Resultados da Auditoria de Conformidade do PL no TSE

Grandes organizações, com alto investimento em segurança da informação, frequentemente, têm

sido alvo de sequestro dos seus sistemas, por organizações criminosas com objetivo de extorsão.

O quadro de atraso encontrado no Tribunal Superior Eleitoral (TSE), referente à implantação de

medidas de segurança da informação mínimas necessárias, gera vulnerabilidades relevantes. Isto

poderá resultar em invasão interna ou externa nos sistemas eleitorais, com grave impacto nos

resultados das eleições de outubro.

O Relatório de Autoavaliação do TSE de 2021 apresentou sete notas zero, dadas pelos próprios

servidores do tribunal, em processos essenciais como gestão de continuidade do negócio, gestão

de incidentes de segurança da informação, e identificação precoce de requisitos de segurança da

informação e gestão permanente desses requisitos durante todo o ciclo de vida do software

(Levantamento de Governança e Gestão Públicas do TCU).

Uma das notas zero confirma que não há um processo de gestão de riscos de segurança da

informação no TSE, ou um inventário dos riscos de segurança existentes, ambas atividades de

fundamental importância para uma gestão eficaz da segurança da informação.

Os pontos falhos mais significativos estão relacionados à Governança e Gestão de Segurança e de

Tecnologia da Informação (TI). A auditoria do Partido Liberal (PL) utilizou uma lista de avaliação e

controles com 215 questões propostas com base no Anexo A da norma ABNT de Sistemas de

Gestão da Segurança da Informação - Requisitos (NBR ISO IEC 27001 de 2013). O TSE satisfaz

plenamente apenas 5% dos requisitos para atender à certificação por esta norma de segurança.

A Governança e Gestão de Segurança e de Tecnologia da Informação revelam extrema

insuficiência. Não se encontrou um Sistema de Gestão de Segurança da Informação, como

determina resolução do Conselho Nacional de Justiça (CNJ). Falta independência funcional na

unidade responsável pela segurança cibernética, porque ela se reporta à Secretaria de TI e não à

alta administração do TSE, como exigem boas práticas e normas de segurança da informação.

Somente um grupo restrito de servidores e colaboradores do TSE controla todo o código fonte dos

programas da urna eletrônica e dos sistemas eleitorais. Sem qualquer controle externo, isto cria,

nas mãos de alguns técnicos, um poder absoluto de manipular resultados da eleição, sem deixar

qualquer rastro. Não foram encontrados os procedimentos necessários para proteger estas

pessoas expostas politicamente (PEP) contra a coação irresistível, gerando outro risco elevado.

A gestão de fornecedores da cadeia de tecnologias de informação e comunicação (TIC) mostra-se

precária, segundo a autoavaliação enviada pelo TSE ao TCU e a constatação de que o TSE não

possui, nem definida e nem implementada, uma política de segurança da informação no

relacionamento com fornecedores. Considerando que cerca de dois terços da força de trabalho

compõe-se de terceiros, trata-se de um risco substancial.

Sem a assinatura eletrônica qualificada, com um certificado digital da Infraestrutura de Chaves

Públicas Brasileira (ICP-Brasil), os documentos gerados pela urna eletrônica, incluindo a zerésima,

o registro do voto e o boletim de urna, não têm a garantia da presunção legal de que o seu

conteúdo é legítimo e verdadeiro, definida em lei.

Os registros da Secretaria de Auditoria (SAU) do TSE mostram que não foram realizadas auditorias

internas nos processos de tecnologia da informação e de segurança da informação, desde 2019.

PARTIDO LIBERAL Resultados da Auditoria de Conformidade no TSE v1.0 19/09/2022 pág. 1/2

Resultados da Auditoria de Conformidade do PL no TSE

Isto contraria as informações enviadas pelo TSE ao Tribunal de Contas da União (TCU), através

destes instrumentos de autoavaliação. Além disso, não foram identificados instrumentos técnicos

para assegurar a ampla auditoria, garantida pela Lei Eleitoral aos partidos políticos, nem do

registro digital de cada voto e nem da contagem de cada voto, na apuração dos resultados na

urna.

A governança em tecnologia da informação e a gestão da segurança da informação tornaram-se

essenciais e sensíveis às operações de todos os setores da vida moderna, públicos e privados. O

Governo brasileiro já atribuiu alta prioridade a estes temas, com ações e diretivas nos três Poderes

da União. O Referencial Básico de Governança Organizacional do TCU, na edição de 2020, dedica

20 páginas a este tópico. A Resolução 396 de 2021 do CNJ determina a implantação do Sistema

de Gestão em Segurança da Informação, em todos os órgãos do Poder Judiciário. Assim, o

objetivo principal da fiscalização do PL é fortalecer a transparência eleitoral e a governança em TI

e em gestão da segurança da informação no TSE. É imperativo aumentar a confiança do eleitor no

sistema eletrônico de votação e nos processos eleitorais.

A equipe técnica do Instituto Voto Legal (IVL) foi contratada pelo PL para realizar a fiscalização de

todas as fases da votação, apuração e totalização dos resultados da eleição, como estabelece a

Lei Eleitoral 9.504/1997. A metodologia escolhida busca, sempre, a colaboração construtiva com a

alta direção do TSE, porque quem audita constrói valor para a organização auditada.

Foram adotados, até agora, dois instrumentos de fiscalização, amplamente utilizados pelo TCU: o

Levantamento e a Auditoria de Conformidade, incluindo a orientação para a coleta de evidências

em documentos públicos. Em geral, os auditores apresentam e discutem as oportunidades de

melhorias com a organização auditada. Não obstante a urgência e a gravidade das evidências

encontradas, o TSE não respondeu, até o momento, aos inúmeros pedidos para agendar uma

reunião para tratar do tema. Este fato tornou necessária a divulgação dos resultados da avaliação

da equipe técnica do PL, sobre os documentos públicos encontrados.

Ao todo, foram 24 itens identificados como falhas, quando confrontados com a Constituição

Federal, leis, resoluções, normas técnicas e boas práticas, detalhados no Relatório de Auditoria de

Conformidade do PL no TSE e agrupados nos seguintes temas:

1. Descumprimento de Resoluções, Leis e da Constituição Federal

2. Assinatura Digital com Certificado Digital ICP-Brasil

3. Sigilo do Voto

4. Governança Organizacional do TSE

5. Governança e Gestão de Segurança e de Tecnologia da Informação

6. Documentação dos Processos Eleitorais

7. Certificação de Equipamentos e Programas do Sistema Eletrônico de Votação SEV

Os resultados da auditoria do PL, conduzida desde julho último, reúnem informações relevantes,

que permitiriam à alta direção do TSE tomar as precauções necessárias para prevenir e detectar

erros e fraudes e garantir a integridade dos resultados das eleições de 2022. A equipe técnica do

PL continua à disposição do TSE, para contribuir no aperfeiçoamento da governança de TI e da

gestão de segurança da informação.

PARTIDO LIBERAL 

Nenhum comentário:

Postar um comentário