Com a aproximação do ano eleitoral no Brasil, iniciam-se as especulações sobre um dos principais temas relacionados à segurança digital: a veracidade dos resultados de urnas eletrônicas utilizadas nas votações do nosso país.
As eleições presidenciais ocorrerão no 2° semestre de 2022 e, ao meu ver, a tendência é de que discussões sobre o assunto adquiram bastante volume nas redes sociais. Por mais que o voto eletrônico seja uma realidade no Brasil há 25 anos, podemos nos deparar com candidatos e eleitores que colocam a segurança e a credibilidade desse método em xeque.
E o que pode ser feito para tentar restabelecer a confiança das pessoas no sistema eleitoral eletrônico?
O 1° passo ocorreu na última semana de novembro deste ano, quando o Tribunal Superior Eleitoral (TSE) abriu a 6ª fase de testes de segurança das urnas eletrônicas. O processo envolveu 26 investigadores, conhecidos como "hackers do bem", que vão colocar em prática 29 planos e simulações de ataque aos equipamentos para tentar encontrar possíveis fragilidades.
Estar 100% protegidos de ataques é um desafio quase impossível de cumprir com o avanço da tecnologia e das técnicas de crimes virtuais, porém é indispensável tentarmos estar o mais próximo do ideal. Para atingir esse objetivo, o TSE disponibilizou os códigos-fonte das urnas e do sistema eletrônico de votação aos investigadores parceiros para que, assim, eles pudessem examiná-los e planejar estratégias para tentar quebrar possíveis barreiras de segurança das urnas — o que torna o processo ainda mais seguro e pode ajudar a evitar golpes reais.
Outro fator importante para a fase de testes foi o "desmanche" da urna eletrônica, para que os "hackers do bem" compreendessem toda a arquitetura, interface e tecnologia desses dispositivos — além dos componentes de hardware e software que eles têm.
Mediante os ataques recentes a sistemas de órgãos governamentais, Ministério da Saúde e Tribunal de Justiça do Rio Grande do Sul, por exemplo, é essencial que o TSE realize esse tipo de simulação para garantir a segurança das eleições presidenciais de 2022. Afinal, o que não faltam são estudos apontando que os ataques, especialmente os de ransomware, continuarão a ser uma tendência nos próximos anos.
Um ponto destacado pelo ministro do TSE, Luís Roberto Barroso, é de que a urna eletrônica não tem conexão com qualquer rede. Isso é fundamental, do ponto de vista da segurança cibernética, para inviabilizar ataques externos. Além disso, depois que os códigos-fonte foram inspecionados pelos investigadores, todo o conteúdo foi lacrado e trancado em uma sala-cofre do TSE — afinal, não se pode brincar com a sorte.
Porém, o foco quanto ao controle e auditoria desse processo não deve ser somente nas urnas em si, mas também nos bancos de dados nas quais essas informações são armazenadas e como, posteriormente, os resultados são divulgados. Um processo rigoroso de segurança e auditoria nessa parte do sistema eleitoral deve ser sempre realizado, pois, pensando como um hacker, esse “coração” do sistema é o ponto mais interessante a ser atingido.
Na Sophos, empresa que lidero no Brasil, desenvolvemos diversos estudos e relatórios ao longo dos anos que monitoram as ações de cibercriminosos nos mais variados âmbitos. De acordo com a 2ª parte do relatório The State of Ransomware 2021, intitulado The IT Security Team: 2021 and Beyond, divulgado em junho deste ano, o Brasil foi o 3° país no mundo a observar a maior taxa de aumento no número de ataques cibernéticos em 2020, com 78% de crescimento.
Além disso, o valor médio que as empresas do Brasil pagam aos cibercriminosos para a recuperação de seus dados após um ataque de ransomware é de 570 mil dólares (em média 2 milhões e 800 mil reais). Porém, o custo total causado pelo impacto do ransomware é ainda maior: cerca de 800 mil dólares (em torno de 4 milhões de reais), considerando, por exemplo, o tempo que o usuário ficou com o ambiente indisponível, restauração de backup, contratação de agentes para remediação, entre outros.
Devemos nos preocupar cada vez mais com a segurança cibernética das empresas e de nossos dispositivos pessoais, por isso, quando falamos de órgãos governamentais e de sistemas que podem comprometer a segurança de um momento tão importante e decisivo, como uma eleição, o cuidado não pode ser diferente. Afinal, um ataque direcionado a uma urna que eventualmente pode ser vulnerável pode colocar em risco todo o futuro do país, além de ferir gravemente os princípios éticos da democracia.
***
André Carneiro, colunista do TecMundo, tem cerca de 20 anos de experiência na indústria de segurança. Na Sophos, atuou como executivo de contas de canal e engenheiro de vendas. Desde setembro de 2019, é country manager da marca para o Brasil e, nessa posição, lidera a estratégia de crescimento da Sophos no Brasil, expandindo o alcance da companhia em diferentes mercados.
Categorias