O Congresso está se aproximando de colocar a tecnologia eleitoral dos EUA sob um microscópio de cibersegurança mais rigoroso.
Incluída no Ato de Autorização de Inteligência deste ano, que financia agências de inteligência como a CIA, está o Ato de Fortalecimento da Cibersegurança das Eleições para Manter o Respeito pelas Eleições por Meio de Testes Independentes (SECURE IT), que exigiria testes de penetração em máquinas de votação e scanners de cédulas certificados pelo governo federal, e criar um programa piloto explorando a viabilidade de permitir que pesquisadores independentes investiguem todos os tipos de sistemas eleitorais em busca de falhas.
O Ato SECURE IT – originalmente introduzido pelos senadores americanos Mark Warner, democrata da Virgínia, e Susan Collins, republicana do Maine – poderia melhorar significativamente a segurança da tecnologia eleitoral chave em uma época em que adversários estrangeiros permanecem determinados a minar a democracia dos EUA.
“Esta legislação capacitará nossos pesquisadores a pensar da mesma forma que nossos adversários e expor vulnerabilidades ocultas ao tentar penetrar em nossos sistemas com as mesmas ferramentas e métodos usados por criminosos”, diz Warner, que preside o Comitê de Inteligência do Senado.
O novo impulso para esses programas destaca o fato de que, mesmo que as preocupações com a segurança das eleições tenham se deslocado para perigos mais viscérais, como ameaças de morte contra secretários do condado, violência nos locais de votação e desinformação alimentada por IA, os legisladores continuam preocupados com a possibilidade de hackers infiltrarem os sistemas de votação, que são considerados infraestrutura crítica, mas são pouco regulamentados em comparação com outras indústrias vitais.
A interferência da Rússia nas eleições de 2016 colocou em destaque as ameaças às máquinas de votação e, apesar de grandes melhorias, até máquinas modernas podem ter falhas. Especialistas consistentemente pediram padrões federais mais rígidos e mais auditorias de segurança independentes. O novo projeto de lei tenta abordar essas preocupações de duas maneiras.
A primeira disposição codificaria a adição recente de testes de penetração ao processo de certificação da Comissão de Assistência Eleitoral dos EUA. Enquanto os testes anteriores simplesmente verificavam se as máquinas continham medidas defensivas específicas, os testes de penetração simulam ataques do mundo real destinados a encontrar e explorar as fraquezas das máquinas, potencialmente fornecendo novas informações sobre falhas graves de software.
“Pessoas têm pedido testes obrigatórios para equipamentos de eleições há anos”, diz Edgardo Cortés, ex-comissário de eleições da Virgínia e conselheiro da equipe de segurança eleitoral do Centro Brennan da Universidade de Nova York.
A segunda disposição do projeto exigiria que a EAC experimentasse um programa de divulgação de vulnerabilidades para a tecnologia eleitoral – incluindo sistemas que não estão sujeitos a testes federais, como bancos de dados de registro de eleitores e sites de resultados eleitorais.
Os programas de divulgação de vulnerabilidades são essencialmente caças ao tesouro para especialistas em cibersegurança bem-intencionados. Participantes verificados, operando sob regras claras sobre quais sistemas de computador do organizador são alvos justos, tentam invadir esses sistemas encontrando falhas em seu design ou configuração. Eles então relatam quaisquer falhas que descobrirem ao organizador, às vezes por uma recompensa.
Ao permitir que um grupo diversificado de especialistas caça bugs em uma ampla gama de sistemas eleitorais, o projeto de lei Warner-Collins poderia expandir drasticamente a fiscalização da maquinaria da democracia dos EUA.
