Opinião: Cadernos eleitorais desmaterializados e os riscos cibernéticos das eleições
💥️Por Rui Martins (*)
Como anunciado pelo anterior Ministro da Administração Interna de Portugal, José Luís Carneiro, nas eleições de 9 de junho, os eleitores poderão votar em qualquer uma das 13.500 mesas de voto disponíveis em todo o país, graças à introdução de cadernos eleitorais desmaterializados. Esta medida, que faz parte de um conjunto louvável de iniciativas para reduzir a abstenção, elimina a necessidade de inscrição prévia e permite a votação em mobilidade, tanto no território nacional quanto no estrangeiro. Este processo envolveu um investimento global de 48 milhões de euros e a aquisição de mais de 29 mil computadores portáteis (dois por secção de voto).
Como é evidente, as eleições europeias, assim como outros eventos políticos significativos, estão sujeitas a riscos cibernéticos, e há preocupações particulares em relação às actividades do regime de Putin. Estes riscos são múltiplos e podem interferir de várias formas na realização e nos resultados eleitorais:
1. Campanhas de desinformação que têm o objectivo de polarizar o debate político e semear a desconfiança nas instituições europeias dando, simultaneamente, força aqueles partidos que no Parlamento Europeu melhor representam os interesses da Federação Russa.
2. Ataques de phishing que procuram furtar credenciais de acesso ou instalar malware nos computadores visados. Neste contexto, podem ser dirigidos aos partidos políticos, candidatos ou mesmo órgãos eleitorais, com o objectivo de roubar informações sensíveis ou manipular resultados. No caso concreto da desmaterialização dos cadernos eleitorais portugueses para as Eleições Europeias de 2024 pode ser atacada a Rede Nacional de Segurança Interna ou os Call Centers que funcionam como backup à rede (p.ex. com chamadas automáticas para saturar as linhas). Pelo contrário, é muito improvável que seja viável comprometer as credenciais dos escrutinadores nos 29 mil computadores que estarão nas mesas de voto com credenciais que serão entregues no próprio dia.
3. Operações de hacking de sistemas de comunicação ou bases de dados, seguido pela divulgação selectiva de informações privadas ou sensíveis, muitas vezes fora de contexto, para influenciar a opinião pública ou descredibilizar as eleições são muito improváveis mas de elevado retorno sobretudo se for conseguido um acesso de escrita em que, nesse caso, poderão ser invalidados grandes quantidades de votos ou até a sua totalidade destruindo, na prática, o acto eleitoral e levando à repetição das eleições com o consequente descrédito em todo o sistema.
A escolha das Eleições Europeias foi adequada tendo em conta que são eleições de círculo eleitoral único, que são eleições com - tradicionalmente - se registam elevados níveis de abstenção (69% em 2023) e que se tratam de eleições de boletim único (ao contrário das Autárquicas com os seus três boletins). Adequada foi também a realização de um ensaio geral no fim-de-semana anterior às eleições. Talvez, contudo, fosse mais avisado ter realizado antes esse teste e realizar um último ensaio geral na véspera (sábado 8) das eleições para comprovar que os ajustes de suporte a carga feitos nos últimos testes cumpriram de facto o seu objectivo.
No passado sábado, 1 de junho foi, com efeito, realizado um ensaio geral aos "Cadernos Eleitorais Desmaterializados" (CED). A este respeito surgem várias questões:
1. Qual será o destino dos laptops (Tsunami da J. P. Sá Couto) uma vez findo o acto eleitoral? Ficarão à guarda de quem e como se garante que – se forem usados nas próximas eleições – não lhes será introduzido software malicioso?
2. Os laptops correm Windows 11 em modo kiosk num firmware UEFI fechado por password. Teria sido desejável ter optado por um sistema de código aberto (Linux) assim como por um software em código aberto que pudesse ter sido previamente auditado e escrutinado pela comunidade. O mesmo para com as comunicações não sendo claro, por exemplo, se está ou não a ser utilizada uma VPN (rede privada virtual) que liga estes equipamentos às máquinas onde estão as bases de dados, nem se estas são redundantes e suportam ataques de negação de serviço intencionais ou acidentais (excesso de carga).
3. Não é nítido se o Técnico de Apoio Informático conseguirá ser eficaz no suporte que lhe vão pedir para prestar já que não acesso de administração aos equipamentos, nem consegue um maior nível de acesso local do que os escrutinadores.
4. As autenticações dos escrutinadores não parecem usar nenhum sistema de autenticação por múltiplo factor (SMS ou aplicação Authenticator) o que colide com as mais recentes e melhores práticas da indústria.
5. O plano de contingência da responsabilidade da administração eleitoral da SGMAI deve garantir "a continuidade da votação em caso de indisponibilidade pontual do sistema ou dificuldade de acesso por parte das mesas de voto, através de acesso telefónico a um sistema de atendimento automático com o nível de segurança e de funcionalidades equivalentes ao dos cadernos eleitorais desmaterializados, garantindo a gravação da chamada e a identificação do membro da mesa com recurso ao código de credenciação respetivo", mas, no ensaio geral de 1 de junho, não foi capaz de suportar a carga de chamadas e esteve indisponível durante praticamente todo o dia. Numa semana houve tempo para aumentar as linhas e os operadores: mas será que isso foi feito?
Em suma:
Primeiramente, a escolha do sistema operativo, o Microsoft Windows, é criticável pela sua vulnerabilidade a exploits e ameaças cibernéticas. Além disso, a falta de autenticação em múltiplos fatores e a simplicidade das credenciais dos membros da mesa representam sérias falhas de segurança. A ausência de políticas de logout automático por inactividade e o acesso restrito ao Task Manager são passos na direcção certa, porém insuficientes.
A dependência exclusiva de dados móveis para conectividade à internet pode ser vista como uma medida positiva em termos de disponibilidade, mas levanta preocupações sobre possíveis ataques man-in-the-middle ou violações de dados. Além disso, a falta de redundância nos sistemas de suporte, como os contact centers, e a indisponibilidade dos cadernos eleitorais em papel (como "plano C") pode revelar-se uma falha grave se os sistemas estiverem em carga e se o call center ("plano B") não for, também, capaz de responder em caso de falha do sistema e rede ("plano A").
A transparência e simplicidade da plataforma eleitoral são elogiáveis, mas sem garantias de segurança robustas e procedimentos adequados para auditoria e verificação, a confiança no resultado das eleições fica em risco. A lentidão e instabilidade observadas durante os testes de carga são indicativos de potenciais problemas durante as eleições reais, especialmente considerando a falta de um plano de contingência mais abrangente para lidar com falhas de sistema.
É imperativo que as autoridades eleitorais e, em particular, a CNE, abordem estas preocupações de forma urgente, implementando medidas adicionais de segurança, como autenticação em múltiplos fatores, políticas de segurança mais rigorosas e planos de contingência abrangentes para garantir a integridade do processo eleitoral. Isto, contudo, já não deve ser possível antes deste domingo. A transparência e confiabilidade das eleições são fundamentais para a preservação da democracia e a legitimidade das eleições e espero que estas sugestões e observações sejam endereçadas antes das próximas eleições (as Autárquicas de setembro/outubro de 2025). Para domingo resta esperar que o reforço da carga que o sistema eleitoral e os call centers seja suficiente para evitar constrangimentos e bloqueios no acto eleitoral.
💥️O que pode correr mal dia 9 de junho?
1. Um ou vários dos componentes do sistema podem falhar:
a. Rede da RNSI (carga)
b. Base de dados (carga)
c. Aplicação da Critical Software (improvável)
c. APN (VPN?)
d. Hardware (os laptops Tsunami da J.P. Sá Couto): como e se podem ser substituídos em caso de avaria (há stock? no dia 1 de junho não havia)
e. Os leitores de cartões dos laptops (houve falhas mas que um restart resolveu sempre)
2. Se não for possível validar e registar votos o eleitor não consegue votar.
Embora o sistema não seja de “voto electrónico” os CED devem impedir que
a. Um eleitor vote mais do que uma vez
b. Eleitores não registados votem
Sem o acesso aos CED podemos estar na prática perante um bloqueio efectivo das eleições que pode levar à sua repetição a partir de uma determinada taxa de erro ou de impedimento do voto.
3. Os dois contact center (um para os escrutinadores e outro para os técnicos de suporte) não respondem à carga e não funcionarão como contingência aos CED.
4. Além dos Contact Center (“Plano B”) não há um “Plano C”.
5. Se não foi feita a leitura do CC (p.ex. quando dá erro ou quando o eleitor ainda tem apenas BI) a procura na base de dados depende da rede e em alguns casos demora alguns minutos. Idem para o segundo computador que, após o voto, pode demorar até 5 ou 6 minutos até mostrar o voto no 1º (problemas de carga e de rede local). Isto pode criar filas nas secções de voto e estas (ver COVID-19) podem levar a desistências por parte de alguns eleitores.
💥️Se algo correr mal, o que pode o eleitor fazer?
1. Dirija-se à mesa de voto ao lado e torne a tentar.
2. Se esta também não conseguir aceder mude de localidade/cidade.
3. Se nesta também não conseguir, procure votar numa grande cidade, num bairro onde existam várias grandes empresas (para garantir uma maior cobertura da rede móvel usada pelos laptops dos escrutinadores).
💥️(*) do CpC: Cidadãos pela Cibersegurança
O que você está lendo é [Opinião: Cadernos eleitorais desmaterializados e os riscos cibernéticos das eleições].Se você quiser saber mais detalhes, leia outros artigos deste site.
Wonderful comments