Em entrevista à TV Confea, o CEO da The Perfect Link, Fernando de Pinho Barreira, descreve os principais aspectos sobre a auditoria do processo eleitoral do Sistema Confea/Crea e Mútua, que terá sua expressão mais tácita no próximo dia 17 de novembro, quando profissionais de todo o país escolherão as novas lideranças que atuarão pelo próximo triênio. Esta será a primeira vez que as eleições gerais do Sistema serão realizadas pela internet, ratificando as eleições desenvolvidas para a escolha de conselheiros federais e de alguns presidentes de Crea desde 2021. Em todas elas, a The Perfect Link foi a empresa de auditoria vencedora do processo de licitação do Confea.
Com a experiência de já haver desenvolvido processos eleitorais semelhantes junto a diversos conselhos profissionais, os mais recentes, a Ordem dos Advogados do Brasil (OAB), o Conselho Federal de Medicina (CFM) e ainda o Conselho Federal de Enfermagem (Cofen), Fernando Barreira procura sanar dúvidas relacionadas à segurança do processo eleitoral. Aspectos como o papel da auditoria, testes realizados, correções de eventuais vulnerabilidades, garantias de sigilo e fidelidade do voto foram abordados pelo especialista.
“Parte desses aspectos serão apresentados a gestores técnicos dos Crea e das candidaturas no próximo dia 6 de novembro, em evento que realizaremos no Confea, contando com Fernando e também com Alexandre Swioklo, diretor da Webvoto, empresa contratada responsável pelo sistema de votação eletrônica”, comenta o coordenador da Comissão Eleitoral Federal (CEF), eng. civ. Daltro Pereira, após o processo de teste do sistema de votação, durante a sessão plenária da última quarta-feira (25/10).
Na visão do CEO da The Perfect Link, “a auditoria de um processo eleitoral tende a aferir e a garantir diversas premissas. É o trabalho de auditoria que garante que todas as partes interessadas, candidatos, comissão eleitoral, eleitores, tenham confiança e se sintam confortáveis na participação no processo eleitoral. É de se aferir a honestidade do voto, o sigilo do voto, a igualdade de oportunidades para todos os concorrentes, a garantia de que aquela escolha do eleitor é mantida, que todos os votos são devidamente computados ao final do processo, enfim, há toda uma série de grandezas que precisam e serão aferidas com segurança para que o processo transcorra na mais absoluta normalidade e conformidade”.
Papel da auditoria no processo eleitoral 2023
O papel da auditoria é o de verificar a conformidade de todo o processo eleitoral. A auditoria não atua só em sistemas, mas também nos procedimentos administrativos e no próprio processo administrativo porque a auditoria ajuda a conferir o termo de referência, aplica prova de conceito para a seleção da empresa de sistemas e assessora a Comissão Eleitoral Federal em todas as questões relativas ao processo eleitoral.
Testes realizados pela empresa de auditoria
Os testes aplicados ao sistema, que é uma parte importante do processo eleitoral, inegavelmente, abrangem desde o funcionamento do sistema à infraestrutura e ainda a possibilidade de continuidade do processo eleitoral, ou seja, visa testar a segurança e a garantir que o processo eleitoral vá a bom termo.
Segurança do processo eleitoral
Os eventos pela internet, de missão crítica, como é o processo eleitoral ou as operações bancárias e as transações de compras online, são seguros. É um mito dizer-se que eventos pela internet não são totalmente seguros. Desde que tomadas as providências de testes e de capacidade de softwares e de infraestrutura, nós podemos ter um evento totalmente seguro pela internet.
Acompanhamento da auditoria
A auditoria atua em três momentos no processo eleitoral: o momento prévio, que envolve a parte administrativa, a aplicação de testes, a emissão de relatórios de adequação, até a homologação de sistemas e de procedimentos administrativos; a auditoria também atua, durante o processo eleitoral, com o monitoramento de sistemas, fazendo evidências que comprovem a inalterabilidade do sistema, o estado do sistema para o eleitor, o tempo de resposta, e atua, posteriormente, ao fim da eleição, conferindo diversos pontos de controle e analisando o evento para a homologação do processo eleitoral como um todo.
Atuação no processo eleitoral 2023
A The Perfect Link já atuou em diversas etapas do processo eleitoral até o momento. Nós fizemos sugestões ao edital de seleção da empresa de sistemas; aplicamos a prova de conceitos; analisamos a documentação técnica das empresas proponentes ao fornecimento do sistema da eleição; participamos de diversos seminários promovidos pelo Sistema Confea/Crea, esclarecendo a diversos públicos envolvidos no processo eleitoral toda a dinâmica e toda a participação da auditoria no processo. Nós também já aplicamos testes iniciais ao sistema e vamos apresentar relatórios de adequação. É um trabalho que continua até o final do pleito.
Recursos de infraestrutura da empresa de software eleitoral
A infraestrutura necessária para um evento desse porte é um fato muito importante para o sucesso do pleito. Nós verificamos qual é o patamar de hospedagem desses recursos. O sistema de um evento desse porte é hospedado em provedores e data centers de níveis altíssimos em redundância, escalabilidade e possibilidade de manutenção do processo eleitoral no ar. O que nós temos que avaliar, pontualmente, é que recursos a empresa de sistemas aloca para o início da eleição. No decorrer, esses recursos são escaláveis. Nós chamamos esses recursos iniciais para que não se tenha um gargalo na votação de “plano e carga”. Eles é que são o objeto da auditoria.
Correções de vulnerabilidades
As vulnerabilidades de sistema são de dois tipos: a parte de infraestrutura, de que já tratamos, e temos a parte do sistema em si. É necessário ver-se se o sistema permite, na própria redação do seu código, a exploração de alguma fragilidade do sistema. Então, não basta falar-se em recursos, redundância, mas também em diversos outros tipos de ataques. Fazendo-se um trabalho bastante profissional, com bastante eficiência, a auditoria consegue elencar essas fragilidades para que elas sejam tratadas ou na implementação do código ou instalando-se pontos de controle para evitar a exploração dessas fragilidades.
Procedimentos administrativos
Os procedimentos administrativos são objetos da auditoria por definição. A auditoria não audita só sistemas, ela tende a auditar também os processos, procedimentos envolvidos. Então, a emissão de senhas, o controle dessa emissão e geração de senhas, a autenticação do eleitor, todos esses procedimentos que envolvem o processo eleitoral, a carga de dados, a inalterabilidade desses dados, uma vez carregados ao sistema, todos esses elementos têm que ser aferidos pela auditoria para que se possa convalidar não só o comportamento do sistema, mas também o processo eleitoral de uma maneira total. Os procedimentos administrativos são talvez a parte mais importante do processo eleitoral. Desenvolvem desde a geração de senhas, a emissão de senhas para o eleitor, as regras de autenticação desse eleitor, todos os procedimentos. Portanto, não basta verificar o sistema eleitoral, a infraestrutura, se esses aspectos não foram considerados, acompanhados e analisados na sua conformidade junto aos procedimentos administrativos, que desenvolvem, por exemplo, desde a emissão de senhas, a geração dessas senhas e seu trânsito até o eleitor, os modos de autenticação do eleitor, todos os procedimentos de emissão de zerésima, quem participa de determinada fase, esses procedimentos têm também que ser aferidos e verificada a sua conformidade com as boas práticas e com o regimento eleitoral do processo eleitoral.
Auditoria nos Arquivos de Log
Há todo um conjunto de recursos com que nós podemos comprovar a validade do processo eleitoral. A auditoria de um processo eleitoral trabalha com alguns registros chamados “logs” que são preservados para que possa haver uma conferência e até uma perícia após o processo eleitoral. Esses logs são de vários tipos: nós temos os logs que registram toda a interação do eleitor com o sistema eleitoral, exceto, claro a qualidade do voto, mas todas as operações ficam gravadas. E esses registros são parte importante para que se verifique a acuidade do cômputo de votos, da montagem desses votos para o resultado final. São os “logs do sistema de eleição”, que guardam toda a relação do eleitor com o sistema eleitoral, ou seja, nós conseguimos saber se determinado eleitor se logou ao sistema, se tentou votar, e se conseguiu uma resposta positiva ou negativa. Nós temos também “logs de plataforma de hospedagem”, que nos garantem a historicidade de publicação do sistema na internet. Com esses logs, nós procuramos aferir se não há uma substituição de sistemas, uma alteração daquilo que foi homologado pela auditoria para o funcionamento do sistema. Eles também são muito importantes para que a gente verifique que não tem havido nenhuma alteração do sistema após a sua homologação até o fim da eleição. Nós temos ainda, da parte da auditoria, os “logs de auditoria”, que são resultados das ferramentas de auditoria que monitoram o sistema eleitoral, deixando registros do estado do sistema para o eleitor com validade de prova forense.
Garantias do sigilo e da fidelidade do voto
Fala-se muito da garantia de funcionamento e de continuidade do sistema eleitoral, mas há algumas grandezas relativas a quaisquer processos eleitorais, sejam por suporte físico na internet, sejam por urnas eletrônicas ou por cédulas de papel por segurança, em que é preciso aferir e comprovar. São elas: o sigilo do voto; a inalterabilidade do voto, em conformidade com o que foi escolhido pelo eleitor; a garantia de que a opção do eleitor seja realmente computada; a garantia de que não há alteração do resultado de maneira inadvertida, de modo que não se inclua votos sem que seja pela forma natural onde o eleitor vota. Então, todos esses elementos são aferidos pelos “logs” e também com a análise do sistema em si, com a análise de código, com testes de funcionamento. Então, esses elementos são garantidos pela parte sistêmica e também pelos procedimentos administrativos. A análise conjunta desses dois elementos é que vai permitir que a auditoria afira todas essas grandezas que garantem um processo isonômico e com igualdade de oportunidades a todos os concorrentes.
Fonte: Confea