Grandes organizações, com alto investimento em segurança da informação, frequentemente, têm
sido alvo de sequestro dos seus sistemas, por organizações criminosas com objetivo de extorsão.
O quadro de atraso encontrado no Tribunal Superior Eleitoral (TSE), referente à implantação de
medidas de segurança da informação mínimas necessárias, gera vulnerabilidades relevantes. Isto
poderá resultar em invasão interna ou externa nos sistemas eleitorais, com grave impacto nos
resultados das eleições de outubro.
O Relatório de Autoavaliação do TSE de 2021 apresentou sete notas zero, dadas pelos próprios
servidores do tribunal, em processos essenciais como gestão de continuidade do negócio, gestão
de incidentes de segurança da informação, e identificação precoce de requisitos de segurança da
informação e gestão permanente desses requisitos durante todo o ciclo de vida do software
(Levantamento de Governança e Gestão Públicas do TCU).
Uma das notas zero confirma que não há um processo de gestão de riscos de segurança da
informação no TSE, ou um inventário dos riscos de segurança existentes, ambas atividades de
fundamental importância para uma gestão eficaz da segurança da informação.
Os pontos falhos mais significativos estão relacionados à Governança e Gestão de Segurança e de
Tecnologia da Informação (TI). A auditoria do Partido Liberal (PL) utilizou uma lista de avaliação e
controles com 215 questões propostas com base no Anexo A da norma ABNT de Sistemas de
Gestão da Segurança da Informação - Requisitos (NBR ISO IEC 27001 de 2013). O TSE satisfaz
plenamente apenas 5% dos requisitos para atender à certificação por esta norma de segurança.
A Governança e Gestão de Segurança e de Tecnologia da Informação revelam extrema
insuficiência. Não se encontrou um Sistema de Gestão de Segurança da Informação, como
determina resolução do Conselho Nacional de Justiça (CNJ). Falta independência funcional na
unidade responsável pela segurança cibernética, porque ela se reporta à Secretaria de TI e não à
alta administração do TSE, como exigem boas práticas e normas de segurança da informação.
Somente um grupo restrito de servidores e colaboradores do TSE controla todo o código fonte dos
programas da urna eletrônica e dos sistemas eleitorais. Sem qualquer controle externo, isto cria,
nas mãos de alguns técnicos, um poder absoluto de manipular resultados da eleição, sem deixar
qualquer rastro. Não foram encontrados os procedimentos necessários para proteger estas
pessoas expostas politicamente (PEP) contra a coação irresistível, gerando outro risco elevado.
A gestão de fornecedores da cadeia de tecnologias de informação e comunicação (TIC) mostra-se
precária, segundo a autoavaliação enviada pelo TSE ao TCU e a constatação de que o TSE não
possui, nem definida e nem implementada, uma política de segurança da informação no
relacionamento com fornecedores. Considerando que cerca de dois terços da força de trabalho
compõe-se de terceiros, trata-se de um risco substancial.
Sem a assinatura eletrônica qualificada, com um certificado digital da Infraestrutura de Chaves
Públicas Brasileira (ICP-Brasil), os documentos gerados pela urna eletrônica, incluindo a zerésima,
o registro do voto e o boletim de urna, não têm a garantia da presunção legal de que o seu
conteúdo é legítimo e verdadeiro, definida em lei.
Os registros da Secretaria de Auditoria (SAU) do TSE mostram que não foram realizadas auditorias
internas nos processos de tecnologia da informação e de segurança da informação, desde 2019.
PARTIDO LIBERAL Resultados da Auditoria de Conformidade no TSE v1.0 19/09/2022 pág. 1/2
Resultados da Auditoria de Conformidade do PL no TSE
Isto contraria as informações enviadas pelo TSE ao Tribunal de Contas da União (TCU), através
destes instrumentos de autoavaliação. Além disso, não foram identificados instrumentos técnicos
para assegurar a ampla auditoria, garantida pela Lei Eleitoral aos partidos políticos, nem do
registro digital de cada voto e nem da contagem de cada voto, na apuração dos resultados na
urna.
A governança em tecnologia da informação e a gestão da segurança da informação tornaram-se
essenciais e sensíveis às operações de todos os setores da vida moderna, públicos e privados. O
Governo brasileiro já atribuiu alta prioridade a estes temas, com ações e diretivas nos três Poderes
da União. O Referencial Básico de Governança Organizacional do TCU, na edição de 2020, dedica
20 páginas a este tópico. A Resolução 396 de 2021 do CNJ determina a implantação do Sistema
de Gestão em Segurança da Informação, em todos os órgãos do Poder Judiciário. Assim, o
objetivo principal da fiscalização do PL é fortalecer a transparência eleitoral e a governança em TI
e em gestão da segurança da informação no TSE. É imperativo aumentar a confiança do eleitor no
sistema eletrônico de votação e nos processos eleitorais.
A equipe técnica do Instituto Voto Legal (IVL) foi contratada pelo PL para realizar a fiscalização de
todas as fases da votação, apuração e totalização dos resultados da eleição, como estabelece a
Lei Eleitoral 9.504/1997. A metodologia escolhida busca, sempre, a colaboração construtiva com a
alta direção do TSE, porque quem audita constrói valor para a organização auditada.
Foram adotados, até agora, dois instrumentos de fiscalização, amplamente utilizados pelo TCU: o
Levantamento e a Auditoria de Conformidade, incluindo a orientação para a coleta de evidências
em documentos públicos. Em geral, os auditores apresentam e discutem as oportunidades de
melhorias com a organização auditada. Não obstante a urgência e a gravidade das evidências
encontradas, o TSE não respondeu, até o momento, aos inúmeros pedidos para agendar uma
reunião para tratar do tema. Este fato tornou necessária a divulgação dos resultados da avaliação
da equipe técnica do PL, sobre os documentos públicos encontrados.
Ao todo, foram 24 itens identificados como falhas, quando confrontados com a Constituição
Federal, leis, resoluções, normas técnicas e boas práticas, detalhados no Relatório de Auditoria de
Conformidade do PL no TSE e agrupados nos seguintes temas:
1. Descumprimento de Resoluções, Leis e da Constituição Federal
2. Assinatura Digital com Certificado Digital ICP-Brasil
3. Sigilo do Voto
4. Governança Organizacional do TSE
5. Governança e Gestão de Segurança e de Tecnologia da Informação
6. Documentação dos Processos Eleitorais
7. Certificação de Equipamentos e Programas do Sistema Eletrônico de Votação SEV
Os resultados da auditoria do PL, conduzida desde julho último, reúnem informações relevantes,
que permitiriam à alta direção do TSE tomar as precauções necessárias para prevenir e detectar
erros e fraudes e garantir a integridade dos resultados das eleições de 2022. A equipe técnica do
PL continua à disposição do TSE, para contribuir no aperfeiçoamento da governança de TI e da
gestão de segurança da informação.
PARTIDO LIBERAL
Nenhum comentário:
Postar um comentário