.
O Congresso está se aproximando de colocar a tecnologia eleitoral dos EUA sob um microscópio de segurança cibernética mais rigoroso.
Incorporado à Lei de Autorização de Inteligência deste ano, que financia agências de inteligência como a CIA, está a Lei de Fortalecimento da Segurança Cibernética Eleitoral para Manter o Respeito às Eleições por meio de Testes Independentes (SECURE IT), que exigiria testes de penetração em máquinas de votação e scanners de cédulas certificados pelo governo federal e criaria um programa piloto explorando a viabilidade de permitir que pesquisadores independentes investigassem todos os tipos de sistemas eleitorais em busca de falhas.
O SECURE IT Act — originalmente apresentado pelos senadores americanos Mark Warner, democrata da Virgínia, e Susan Collins, republicana do Maine — pode melhorar significativamente a segurança da principal tecnologia eleitoral em uma era em que adversários estrangeiros continuam decididos a minar a democracia dos EUA.
“Esta legislação capacitará nossos pesquisadores a pensar da mesma forma que nossos adversários e expor vulnerabilidades ocultas ao tentar penetrar em nossos sistemas com as mesmas ferramentas e métodos usados por malfeitores”, diz Warner, que preside o Comitê de Inteligência do Senado.
O novo impulso para esses programas destaca o fato de que, mesmo com as preocupações com a segurança eleitoral mudando para perigos mais viscerais, como ameaças de morte contra funcionários do condado, violência em locais de votação e desinformação alimentada por IA, os legisladores continuam preocupados com a possibilidade de hackers se infiltrarem nos sistemas de votação, que são considerados infraestrutura crítica, mas são pouco regulamentados em comparação a outros setores vitais.
A interferência da Rússia na eleição de 2016 destacou as ameaças às máquinas de votação e, apesar das grandes melhorias, até mesmo as máquinas modernas podem apresentar falhas. Especialistas têm pressionado consistentemente por padrões federais mais rigorosos e auditorias de segurança mais independentes. O novo projeto de lei tenta abordar essas preocupações de duas maneiras.
A primeira disposição codificaria a recente adição da Comissão de Assistência Eleitoral dos EUA de testes de penetração ao seu processo de certificação. (A EAC recentemente reformulou seus padrões de certificação, que abrangem máquinas de votação e scanners de cédulas e que muitos estados exigem que seus fornecedores cumpram.)
Enquanto os testes anteriores simplesmente verificavam se as máquinas continham medidas defensivas específicas, como software antivírus e criptografia de dados, os testes de penetração simulam ataques do mundo real com o objetivo de encontrar e explorar as fraquezas das máquinas, potencialmente gerando novas informações sobre falhas graves de software.
“As pessoas têm apelado à obrigatoriedade [penetration] “testando equipamentos eleitorais durante anos”, diz Edgardo Cortés, ex-comissário eleitoral da Virgínia e consultor da equipe de segurança eleitoral do Brennan Center for Justice da Universidade de Nova York.
A segunda disposição do projeto de lei exigiria que a EAC experimentasse um programa de divulgação de vulnerabilidades para tecnologia eleitoral, incluindo sistemas que não estão sujeitos a testes federais, como bancos de dados de registro de eleitores e sites de resultados eleitorais.
Programas de divulgação de vulnerabilidades são essencialmente caças ao tesouro para especialistas cibernéticos com mentalidade cívica. Participantes examinados, operando sob regras claras sobre quais sistemas de computador do organizador são jogo justo, tentam hackear esses sistemas encontrando falhas em como eles são projetados ou configurados. Eles então relatam quaisquer falhas que descobrem ao organizador, às vezes por uma recompensa.
Ao permitir que um grupo diversificado de especialistas procure falhas em uma ampla gama de sistemas eleitorais, o projeto de lei Warner-Collins poderia expandir drasticamente o escrutínio da máquina da democracia dos EUA.
.
