O Novo IPhone XS da Apple

O Congresso está mais perto de colocar a tecnologia eleitoral dos EUA sob um microscópio mais rigoroso de cibersegurança. Incorporado no Ato de Autorização de Inteligência deste ano, que financia agências de inteligência como a CIA, está o Ato de Reforço da Cibersegurança Eleitoral para Defender o Respeito pelas Eleições por Meio de Testes Independentes (SECURE IT), que exigiria testes de penetração de máquinas de votação e scanners de cédulas certificadas pelo governo federal, e criar um programa piloto explorando a viabilidade de permitir que pesquisadores independentes investiguem todos os tipos de sistemas eleitorais em busca de falhas.
O Ato SECURE IT—originalmente introduzido pelos senadores dos EUA Mark Warner, um democrata da Virgínia, e Susan Collins, uma republicana do Maine—poderia melhorar significativamente a segurança da tecnologia eleitoral chave em uma era em que adversários estrangeiros continuam tentando minar a democracia dos EUA.
“Esta legislação capacitará nossos pesquisadores a pensar da mesma forma que fazem nossos adversários, e exporá vulnerabilidades ocultas ao tentar penetrar em nossos sistemas com as mesmas ferramentas e métodos usados por atores malignos”, diz Warner, que preside o Comitê de Inteligência do Senado.
O novo impulso para esses programas destaca o fato de que, mesmo que as preocupações com a segurança das eleições tenham se deslocado para perigos mais visíveis, como ameaças de morte contra secretários de condados, violência nos locais de votação e desinformação impulsionada por IA, os legisladores continuam preocupados com a possibilidade de hackers infiltrar sistemas de votação, que são considerados infraestrutura crítica, mas são pouco regulamentados em comparação com outras indústrias vitais.
A interferência da Rússia nas eleições de 2016 lançou uma luz sobre ameaças às máquinas de votação e, apesar de melhorias significativas, até mesmo máquinas modernas podem ter falhas. Especialistas têm consistentemente defendido padrões federais mais rigorosos e auditorias de segurança mais independentes. O novo projeto de lei tenta abordar essas preocupações de duas maneiras.
A primeira disposição codificaria a adição recente de testes de penetração ao processo de certificação da Comissão de Assistência Eleitoral dos EUA. (A EAC recentemente revisou suas normas de certificação, que abrangem máquinas de votação e scanners de cédulas e que muitos estados exigem que seus fornecedores atendam.)
Enquanto os testes anteriores simplesmente verificavam se as máquinas continham medidas defensivas específicas—como software antivírus e criptografia de dados—, os testes de penetração simularão ataques do mundo real destinados a encontrar e explorar as vulnerabilidades das máquinas, potencialmente fornecendo novas informações sobre falhas graves de software.
“As pessoas têm pedido testes obrigatórios [de penetração] há anos para o equipamento eleitoral”, diz Edgardo Cortés, ex-comissário de eleições da Virgínia e consultor da equipe de segurança eleitoral no Centro Brennan da Universidade de Nova York.
A segunda disposição do projeto de lei exigiria que a EAC experimentasse com um programa de divulgação de vulnerabilidades para tecnologia eleitoral—incluindo sistemas que não estão sujeitos a testes federais, como bancos de dados de registro de eleitores e sites de resultados eleitorais.
Programas de divulgação de vulnerabilidades são essencialmente caças ao tesouro para especialistas em cibersegurança civicamente conscientes. Participantes verificados, operando sob regras claras sobre quais sistemas de computador do organizador são justos, tentam hackear esses sistemas encontrando falhas em sua concepção ou configuração. Eles então relatam quaisquer falhas que descobrirem ao organizador, às vezes em troca de uma recompensa.
Ao permitir que um grupo diversificado de especialistas busque por bugs em uma ampla gama de sistemas eleitorais, o projeto de lei de Warner-Collins poderia expandir significativamente a escrutínio da maquinaria da democracia dos EUA.