O Congresso está se aproximando de colocar a tecnologia eleitoral dos EUA sob um microscópio de cibersegurança mais rigoroso.
Inserido no Projeto de Lei de Autorização de Inteligência deste ano, que financia agências de inteligência como a CIA, está o Ato de Fortalecimento da Cibersegurança Eleitoral para Manter o Respeito pelas Eleições através de Testes Independentes (SECURE IT), que exigiria testes de penetração de máquinas de votação e scanners de cédulas federalmente certificadas, e criaria um programa piloto explorando a viabilidade de permitir que pesquisadores independentes investiguem todos os tipos de sistemas eleitorais em busca de falhas.
O Ato SECURE IT — originalmente introduzido pelos senadores americanos Mark Warner, democrata da Virgínia, e Susan Collins, republicana do Maine — poderia melhorar significativamente a segurança da tecnologia eleitoral chave em uma era em que adversários estrangeiros permanecem determinados a minar a democracia dos EUA.
“Esta legislação capacitaria nossos pesquisadores a pensar da mesma forma que nossos adversários e expor vulnerabilidades ocultas ao tentar penetrar em nossos sistemas com as mesmas ferramentas e métodos usados por agentes mal-intencionados,” diz Warner, presidente do Comitê de Inteligência do Senado.
O novo impulso por esses programas destaca o fato de que, mesmo quando as preocupações com a segurança das eleições se deslocaram para perigos mais visíveis, como ameaças de morte contra os secretários de condado, violência nos locais de votação e desinformação impulsionada por IA, os legisladores continuam preocupados com a possibilidade de hackers infiltrarem os sistemas de votação, que são considerados infraestrutura crítica mas são pouco regulamentados em comparação com outras indústrias vitais.
A interferência da Rússia nas eleições de 2016 lançou luz sobre as ameaças às máquinas de votação, e apesar das grandes melhorias, até mesmo máquinas modernas podem ter falhas. Especialistas têm consistentemente defendido padrões federais mais rígidos e mais auditorias de segurança independentes. O novo projeto de lei tenta abordar essas preocupações de duas maneiras.
A primeira disposição codificaria a adição dos testes de penetração ao processo de certificação da Comissão de Assistência Eleitoral dos EUA. (A EAC recentemente revisou seus padrões de certificação, que cobrem máquinas de votação e scanners de cédulas e que muitos estados exigem que seus fornecedores atendam).
Enquanto os testes anteriores simplesmente verificavam se as máquinas continham medidas defensivas específicas — como software antivírus e criptografia de dados — os testes de penetração irão simular ataques do mundo real destinados a encontrar e explorar as vulnerabilidades das máquinas, potencialmente fornecendo novas informações sobre falhas graves no software.
“As pessoas têm pedido testes [de penetração] obrigatórios há anos para equipamentos eleitorais,” diz Edgardo Cortés, ex-comissário de eleições da Virgínia e conselheiro da equipe de segurança eleitoral do Centro Brennan de Justiça da Universidade de Nova York.
A segunda disposição do projeto de lei exigiria que a EAC experimentasse um programa de divulgação de vulnerabilidades para a tecnologia eleitoral — incluindo sistemas que não estão sujeitos a testes federais, como bancos de dados de registro de eleitores e sites de resultados eleitorais.
Os programas de divulgação de vulnerabilidades são essencialmente caças ao tesouro para especialistas em cibersegurança bem-intencionados. Participantes verificados, operando sob regras claras sobre quais sistemas de computador do organizador estão em jogo, tentam hackear esses sistemas encontrando falhas em como eles são projetados ou configurados. Eles então relatam quaisquer falhas que descobrirem ao organizador, algumas vezes em troca de uma recompensa.
Ao permitir que um grupo diversificado de especialistas busque por bugs em uma ampla gama de sistemas eleitorais, o projeto de lei Warner-Collins poderia expandir drasticamente a escrutínio da maquinaria da democracia dos EUA.
