por cada candidato. É com base nele que os votos são totalizados no TSE. O registro do voto (RDV) é um arquivo, no formato de uma tabela, que registra os votos dados por cada eleitor nos candidatos a cada um dos cargos em disputa. Nesse arquivo, não se identifica o eleitor e a ordem em que cada um votou naquela seção eleitoral é embaralhada. Já a zerézima é um documento impresso pela urna antes da votação que demonstra que não foi digitado qualquer voto nela até aquele momento.

PL diz que objetivo da auditoria é aumentar confiança no TSE

O documento divulgado pelo PL se inicia afirmando que “grandes organizações, com alto investimento em segurança da informação, frequentemente, têm sido alvo de sequestro dos seus sistemas, por organizações criminosas com objetivo de extorsão”. No meio, registra a importância dada ao tema em normas do governo, do TCU e do Conselho Nacional. Por fim, diz que o objetivo do PL “é fortalecer a transparência eleitoral e a governança em TI e em gestão da segurança da informação no TSE”. “É imperativo aumentar a confiança do eleitor no sistema eletrônico de votação e nos processos eleitorais”, diz o documento.

Presidente do IVL e responsável pela auditoria, Carlos Rocha diz que tenta desde agosto, sem sucesso, se reunir com servidores de cúpula do TSE para apresentar esses problemas. Ele chegou a ser atendido no início daquele mês pela então secretária-geral Christine Peter, auxiliar direta do então presidente da Corte, Edson Fachin. Depois que Alexandre de Moraes assumiu a presidência do TSE, ele não conseguiu mais reuniões.

Em razão disso, o PL resolveu divulgar nesta terça as conclusões da auditoria. Antes, no dia 19 de setembro, Rocha enviou ao novo secretário-geral, José Levi, braço-direito de Moraes, as conclusões, num documento mais extenso, de 130 páginas.

À reportagem, Rocha disse que as auditorias internas do TSE são positivas, mas o que garante a confiança no sistema e na instituição são auditorias externas independentes. “Tínhamos a expectativa de conversar com a nova gestão. É comum que em várias organizações, quando um novo presidente assume, queira auditorias externas para tomar precauções. Fomos lá para dar informações no melhor interesse de colaborar. Nosso objetivo não é gerar problema. Quem audita constrói, não cria problema”, disse.

“O objetivo do trabalho é trazer uma contribuição construtiva, para aumentar a confiança dos eleitores no sistema de votação e aumentar a confiança da sociedade na instituição Justiça Eleitoral. Nos últimos anos houve uma queda na confiança, pois menos da metade dos eleitores confia muito nas urnas. E a confiança da sociedade na instituição também diminuiu”, acrescentou.

Nesta semana, Carlos Rocha acompanhou o presidente do PL, Valdemar da Costa Neto, em duas visitas feitas ao TSE. Na última terça-feira (27), o ex-deputado teve uma reunião a sós com Moraes, sem sua participação. Nesta quarta (28), o engenheiro participou de uma rápida visita à sala de totalização dos votos na Corte, junto com dezenas de outros representantes de partidos, entidades fiscalizadoras, como Forças Armadas, Ministério Público e missões de observação.

Leia abaixo algumas das conclusões da auditoria do PL

Resultados da Auditoria de Conformidade do PL no TSE 

Grandes organizações, com alto investimento em segurança da informação, frequentemente, têm sido alvo de sequestro dos seus sistemas, por organizações criminosas com objetivo de extorsão. O quadro de atraso encontrado no Tribunal Superior Eleitoral (TSE), referente à implantação de medidas de segurança da informação mínimas necessárias, gera vulnerabilidades relevantes. Isto poderá resultar em invasão interna ou externa nos sistemas eleitorais, com grave impacto nos resultados das eleições de outubro. 

O Relatório de Autoavaliação do TSE de 2021 apresentou sete notas zero, dadas pelos próprios servidores do tribunal, em processos essenciais como gestão de continuidade do negócio, gestão de incidentes de segurança da informação, e identificação precoce de requisitos de segurança da informação e gestão permanente desses requisitos durante todo o ciclo de vida do software (Levantamento de Governança e Gestão Públicas do TCU). 

Uma das notas zero confirma que não há um processo de gestão de riscos de segurança da informação no TSE, ou um inventário dos riscos de segurança existentes, ambas atividades de fundamental importância para uma gestão eficaz da segurança da informação. 

Os pontos falhos mais significativos estão relacionados à Governança e Gestão de Segurança e de Tecnologia da Informação (TI). A auditoria do Partido Liberal (PL) utilizou uma lista de avaliação e controles com 215 questões propostas com base no Anexo A da norma ABNT de Sistemas de Gestão da Segurança da Informação - Requisitos (NBR ISO IEC 27001 de 2013). O TSE satisfaz plenamente apenas 5% dos requisitos para atender à certificação por esta norma de segurança. 

A Governança e Gestão de Segurança e de Tecnologia da Informação revelam extrema insuficiência. Não se encontrou um Sistema de Gestão de Segurança da Informação, como determina resolução do Conselho Nacional de Justiça (CNJ). Falta independência funcional na unidade responsável pela segurança cibernética, porque ela se reporta à Secretaria de TI e não à alta administração do TSE, como exigem boas práticas e normas de segurança da informação. 

Somente um grupo restrito de servidores e colaboradores do TSE controla todo o código fonte dos programas da urna eletrônica e dos sistemas eleitorais. Sem qualquer controle externo, isto cria, nas mãos de alguns técnicos, um poder absoluto de manipular resultados da eleição, sem deixar qualquer rastro. Não foram encontrados os procedimentos necessários para proteger estas pessoas expostas politicamente (PEP) contra a coação irresistível, gerando outro risco elevado. 

A gestão de fornecedores da cadeia de tecnologias de informação e comunicação (TIC) mostra-se precária, segundo a autoavaliação enviada pelo TSE ao TCU e a constatação de que o TSE não possui, nem definida e nem implementada, uma política de segurança da informação no relacionamento com fornecedores. Considerando que cerca de dois terços da força de trabalho compõe-se de terceiros, trata-se de um risco substancial. 

Sem a assinatura eletrônica qualificada, com um certificado digital da Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil), os documentos gerados pela urna eletrônica, incluindo a zerésima, o registro do voto e o boletim de urna, não têm a garantia da presunção legal de que o seu conteúdo é legítimo e verdadeiro, definida em lei. 

Os registros da Secretaria de Auditoria (SAU) do TSE mostram que não foram realizadas auditorias internas nos processos de tecnologia da informação e de segurança da informação, desde 2019. 

PARTIDO LIBERAL Resultados da Auditoria de Conformidade no TSE v1.0 19/09/2022 pág. 1/2 

Isto contraria as informações enviadas pelo TSE ao Tribunal de Contas da União (TCU), através destes instrumentos de autoavaliação. Além disso, não foram identificados instrumentos técnicos para assegurar a ampla auditoria, garantida pela Lei Eleitoral aos partidos políticos, nem do registro digital de cada voto e nem da contagem de cada voto, na apuração dos resultados na urna. 

A governança em tecnologia da informação e a gestão da segurança da informação tornaram-se essenciais e sensíveis às operações de todos os setores da vida moderna, públicos e privados. O Governo brasileiro já atribuiu alta prioridade a estes temas, com ações e diretivas nos três Poderes da União. O Referencial Básico de Governança Organizacional do TCU, na edição de 2020, dedica 20 páginas a este tópico. A Resolução 396 de 2021 do CNJ determina a implantação do Sistema de Gestão em Segurança da Informação, em todos os órgãos do Poder Judiciário. Assim, o objetivo principal da fiscalização do PL é fortalecer a transparência eleitoral e a governança em TI e em gestão da segurança da informação no TSE. É imperativo aumentar a confiança do eleitor no sistema eletrônico de votação e nos processos eleitorais. 

A equipe técnica do Instituto Voto Legal (IVL) foi contratada pelo PL para realizar a fiscalização de todas as fases da votação, apuração e totalização dos resultados da eleição, como estabelece a Lei Eleitoral 9.504/1997. A metodologia escolhida busca, sempre, a colaboração construtiva com a alta direção do TSE, porque quem audita constrói valor para a organização auditada. 

Foram adotados, até agora, dois instrumentos de fiscalização, amplamente utilizados pelo TCU: o Levantamento e a Auditoria de Conformidade, incluindo a orientação para a coleta de evidências em documentos públicos. Em geral, os auditores apresentam e discutem as oportunidades de melhorias com a organização auditada. Não obstante a urgência e a gravidade das evidências encontradas, o TSE não respondeu, até o momento, aos inúmeros pedidos para agendar uma reunião para tratar do tema. Este fato tornou necessária a divulgação dos resultados da avaliação da equipe técnica do PL, sobre os documentos públicos encontrados. 

Ao todo, foram 24 itens identificados como falhas, quando confrontados com a Constituição Federal, leis, resoluções, normas técnicas e boas práticas, detalhados no Relatório de Auditoria de Conformidade do PL no TSE e agrupados nos seguintes temas: 

        1. Descumprimento de Resoluções, Leis e da Constituição Federal 
        2. Assinatura Digital com Certificado Digital ICP-Brasil 
        3. Sigilo do Voto 
        4. Governança Organizacional do TSE 
        5. Governança e Gestão de Segurança e de Tecnologia da Informação 
        6. Documentação dos Processos Eleitorais 
        7. Certificação de Equipamentos e Programas do Sistema Eletrônico de Votação SEV 

Os resultados da auditoria do PL, conduzida desde julho último, reúnem informações relevantes, que permitiriam à alta direção do TSE tomar as precauções necessárias para prevenir e detectar erros e fraudes e garantir a integridade dos resultados das eleições de 2022. A equipe técnica do PL continua à disposição do TSE, para contribuir no aperfeiçoamento da governança de TI e da gestão de segurança da informação. 

PARTIDO LIBERAL Resultados da Auditoria de Conformidade no TSE v1.0 19/09/2022 pág. 2/2 

TSE diz que conclusões da auditoria são "falsas e mentirosas"

Em nota oficial, o Tribunal Superior Eleitoral se manifestou da seguinte maneira:

"As conclusões do documento intitulado 'resultados da auditoria de conformidade do PL no TSE' são falsas e mentirosas, sem nenhum amparo na realidade, reunindo informações fraudulentas e atentatórias ao Estado Democrático de Direito e ao Poder Judiciário, em especial à Justiça Eleitoral, em clara tentativa de embaraçar e tumultuar o curso natural do processo eleitoral.

Diversos dos elementos fraudulentos constantes do referido 'documento' são objetos de investigações, inclusive nos autos do Inquérito nº 4.781/DF, em tramitação no Supremo Tribunal Federal, relativamente a fake news, e também já acarretaram rigorosas providências por parte do Tribunal Superior Eleitoral, que decidiu pela cassação do diploma de parlamentar na hipótese de divulgação de fatos notoriamente inverídicos sobre fraudes inexistentes nas urnas eletrônicas (Recurso Ordinário Eleitoral n. 0603975-98.2018.6.16.0000/PR).

O presidente do Tribunal Superior Eleitoral, ministro Alexandre de Moraes, determinou a imediata remessa do documento ao Inquérito nº 4.781/DF, para apuração de responsabilidade criminal de seus idealizadores – uma vez que é apócrifo –, bem como seu envio à Corregedoria Geral Eleitoral para instauração de procedimento administrativo e apuração de responsabilidade do Partido Liberal e seus dirigentes, em eventual desvio de finalidade na utilização de recursos do Fundo Partidário."

PS.: Matéria publicada no jornal Gazeta do Povo acessível aqui.


Nenhum comentário:

Postar um comentário