Boa parte levanta dúvidas sobre a segurança do processo de votação e totalização dos votos, reproduzindo o discurso eleitoral de Bolsonaro
As Forças Armadas enviaram ao Tribunal Superior Eleitoral (TSE) 88 questionamentos ao longo de oito meses. Todos foram respondidos pela Corte eleitoral. As perguntas foram enviadas ao TSE em cinco ofícios.
Boa parte levanta dúvidas sobre a segurança do processo de votação e totalização dos votos, reproduzindo o discurso eleitoral do presidente Jair Bolsonaro que, sem provas, tenta pôr em suspeição a atuação do tribunal nas eleições deste ano.
Abaixo, veja as 88 perguntas das Forças Armadas e as respostas da Corte eleitoral.
Tensão institucional
Resposta ao 1º ofício do Ministério da Defesa:
1- Militares pediram que o TSE informasse qual é o organograma da estrutura de Tecnologia da Informação da Corte. E pediu que fossem fornecidos os nomes dos servidores públicos da área.
O TSE esclareceu que a informação já é pública e indicou o link onde os dados poderiam ser consultados.
2- Militares indagaram se há Norma de Gestão de Riscos relacionada à Gestão de Segurança da Informação do TSE.
O TSE informou que possui uma “Política de Gestão de Riscos” e também enviou o link onde ela poderia ser consultada.
3- Militares pediram os relatórios de riscos do TSE produzidos nos últimos 4 anos.
Todos os riscos identificados estão registrados em uma ferramenta de gestão de projetos (EPM), listando o histórico dos casos e as medidas de contingência adotadas. Enviou ainda um gráfico listando os casos encontrados entre 2018 e 2022.
O presidente Jair Bolsonaro; Chefe do executivo tem questionado, sem apresentar provas, confiabilidade das urnas eletrônicas Foto: Guga Matos/Reuters
4- Militares pediram informações sobre a Política de Segurança da Informação (PSI) do TSE.
A política de segurança da informação foi instituída por uma resolução da Corte e enviou o link para acesso ao texto.
5- Militares pediram que o tribunal listasse todos os normativos que dão base à política de segurança da informação do TSE.
As normas são as já indicadas nas perguntas anteriores além da relação de uma portaria que criou Comissão de Segurança da Informação, cujo link de acesso foi compartilhado.
6- Militares pediram explicações sobre a política de antivírus do TSE.
O TSE informou que possui “solução de antivírus contratada para toda a Justiça Eleitoral”. E esclareceu que a configuração poderia ser verificada em consulta a área de infraestrutura da Corte.
7- Militares indagaram se o TSE dispunha de uma política de auditoria e registro de “Logs” (registro de usuários e acessos ao sistema).
TSE informou que uma portaria regula essa política e enviou o link de acesso a ela.
8- Militares perguntaram se o TSE tem política de backup de arquivos
TSE informou que uma portaria regula essa política e enviou o link de acesso a ela.
9- Militares perguntaram se o TSE possui “Política de Continuidade de Negócio” (plano para manter as atividades funcionando se houver algum problema).
O TSE informou que “aprimora rotineiramente seus procedimentos” para garantir a realização das eleições. Listou ainda a estrutura de computadores para assegurar a totalização dos votos, citando que tem, por exemplo, um equipamento principal de banco de dados com oito servidores de apoio. Informou ainda que possui uma sala-cofre certificada que protege o TSE contra vandalismo, ocorrências físicas de incêndio, alagamento. E que no dia das eleições o portal do tribunal na internet tem sua atividade reduzida à prestação de serviços essenciais e inerentes às eleições, entre outras medidas.
10- Militares perguntaram se o TSE tem “Política de Gestão de Ativos da Segurança da Informação”.
TSE informou que uma portaria regula essa política e enviou o link de acesso a ela.
Apoiadores do presidente Jair Bolsonaro protestam contra urna eletrônica em ato em frente ao Palácio do Planalto Foto: Dida Sampaio/Estadão – 22/11/2020
11- Militares perguntaram se o TSE tem ” Política de Gestão de Identidade de Acesso”.
TSE informou que uma portaria regula essa política e enviou o link de acesso a ela
12- Militares perguntaram se o TSE tem “Política de Gestão de Mudanças” (política para minimizar riscos e melhorar capacidade do órgão de atualizar seus procedimentos).
TSE explicou que “o gerenciamento de mudanças está implementado por meio de processo de trabalho”. Enviou ainda um fluxograma de como sua política funciona.
13- Militares perguntaram se o TSE tem “Política de Gestão de Vulnerabilidades”.
TSE informou que uma portaria regula essa política e enviou o link de acesso a ela.
14- Militares perguntaram se o TSE tem “Política de Privacidade”.
TSE informou que uma resolução regula essa política e enviou o link de acesso a ela.
Urna eletrônica
15- Militares perguntaram se o TSE tem “Política de Senha”.
TSE informou que uma portaria regula essa política e enviou o link de acesso a ela.
16- Militares perguntaram se o TSE tem “Política de Uso Aceitável de TI” (política de como os computadores do órgão podem ser usados).
TSE informou que uma portaria regula essa política e enviou o link de acesso a ela.
17- Militares pediram informações sobre relatórios de “Análise de Impacto de Negócio” vinculados à gestão da segurança da informação (relatórios para avaliar impactos no órgão em função de eventual interrupção da atividade).
TSE informou que os relatórios estavam sendo produzidos e ficariam prontos em fevereiro deste ano.
18- Militares pediram informações sobre mapeamento dos “processos críticos dos sistemas que suportam o processo eleitoral”.
Os “processos críticos” estão previstos em normas e resoluções da Corte, bem como na auditoria do sistema eletrônico de votação. “As referidas resoluções detalham diversos processos, tais como: preparação e carga de urna, votação e justificativa, apuração, totalização, verificação de integridade e autenticidade dos sistemas eleitorais, lacração, dentre outros”.
19- Militares pediram informações sobre a “documentação de requisitos de software” dos sistemas que suportam o processo eleitoral.
O acesso à documentação é possível. Esclareceu ainda que, como prevê resolução interna, as informações solicitadas pelo Ministério da Defesa estão disponíveis para verificação, nas instalações do tribunal, desde a abertura do prazo de acompanhamento da inspeção dos sistemas em 4 de outubro de 2021.
20- Militares pediram informações sobre a documentação do processo de desenvolvimento de software dos sistemas utilizados no processo eleitoral.
“Os elementos que compõem esse processo de trabalho estão disponíveis em portal hospedado na intranet do Tribunal”. O TSE informou ainda que a consulta poderia ser feita mediante agendamento prévio.
21- Militares pediram informações sobre documentação do “processo de auditoria de software” dos sistemas utilizados no processo eleitoral.
Os processos eleitorais considerados críticos suportados pelos sistemas informatizados estão normatizados e descritos nas resoluções de atos gerais do processo eleitoral e remeteu em anexo cópias dessas normas.
O ministro da Defesa, general Paulo Sérgio Nogueira de Oliveira Foto: Exército Brasileiro
22- Militares pediram uma lista com “todas as versões do ramo principal dos sistemas que suportam o processo eleitoral” com indicação das versões utilizadas em eleições.
O conjunto de sistemas que suportam todo o processo eleitoral “é compreendido por uma gama de produtos que vão desde sistemas de alistamento eleitoral, registro de candidatura, análise de prestação de contas, filiação de eleitor e outros até votação e totalização”. O tribunal listou as versões de programas utilizados nas urnas e no sistema de apuração.
23- Militares pediram informações sobre “quantidade de linhas de código (sem contar comentários) e quantidade de arquivos dos sistemas do processo eleitoral”.
O tribunal montou um quadro explicativo com o número de linhas de código de cada programa. Por exemplo: sistema-totalização, 777.866 linhas.
24- Militares solicitaram lista com “bibliotecas e APIS utilizadas de terceiros dos sistemas que suportam o processo eleitoral”.
O TSE listou as versões de programas em 16 páginas.
25- Militares solicitaram documentação do processo de verificação de segurança de software dos sistemas utilizados no processo eleitoral.
TSE informou que o processo de desenvolvimento dos sistemas eleitorais compreende “conjunto de etapas, incluindo aquelas em que a segurança, a integridade e a corretude dos produtos de software são verificadas”. E listou algumas das etapas: testes durante a fase de desenvolvimento; testes em campo e simulados nacionais; análise de código fonte; Teste Público de Segurança (TPS), num evento realizado no ano anterior ao das eleições ordinárias.
26- Militares solicitaram lista de ferramentas de análise de segurança utilizadas nos sistemas do processo eleitoral.
TSE listou as ferramentas utilizadas.
27- Militares pediram informações sobre a documentação de “Arquitetura da Solução”, incluindo detalhes da rede de segurança como firewall.
A segurança da rede compreende “um conjunto de informações de alta sensibilidade no que tange aos aspectos de segurança da informação”. E disse que os detalhes poderiam ser conhecidos mediante agendamento de visita ao tribunal. Adicionalmente, o TSE explicou que, no final de semana das eleições, são realizados bloqueios adicionais, como o impedimento de que usuários internos à rede da Justiça Eleitoral tenham acesso à internet.
Resposta ao 2º ofício
28- Quais foram os parâmetros probabilísticos, entre eles o nível de confiança, utilizados nos cálculos do TSE para definir a quantidade de 6, 8 ou 10 urnas por Unidade da Federação, no teste de integridade das urnas eletrônicas?
“O número de urnas por unidade da federação é definido proporcionalmente ao quantitativo de seções principais de cada UF. As unidades federativas com mais seções eleitorais farão jus a um número maior de testes de integridade”. O TSE informou ainda que para o aumento da quantidade de urnas a serem submetidas aos testes foi realizado estudo estatístico. “Esse estudo partiu da premissa verdadeira, considerada estatisticamente como um cenário favorável, de que todas as urnas utilizam o mesmo sistema no país inteiro”. Explicou ainda que a administração do TSE decidiu duplicar a quantidade de urnas a serem submetidas aos testes de integridade e que o regular funcionamento do sistema pode ser verificado nas cerimônias que antecedem a votação quando as urnas são lacradas. O tribunal acrescentou, no entanto, que “os partidos, candidatos e entidades fiscalizadoras depositam tanta confiança no sistema que, com frequência, não enviam quaisquer representantes a esses eventos”.
29- Como foi feito o cálculo para chegar ao número máximo de 234 urnas submetidas ao teste de integridade, constante da medida 7 do Plano de Ação para Ampliação da Transparência do Processo Eleitoral 2022?
TSE explicou que após o estudo que realizou, e que “já apontava a confiança do quantitativo de urnas submetidas ao processo de auditoria”, foi decidido pelo tribunal dobrar o quantitativo de urnas a serem submetidas aos testes de integridade.
30- Qual o nível de confiança nos casos em que há ação judicial relativa aos sistemas de votação e apuração?
TSE explicou que os percentuais sobre nível de confiança das urnas foram estabelecidos para a eleição de 2016.Um grupo de trabalho estabeleceu que seria apresentado estudo estatístico sobre quantitativos máximos e mínimos de urnas que ficariam lacradas no caso de ações judiciais que questionassem o processo de votação.
31- Qual a consequência para o processo eleitoral como um todo em face da observância de irregularidades na contagem dos votos da amostra utilizada no teste de integridade, a fim de não descaracterizar a auditoria por amostragem?
TSE informou que a primeira medida a ser adotada em caso de divergência na contagem de votos no teste de integridade está prevista numa resolução da Corte em 2021. A resolução diz que “na hipótese de divergência entre o boletim de urna e o resultado esperado, serão adotadas as seguintes providências: localização das divergências; e conferência da digitação das respectivas cédulas divergentes, com base no horário de votação. Persistindo a divergência da votação eletrônica, proceder-se-á à conferência de todas as cédulas digitadas e ao registro minucioso em ata de todas as intercorrências, ainda que solucionadas.
O TSE esclareceu ainda que persistindo divergência entre a votação em cédula e a eletrônica, aplica-se o previsto no Código Eleitoral. A resposta cita dois artigos: “Art. 222. É também anulável a votação, quando viciada de falsidade, fraude, coação; Art. 224. Se a nulidade atingir a mais de metade dos votos do país nas eleições presidenciais, do Estado nas eleições federais e estaduais ou do município nas eleições municipais, julgar-se-ão prejudicadas as demais votações e o Tribunal marcará dia para nova eleição dentro do prazo de 20 a 40 dias”.
32- Como será observada a mesma rotina de uma votação normal no Teste de Integridade, incluindo a identificação biométrica?
TSE informou que “nenhuma eleição ocorre com identificação biométrica de 100% dos eleitores que compareceram à votação”. E listou várias situações em que os eleitores, sem condições de fazerem a biometria, podem votar desde que devidamente identificados. Por isso, sustentou o tribunal, o Teste de Integridade “já preserva a rotina de uma votação normal, visto que é possível a votação com comprovação de identidade por via diversa da identificação biométrica”.
Respostas ao 3º ofício do Ministério da Defesa
TSE informou que as questões já tinha sido tratadas no 2º ofício do ministério
Resposta ao 4º ofício do Ministério da Defesa
33- É possível armazenar mais de um boletim de urna no aplicativo Boletim na Mão?
TSE informou que o aplicativo Boletim na Mão, desde a sua primeira versão, permite que sejam armazenados tantos boletins quantos tenham sido lidos por meio dos respectivos QRCodes.
34- Em caso negativo, seria possível realizar uma alteração na aplicação Boletim na Mão de forma que mais de um boletim de urna seja armazenado no aplicativo?
Prejudicado pela resposta anterior.
35- Seria possível realizar uma alteração na aplicação Boletim na Mão de forma que as informações do boletim de urna sejam enviadas para um servidor cujo endereço seja configurado pelo usuário?
TSE esclareceu que a versão atual do aplicativo permite que os boletins de urna lidos possam ser compartilhados de forma individualizada por meio de vários aplicativos disponíveis no aparelho celular.
36- Qual foi a motivação para incluir uma porta USB na urna modelo 2020, a despeito que normalmente tal implementação reduz, em tese, a segurança da urna?
TSE informou que o software da urna eletrônica “tem total controle sobre as portas USB”. Segundo o tribunal, o programa valida cada dispositivo conectado. “Somente os dispositivos conhecidos (periféricos que já integram a urna e suas mídias) são aceitos nas portas USB. Se for identificado um dispositivo não conhecido, o sistema desliga a porta USB. O TSE esclareceu ainda que as teclas pressionadas no terminal do eleitor são cifradas. “Dessa forma, não há a possibilidade de captura de ruído ou de pacotes de dados críticos em portas USB”. O tribunal sustentou que a incorporação de portas USB é “uma oportunidade de evolução tecnológica da urna a um custo reduzido, ao mesmo tempo em que não fragiliza a segurança do sistema”.
37- Será realizada alguma auditoria externa nas novas urnas (modelo 2020), tendo em vista que as mesmas não estavam disponíveis durante o Teste Público de Segurança em 2021?
O TSE informou que audita a fabricação das urnas eletrônicas com servidores alocados diretamente na linha de produção. Esclareceu ainda que o software para a urna 2020 estará disponível em março de 2022 para teste.
38- Qual a previsão do quantitativo de urnas que serão utilizadas por Estado da federação, para as eleições de 2022, considerando também as de contingência?
TSE fez um quadro indicando número de urnas por Estado, segundo modelo de fabricação. No total, serão 577.125 urnas.
39- Quais controles da ISO/IEC 27001:2013( padrão de certificação cibernética) foram implementados para verificar o código desenvolvido por programadores terceirizados?
“Partindo-se da premissa de que a pergunta se refere aos controles de segurança referentes ao desenvolvimento de software, informamos que o tribunal não se baseia diretamente nesta norma, mas adota como base para seu processo de desenvolvimento seguro o padrão OWASP SAMM (Security Assurance Maturity Model). TSE informou ainda que, “em que pese o quadro de profissionais que participam do desenvolvimento dos sistemas eleitorais conter profissionais terceirizados, todas as etapas de construção dos softwares, desde a concepção até os testes, passando pelas especificações, projetos e implementações, são executadas utilizando os recursos, ferramentas e processos de engenharia de softwares do Tribunal Superior Eleitoral, bem como supervisionados, acompanhados e coordenados por servidores da corte”.
O ministro do STF Alexandre de Moraes; magistrado é um dos alvos do presidente Bolsonaro Foto: Werther Santana/Estadão
40- O Sistema de Gerenciamento da Totalização de votos permite auditar o momento em que cada Boletim de Urna é consolidado na totalização realizada pelo TSE?
O processo de totalização dos votos pode ser entendido em três etapas. Em cada uma das etapas, são registradas data e hora da ocorrência do evento, sendo possível, portanto, conhecer, auditar e reconstruir a sequência de recebimento e totalização do boletim de urna.
41- Como é realizada a gerência das chaves criptográficas?
42- Como a chave privada é gerada, armazenada e protegida?
43- Trata-se de uma solução somente de hardware, somente de software ou híbrida?
44- Como as chaves públicas são carregadas no sistema central de validação de votos?
TSE respondeu as quatro perguntas de forma unificada. A urna eletrônica e os sistemas correlatos, de preparação de dados e de transmissão e recepção de Boletins de Urna utilizam um sistema híbrido de chaves criptográficas. O tribunal informou ainda que desde o início do funcionamento da urna eletrônica a Agência Brasileira de Inteligência (Abin), órgão do governo, atuou na criptografia dos dados.
45- Quais os procedimentos de forense digital que a TI do TSE aplica de forma a garantir a integridade das evidências, de uma suposta intrusão aos sistemas proprietários do TSE?
Os procedimentos envolvem: identificação do incidentes; ‘custódia das evidências’, ou seja, o congelamento do ambiente e dos logs existentes; análise do incidente; elaboração de ‘Relatório de Comunicação de Incidente de Segurança’; restabelecimento dos serviços após ajustes das falhas; envio de relatório à alta gestão; e notificação à Polícia Federal e ao Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo.
46- Quais são as rotinas de verificação da existência de programa indesejado em execução no sistema operacional da urna eletrônica?
A urna só coloca em execução software assinado digitalmente. Há dois mecanismos de validação de assinatura digital: um executado pelo kernel (desenvolvido pela equipe técnica do TSE) e outro em espaço de usuário (mecanismo de verificação complementar ao TSE). A Corte relembra que durante a Cerimônia de Lacração das urnas são geradas assinaturas digitais pela biblioteca fornecida pelo Cepesc/Abin para todos os arquivos de sistema incluídos nos dispositivos.
47- Existe algum processo de registro?
Todas as validações feitas pelo kernel (núcleo do sistema operacional) são registradas no mecanismo padrão de log do sistema. O arquivo desse sistema fica disponível nas mídias interna e externa da urna. As validações desse processo são feitas por sistemas de verificação chamados de SAVD e Uenux. A Corte relembra que a partir das Eleições de 2022 o log geral do sistema Uenux será publicado na internet.
48- Como são sincronizados os relógios das urnas eletrônicas?
Resposta: O relógio da urna eletrônica é ajustado pelo operador durante o processo de carga, com o auxílio de um aplicativo. Além disso, também é possível utilizar o aplicativo Ajuste de Data-Hora – ADH para ajuste do relógio após a carga da urna. Em todos os casos, deve ser informada a hora local.
49- A data influencia a execução do sistema VOTA e dos testes de integridade ou somente é necessário a hora?
O Software de Votação – Vota utiliza a data/hora para efetuar controles relativos ao processo de votação. O software pode ser executado independente da data, mas a operação de determinadas funcionalidades está condicionada ao relógio da urna. O Vota controla a emissão da zerésima, o início da votação, o encerramento da votação; bloqueio da habilitação dos eleitores, cada um com uma hora definida para ser executado.
50- Que órgão interno ou contratado realiza a auditoria dos códigos dos sistemas utilizados no processo eleitoral?
O TSE é obrigado a apresentar aos representantes dos partidos políticos e das coligações os programas-fonte e programas executáveis. Além disso, são consideradas entidades fiscalizadoras das eleições: partidos políticos, federações e coligações; Ordem dos Advogados do Brasil; Ministério Público; Congresso Nacional; Supremo Tribunal Federal; Controladoria-Geral da União; Polícia Federal; Sociedade Brasileira de Computação; Conselho Federal de Engenharia e Agronomia; Conselho Nacional de Justiça; Conselho Nacional do Ministério Público; Tribunal de Contas da União; Forças Armadas; Confederação Nacional da Indústria, demais integrantes do Sistema Indústria e entidades corporativas pertencentes ao Sistema S; entidades privadas brasileiras, sem fins lucrativos, com notória atuação em fiscalização e transparência da gestão pública, credenciadas junto ao TSE; e departamentos de tecnologia da informação de universidades credenciadas junto ao TSE.
51- Quantas e quais foram as auditorias externas realizadas desde 2009?
A Corte não respondeu objetivamente, mas listou a auditoria realizada pelo PSDB, em 2014, após derrota de Aécio Neves para a ex-presidente Dilma Roussef nas eleições daquele ano. Também foram mencionadas visitas realizadas por partidos, como o PL do presidente Jair Bolsonaro, e instituições públicas como a Procuradoria-Geral da República e a Controladoria-Geral da União entre 2020 e 2022.
52- Quais serão os controles e/ou formas de acompanhamento de que os códigos-fonte fornecidos, auditados e eventualmente corrigidos, serão os códigos utilizados durante as eleições de 2022?
Os participantes da Cerimônia de Assinatura Digital e Lacração dos sistemas eleitorais poderão assinar digitalmente os sistemas e receber impressos os resumos digitais para fins de verificação de autenticidade dos sistemas. Posteriormente, durante as diversas cerimônias, poderão verificar a integridade dos sistemas por meio da comparação desses resumos digitais. Todas as entidades fiscalizadoras poderão checar a autenticidade mediante utilização de sistema fornecido pelo TSE ou de sistema próprio. A verificação por amostragem é realizada em 3% das urnas escolhidas por representantes de entidades fiscalizadoras. Também é realizado no dia da eleição o Teste de Autenticidade dos Sistemas Eleitorais, quando são verificados os resumos digitais e as assinaturas nas urnas de 21 seções eleitorais no País.
53- Quais são os mecanismos que garantem a relação entre os códigos-fonte e binários que são assinados durante a cerimônia de assinatura digital e lacração dos sistemas eleitorais?
O principal mecanismo é a própria cerimônia pública de Assinatura Digital a Lacração dos Sistemas Eleitorais, na qual os códigos-fontes são compilados diante dos representantes das entidades fiscalizadoras. Os resumos gerados nessa cerimônia são publicados na internet para permitir a auditabilidade. Além disso, todos os códigos-fontes e respectivos binários são lacrados em mídia não regravável (DVD), que é preservada em cofre dentro de sala-cofre nas dependências no Tribunal Superior Eleitoral, para verificação das entidades fiscalizadoras a qualquer tempo.
54- Os códigos-fonte relacionados com os binários assinados podem ser auditados após a cerimônia de assinatura digital e lacração dos sistemas eleitorais?
Em que pese não haver em resolução uma cerimônia específica para auditar código-fonte após a sua assinatura e lacração, o TSE, mediante requerimento, pode autorizar essa auditoria. Inclusive, após as Eleições 2014, o PSDB, em 2015, auditou os códigos-fonte e binários utilizados naquelas eleições majoritárias.
55- Quais são os procedimentos de verificação e geração de alertas para tentativas de inserção de códigos, legítimas ou não, durante todo o processo do processo do sistema eleitoral?
Todas as ações de alteração de código são registradas, possibilitando, a qualquer momento, identificar o responsável por uma alteração ou inserção de algum item no código-fonte dos produtos de software. Além disso, são realizados uma série de testes que podem ser verificados pelas entidades fiscalizadoras
56- Qual o mecanismo de lacre utilizado para que não haja violação da urna eletrônica?
Os lacres utilizados nas urnas eletrônicas são confeccionados pela Casa da Moeda do Brasil (CMB), a partir de um substrato amarelo, revestido de adesivo tipo acrílico, de alta adesão com sistema de evidência de violação que identifique a tentativa de remoção do lacre, sem deixar resíduos na superfície em que for aplicado. Ao ser retirado, é evidenciado o texto “TSE TSE TSE…”. Cabe ressaltar que a principal função do lacre é se apresentar como uma primeira camada de segurança, para auxiliar na análise forense posterior associando aos procedimentos e cerimônia de preparação das urnas.
57- Quando do recebimento de urna com lacre violado, quais são os procedimentos adotados no caso dela conter votos e no caso dela não conter?
Resposta: Caso haja a violação de lacre antes da eleição, essa urna deve ser investigada, ocorrendo uma nova carga e lacração desse equipamento. Agora, caso a violação ocorra após a eleição, igualmente recomenda-se a abertura de uma investigação, cabendo ao juiz eleitoral decidir se os votos serão válidos ou não.
58- Por que houve a mudança de procedimento quanto a totalização dos votos, enviando diretamente ao TSE?
A Polícia Federal recomendou a totalização no TSE durante o Teste Público de Segurança. A partir do relatório dos peritos da Polícia Federal corroborando os benefícios da medida, o TSE implantou a centralização da totalização dos resultados a partir das Eleições 2020
59- Qual é a percentagem de sucesso no reconhecimento de eleitores pela biometria?
O TSE informou que os dados mais recentes de identificação biométrica do eleitor são das eleições de 2018, pois em 2020 essa técnica não foi utilizada em decorrência da pandemia de covid-19. Os resultados recentes indicam:
Percentual de eleitores de municípios biométricos reconhecidos na urna no primeiro turno: 88,59%;
Percentual de eleitores de municípios biométricos não reconhecidos na urna no primeiro turno: 11,41%;
Percentual de eleitores de municípios biométricos reconhecidos na urna no segundo turno: 88,72%;
Percentual de eleitores de municípios biométricos não reconhecidos na urna no segundo turno: 11,28%.
60- Dado que o eleitor possui biometria cadastrada, qual a percentagem de verdadeiro positivo, verdadeiro negativo, falso positivo e falso negativo da detecção?
O TSE disse às Forças Armadas ser necessário esclarecer que o processo de habilitação do eleitor por meio da biometria na urna apenas ratifica a verificação da identidade do eleitor. A Corte detalha: havendo coincidência da biometria do eleitor com a cadastrada na urna, a habilitação estará completa; não havendo coincidência, o eleitor pode repetir o procedimento por até quatro vezes. Após as quatro tentativas, o mesário deve indagar ao eleitor o seu ano de nascimento e digitá-lo no terminal. Caso o ano de nascimento esteja correto, o eleitor poderá votar e o mesário deve coletar sua própria biometria na urna para fins de registro. Segundo o TSE, “para que houvesse um falso positivo, seria necessário que um eleitor mal-intencionado apresentasse uma documentação falsa, que esta não fosse percebida pelo mesário e que a biometria do falso eleitor fosse erroneamente identificada com sucesso”.
61- Dentre as soluções de VPN disponíveis (de mercado, customizada, código aberto, gratuita, paga) qual a adotada para a transmissão dos dados das seções eleitorais para o sistema central de consolidação dos votos, localizado no TSE?
A rede entre o TSE e os TREs denomina-se backbone principal. É contratada junto a operadoras de telecomunicações. A rede entre os TREs e os Cartórios Eleitorais é denominada backbone secundário, também provido por operadoras de telecomunicações. As tecnologias de VPN são utilizadas quando é necessário estabelecer comunicação por meio de links de internet.
62- Como garantir que eleitores que apresentaram justificativa eleitoral em razão de impedimento para comparecer no dia da votação, não constem como votado numa determinada eleição?
A urna eletrônica é desconectada de qualquer tipo de rede de dados, portanto não é possível conhecer no momento da votação se o eleitor já apresentou justificativa em outro município. Ao final da votação, a urna gera, dentre outros, arquivo contendo a informação dos eleitores que compareceram e daqueles que faltaram. Ao processar esse arquivo, o cadastro eleitoral verifica se houve eleitor que compareceu e justificou na mesma eleição.Diante desse cenário, a situação de comparecimento se sobrepõe à situação de justificativa, resultando em análise ou investigação. Quanto ao voto, é computado normalmente.
63- Há visualização de solução por parte do TSE para superar a possibilidade de perda de voto por falha de mídia eletrônica?
Na impossibilidade de acesso aos resultados eletrônicos é possível proceder com a totalização do boletim de urna impresso. Para isso, é preciso utilizar o Sistema de Apuração – SA para que seja feita a digitação do boletim numa nova urna e, dessa forma, seja reproduzido o resultado em formato eletrônico para a totalização.
64- Caso uma eleição seja decidida por um número de votos menor do que o total que foi desconsiderado por falha na mídia eletrônica, como será resolvida uma possível incoerência que pode advir da desconsideração, total ou parcial, de votos?
Na remota hipótese de impossibilidade de recuperação dos votos de uma urna eletrônica, cabe ao juiz eleitoral da respectiva zona eleitoral determinar a anulação integral da seção eleitoral. Num cenário em que os votos perdidos (anulados) façam diferença para a determinação do resultado serão realizados os procedimentos previstos nos artigos 147 e 201 do Código Eleitoral.
65- Que tipo de equipamento (computador, estação de trabalho) é utilizado para a transmissão dos dados das seções eleitorais para o sistema central de consolidação de votos localizado no TSE?
A transmissão dos arquivos de urna é realizada por sistemas próprios da Justiça Eleitoral. Os sistemas de transmissão, por sua vez, podem ser executados em dois ambientes: em estação de trabalho da Justiça Eleitoral; ou a partir de máquinas virtuais.
Bolsonaro durante ato pró-governo no 7 de Setembro de 2021; manifestação foi marcada por críticas do Judiciário Foto: Antonio Molina/Fotoarena (7/9/21)
66- Existe algum padrão ou norma de segurança para definir esse equipamento?
Para as eleições de 2020, as características mínimas dos microcomputadores a serem adotados para a execução dos sistemas eleitorais foram levadas a conhecimento dos TRE. Por meio de um ofícios, tribunais regionais estabeleceu a obrigatoriedade de microcomputador com SIS, Windows 10 e incluiu a exigência de Chip TPM nos microcomputadores.
67- Caso um equipamento (computador, estação de trabalho), utilizado para a transmissão dos votos de uma seção eleitoral, esteja comprometido, quais são os procedimentos adotados?
Havendo falha do equipamento ou eventual suspeita de seu comprometimento, o envelope lacrado contendo a mídia de resultado da seção eleitoral é conduzido a outro ponto de transmissão ao tempo em que o equipamento é isolado para análise posterior.
68- Como ocorre o procedimento de descarte das urnas eletrônicas consideradas ultrapassadas?
As urnas consideradas inservíveis (que ultrapassaram sua vida útil média de dez anos ou seis eleições) são alienadas a partir de um procedimento licitatório de maior preço por peso de material. São alienadas as urnas e os materiais correlatos (baterias, suprimentos etc.). O processo de alienação consiste em: desmontagem e separação dos materiais, descaracterização (principal processo, pois garante que nenhuma placa eletrônica possa ser reaproveitada) das partes exclusivas da urna, encaminhamento para reciclagem ou aterro sanitário adequado.
69- O TRNG é um chip de mercado ou de desenvolvimento customizado encomendado pelo TSE especialmente para as Urnas Eletrônicas?
A arquitetura de segurança da urna eletrônica possui dispositivos seguros com funções criptográficas que se auxiliam de geradores de números aleatórios.
70- Como é constituído o sistema de monitoramento de infraestrutura de rede que apoia o sistema eleitoral?
O monitoramento de infraestrutura é realizado por unidade formalmente constituída no organograma do TSE, a Seção de Monitoramento da Produção (SEMOP). A SEMOP possui um Núcleo de Processamento de Informações que funciona 24 horas, gerando alertas e chamados em atenção a incidentes e sobrecarga nas aplicações
71- Como tais atualizações são incorporadas no UENUX (software da urna eletrônica)?
O Uenux é uma distribuição Linux criada pela equipe técnica do TSE. Dessa forma, a atualização dos seus componentes de software não está condicionada à integração feita por terceiros. A equipe técnica do TSE tem absoluto controle sobre a integração de atualizações de segurança aos componentes do Uenux. A equipe adota sistemática de atualização frequente e monitora a evolução do software de terceiro integrado ao Uenux.
72- Existe algum registro que mostre o tempo levado para que uma atualização na distribuição Linux seja incorporada no UENUX?
O Uenux possui um ciclo de 2 anos para entrada em produção, o que ocorre a cada Cerimônia de Lacração.
73- Quais são os mecanismos de controle utilizados para prevenir que um ataque de negação de serviço possa interferir na transmissão dos dados de votação para o sistema totalizador do TSE?
A transmissão dos dados de votação não utiliza os enlaces de comunicação do TSE com a internet. Tais dados chegam ao TSE por meio de dois caminhos: a) Por meio dos backbones da Justiça eleitoral (vide resposta à pergunta 34), constituindo-se de conjunto de enlaces dedicados que interligam os Cartórios Eleitorais ao TSE; b) Por meio de VPN.
74- Já foram realizados testes para avaliar os controles configurados e em consequência estabelecer o nível de confiabilidade?
Os ataques em direção à Justiça Eleitoral não são raros, tendo ocorrido inclusive no 1º Turno das Eleições Municipais de 2020. Durante um ataque, as equipes técnicas das operadoras interagem com equipes do TSE para efetivação dos bloqueios e restabelecimento de serviços. Trata-se de prática bastante operacionalizada e, portanto, testada de modo a aferir sua efetividade
75- No processo de licitação das urnas, como é exigido dos fornecedores uma comprovação/certificação de que eles seguem as melhores práticas de segurança e de conformidade bem como aplicam as mesmas exigências para as respectivas cadeias de produção?
A seleção de fornecedor feita pela licitação de urnas eletrônicas se baseia principalmente na apresentação de um protótipo de urna, denominado Modelo de Engenharia, que deve ser submetido a dezenas de testes para aferir a capacidade da empresa em desenvolver uma urna, tanto do ponto de vista de projeto eletrônico (eficiência energética, estabilidade etc), quanto do ponto de vista de segurança, pois o protótipo deve atender com sucesso a vários testes que consistem em desafios criptográficos. A arquitetura de segurança da urna eletrônica, combinada com as exigências de cadeia de produção e demais avaliações feitas pelo TSE, garantem que haja segurança nas urnas produzidas independentemente do fornecedor e da contratada
76- Considerando a efetividade das discussões presenciais, no âmbito da Comissão de Transparência Eleitoral, sugere-se que possam ser submetidas novas propostas adicionais ao Plano de Ação, mesmo após a data estabelecida de 17 de dezembro de 2021
Considerando os prazos estabelecidos no calendário eleitoral, é necessário uma versão final do Plano de Ação, com a maior brevidade possível, para aprovação e divulgação. Além disso, o planejamento em curso impõe a observância de um cronograma de execução das medidas estabelecidas, que importarão em uma maior transparência de todo o processo eleitoral, visando as eleições que se aproximam. Não obstante, eventuais sugestões apresentadas posteriormente poderão ser analisadas caso a caso, em apartado.
77- Observa-se que o processo eleitoral apresenta inúmeras possibilidades de auditoria. Numa iniciativa inédita desse Tribunal, o código-fonte para o pleito de 2022 foi aberto ainda em 2021. Com o intuito de ampliar a transparência das eleições e facilitar o entendimento do cidadão comum, propõe-se destacar na minuta do Plano de Ação que o código inspecionado em 2021 poderá sofrer alterações até a Cerimônia de Lacração e Assinatura Digital dos Sistemas Eleitorais.
Com razão o participante, a observação será incluída na minuta do Plano de Ação.
78- Para aumentar a efetividade do Teste Público de Segurança em futuras oportunidades, sugere-se diminuir as restrições impostas aos investigadores e aumentar a abrangência do escopo do referido teste.
Como é de conhecimento, o Teste Público de Segurança do ciclo eleitoral 2021/2022 ocorreu no mês de novembro do ano passado, e o presente plano de ação visa a fixação de medidas tendentes a qualificar o processo eleitoral de 2022. Logo, a sugestão receberá tratamento da equipe técnica do TSE e será rediscutida no próximo ciclo eleitoral.
79- Considerando que o nível de asseguração e as condições do teste de integridade são fatores que contribuem para o aumento do nível de confiança da população no processo eleitoral, favorecendo a ampliação da transparência, propõe-se adequar a quantidade de urnas e a forma de seleção das amostras especificadas, de maneira que se atinja um nível de confiança de, no mínimo, 95%.
As sugestões receberão tratamento da equipe técnica do TSE.
80- Considerando que um dos objetivos da Comissão de Transparência Eleitoral é ampliar a transparência das eleições e que o aumento da confiança da população seria uma consequência natural do envolvimento dos cidadãos e das organizações na auditagem do processo eleitoral, propõe-se que o aplicativo “Boletim na Mão” seja aperfeiçoado, no sentido de incluir funcionalidades que permitam, entre outros aspectos, o armazenamento de vários BU e a totalização em tempo real, a partir do somatório do QR-CODE dos referidos boletins. Poderia, ainda, ser considerada a possibilidade do envio dos dados para um servidor específico, permitindo a auditagem da totalização de mais de uma zona eleitoral, com a legitimidade conferida pelo TSE.
Atualmente, o aplicativo Boletim na Mão já permite o armazenamento de vários boletins de urna. Entretanto, a evolução constante da ferramenta é medida que se impõe e vem sendo tratada pela equipe técnica do TSE. Outros aplicativos podem ser desenvolvidos para a leitura do código de barras bidimensional (Código QR), o que deve ser estimulado entre as entidades fiscalizadoras e os órgãos de imprensa. Esses aplicativos também poderiam ser utilizados para totalizações paralelas por parte dos partidos políticos ou de outros interessados.
81- Considerando o voto como um direito e um dever inarredáveis de cada cidadão, sugere-se a adoção de medidas que permitam a validação e a contagem de cada voto sufragado, mesmo que, por qualquer motivo, as respectivas mídias ou urnas eletrônicas sejam descartadas. Destaca-se que, a despeito do esforço em se prever ações em face da observância de falhas durante o pleito eleitoral, até o presente momento, salvo melhor juízo, não foi possível visualizar medidas a serem tomadas em caso da constatação de irregularidades nas eleições. Nesse diapasão, propõe-se a previsão e divulgação antecipada de consequências para o processo eleitoral, caso seja identificada alguma irregularidade.
Agradecemos pelas sugestões e informamos que continuaremos a dedicar nosso trabalho e nossa preocupação, além de todos os esforços colaborativos, na busca por melhores soluções para o sistema de votação e os respectivos processos de fiscalização e auditoria. A Corte também elencou dezenas de artigos da Legislação Eleitoral que garantem a integridade do processo eleitoral e a contagem de cada voto depositado nas urnas.
Respostas ao 5º ofício:
82- Nível de confiança dos testes das urnas: Os militares pediram que fosse ampliado o número de urnas submetidas a testes durante a eleição. Alegaram que o nível de confiança médio seria baixo e a possibilidade de realizar mais testes de confiança em seções eleitorais sorteadas deveria ser estudada.
A Corte apontou “erro de premissa” conceitual das Forças Armadas. A equipe técnica explicou que, historicamente, falhas nos equipamentos são irrisórias e que o risco está na casa de 0,01%. Apontou ainda que os militares incluíram na conta até mesmo as urnas que estão no estoque e que apenas ficam de prontidão para uso em caso de falha em algum equipamento. Serão usadas este ano urnas em 465.504 seções eleitorais e passarão por teste 648 urnas.
83- Critério de seleção das urnas que serão submetidas a testagem: Esse processo deveria ser aleatório, e não ser atribuído às entidades fiscalizadoras, como acontece hoje.
Tornar o processo aleatório não é uma medida impossível, mas só poderia ser adotada em eleições futuras. O TSE explicou que o modelo hoje prevê que as entidades fiscalizadoras, incluindo os partidos políticos, já podem indicar de maneira aleatória as urnas que deverão ser testadas. A Corte entende ainda que é preciso debate com as entidades fiscalizadoras, que hoje têm o direito de escolher as urnas testadas, para uma mudança nessa linha.
84- A “sala escura” e quem deve totalizar os votos da eleição: A totalização dos votos nas eleições deve se manter no TSE, mas também ser feita nos tribunais estaduais, os TREs. A redundância do processo, defendem as Forças Armadas, aumentaria a auditabilidade das eleições, alegando que isso iria “diminuir a percepção da sociedade de que somente o TSE controla todo o processo eleitoral”.
Os TREs hoje já comandam as totalizações em suas respectivas unidades da federação. A centralização no TSE é apenas de equipamentos – uma orientação, inclusive, da Polícia Federal para minimizar risco de ataques hackers. A equipe técnica da Corte destacou ainda que não há “sala escura” para apurar votos. E informou que, este ano, adota uma inovação com equipamentos em Brasília que estão prontos a atuar em caso de falhas dos que estiverem operando na apuração.
85- Fiscalização e auditoria das urnas: O TSE deve incentivar a fiscalização do processo eleitoral pelas entidades, incluindo uma auditoria própria do Poder Legislativo.
O incentivo à fiscalização já integra a legislação brasileira. A Corte explicou que o Tribunal de Contas da União (TCU) já atua na fiscalização do processo como órgão assessor do Congresso. E que os partidos também podem atuar. “Por tais razões e tendo em conta, sobretudo, a rigorosa auditoria realizada pelo TCU sobre o processo eleitoral, considera-se que a sugestão já se encontra hoje incorporada aos procedimentos do TSE”, diz a Corte, que vê a questão como caso já resolvido.
86- Inclusão das urnas eletrônicas do modelo do ano de 2020 nos testes de segurança: É preciso realizar um teste público de segurança nesses modelos antes da utilização deles nas eleições.
O modelo 2020 já teve o núcleo de segurança avaliado por instituição certificada pelo INMETRO, conforme rígidas regras impostas pelo Instituto Nacional de Tecnologia da Informação – ITI, e tem arquitetura de segurança compatível com o modelo de 2015.
87- Procedimentos em caso de verificação de irregularidade em um teste de segurança: Os procedimentos que seriam adotados em caso de irregularidades em testes de segurança precisam ser melhor divulgados.
Hoje, cabe ao juiz eleitoral adotar as providências e investigações necessárias para esclarecer eventual irregularidade verificada.
88- Sobre a divulgação de abstenção e voto: Seria preciso divulgar o comparecimento e a abstenção em cada seção eleitoral
Esses relatórios contêm dados pessoais que são de acesso restrito.
Estadão Conteúdo
