MENU

Escrito por • 17/04/2010

concentração de poderes no sistema eleitoral brasileiro não permite auditoria independente

lá vêm as eleições e, com elas, o sistema eleitoral brasileiro. este blog fez uma longa série de considerações sobre o problema de segurança das urnas e do sistema, como um todo, antes das últimas eleições. em agosto e setembro de 2008, publicamos um bom número de textos que você pode ver [pela ordem] aqui, aqui, aqui, aqui e aqui.

logo a seguir, o TSE deu uma entrevista-resposta sobre o assunto da segurança das urnas, garantindo que as urnas eram seguras. só que, a seguir, um dos fabricantes das urnas declarou que sim, sem dúvida, as urnas eram inseguras.

o assunto acaba de voltar à tona com a publicação de um relatório do comitê multidisciplinar independente [CMIND] que acompanha o processo eleitoral. pra você ter uma idéia da importância que o relatório pode vir a ter, veja quais são as três principais conclusões, expressas no resumo executivo de duas páginas:

Tendo-se analisado com profundidade o relatório do comitê do TSE e juntando o conhecimento especializado e experiência dos autores no acompanhamento dos sistemas eleitorais do TSE desde 2000, concluiu-se o seguinte:

1. Há exagerada concentração de poderes no processo eleitoral brasileiro, resultando em comprometimento do Princípio da Publicidade e da soberania do eleitor em poder conhecer e avaliar, motu próprio, o destino do seu voto;

2. Desde 1996, no sistema eleitoral eletrônico brasileiro É IMPOSSÍVEL PARA OS REPRESENTANTES DA SOCIEDADE AUDITAR O RESULTADO DA APURAÇÃO DOS VOTOS. Em outras palavras, caso ocorra uma infiltração criminosa determinada a fraudar as eleições, restou evidente que a fiscalização externa dos Partidos, da OAB e do MP, do modo como é permitida, será incapaz de detectá-la.

3. Esta impossibilidade de auditoria independente do resultado eleitoral é que levou à rejeição de nossas urnas eletrônicas em todos os mais de 50 países que a estudaram.

o CMIND não é um grupo de hackers que se reuniu em uma mesa de bar ou porão pra maldizer o sistema eleitoral brasileiro, mas um grupo de pessoas independentes que avalia o processo eleitoral há anos e que resolveu dizer em público, e de uma vez por todas, que o sistema precisa mudar.

não se trata de mudar a só a urna, por exemplo. o problema é muito maior; segundo o CMIND, há que se mudar o processo, inclusive o papel do TSE, para aumentar a segurança e transparência do processo eleitoral. as três recomendações do CMIND são:

1. Propiciar separação mais clara de responsabilidades nas tarefas de normatizar, administrar e auditar o processo eleitoral brasileiro, deixando à Justiça Eleitoral apenas a tarefa de julgar o contencioso.

2. Possibilitar uma auditoria dos resultados eleitorais de forma totalmente independente das pessoas envolvidas na sua administração.

3. Regulamentar mais detalhadamente o Princípio de Independência do Software em Sistemas Eleitorais, expresso no Art. 5 da Lei 12.034/09, definindo claramente as regras de auditoria com o Voto Impresso Conferível pelo Eleitor.

image

se você leu até aqui, vale a pena saber quem escreveu o que este blog está citando. o CMIND é…

Sérgio Sérvulo da Cunha, 74, jurista, membro da Comissão Permanente de Direito Constitucional do Instituto dos Advogados Brasileiros.

Augusto Tavares Rosa Marcacini, 45, membro da Comissão de Tecnologia da Informação do Conselho Federal da OAB no triênio 2004/2006, acompanhou o desenvolvimento dos sistemas eleitorais do TSE em 2004.

Maria Aparecida da Rocha Cortiz, 49, advogada eleitoral, acompanha o desenvolvimento dos sistemas eleitorais junto ao TSE desde 2002.

Jorge Stolfi, 59, Ph.D pela Stanford University em 1988 é Professor Titular do Instituto de Computação da Unicamp.

Clovis Torres Fernandes, 56, Doutor em Informática pela PUC-Rio em 1992, é Professor Associado da Divisão de Ciência da Computação do ITA.

Pedro Antônio Dourado Rezende, 57, matemático e criptógrafo, Professor de Criptografia e Ciência da Computação da Universidade de Brasília.

Márcio Coelho Teixeira, 46, engenheiro, projetou do protótipo de urna eletrônica em 1995 aprovado pela Comissão de Informatização do Voto do TSE e acompanhou a apresentação dos sistemas eleitorais do TSE em 2000.

Amilcar Brunazo Filho, 60, engenheiro, assistente técnico em perícias em urnas eletrônicas, acompanha o desenvolvimento dos sistemas do TSE desde 2000.

Frank Varela de Moura, 38, analista de sistemas, acompanha o desenvolvimento dos sistemas eleitorais do TSE desde 2004.

Marco Antônio Machado de Carvalho, 44, analista de sistemas e programador, acompanhou o desenvolvimento dos sistemas eleitorais do TSE em 2008.

o relatório completo, de 105 páginas, pode ser encontrado neste link. boa leitura. o debate só está começando e o blog vai voltar ao tema muito em breve.

Artigos relacionados

0 Responses to concentração de poderes no sistema eleitoral brasileiro não permite auditoria independente

  1. Bruno Bezerra disse:

    O problema reside nas urnas (enquanto hard e sistema) ou na impossibilidade de auditoria independente? Porque a dinâmica da eleição eletrônica é muito interessante, contudo, se o problema reside na impossibilidade de auditoria independente, os países que ficaram com um pé atrás (e também o Brasil) poderiam simplesmente criar essa possibilidade de auditoria independente. E já que o foco é político, pelo visto o sistema de eleição eletrônica precisa de uma espécie de GLASNOST ELETRÔNICA ELEITORAL.

  2. Bruno Bezerra disse:

    O problema reside nas urnas (enquanto hard e sistema) ou na impossibilidade de auditoria independente? Porque a dinâmica da eleição eletrônica é muito interessante, contudo, se o problema reside na impossibilidade de auditoria independente, os países que ficaram com um pé atrás (e também o Brasil) poderiam simplesmente criar essa possibilidade de auditoria independente. E já que o foco é político, pelo visto o sistema de eleição eletrônica precisa de uma espécie de GLASNOST ELETRÔNICA ELEITORAL.

  3. Bruno,

    O problema é a impossibilidade de uma auditoria do resultado eleitoral que possa ser feita de forma que seja independente das pessoas que desenvolvem e operam o sistema e independente do software da própria urna.

    É claro que, para atender ao Princípio da Independência do Software em Sistemas Eleitorais, nossas urnas terão que receber adaptação para criarem um Registro Permanente do Voto que seja independente do software e conferível pelo eleitor.

    O Princípio da Independência do Software em Sistemas Eleitorais foi proposto em 2006 por Ronald Rivest (o inventor da técnica de Assinaturas Digitais). Foi acolhido pela norma técnica norte-americana em 2007 e pela lei brasileira em 2009, mas aqui só vai entrar em vigor em 2014, se o TSE, até lá, não derrubar a nova lei.

  4. Bruno,

    O problema é a impossibilidade de uma auditoria do resultado eleitoral que possa ser feita de forma que seja independente das pessoas que desenvolvem e operam o sistema e independente do software da própria urna.

    É claro que, para atender ao Princípio da Independência do Software em Sistemas Eleitorais, nossas urnas terão que receber adaptação para criarem um Registro Permanente do Voto que seja independente do software e conferível pelo eleitor.

    O Princípio da Independência do Software em Sistemas Eleitorais foi proposto em 2006 por Ronald Rivest (o inventor da técnica de Assinaturas Digitais). Foi acolhido pela norma técnica norte-americana em 2007 e pela lei brasileira em 2009, mas aqui só vai entrar em vigor em 2014, se o TSE, até lá, não derrubar a nova lei.

  5. Cezar Sales disse:

    Interessante a matéria. Sempre tive dúvidas pois, atrás da máquina há um ser humano e onde está o homem está também o erro.
    É bom recordar o caso dos anões do orçamento e os cartões premiados da loteria esportiva.
    O Senado aprovou projeto para que os Bancos e outras empresas usem papel de boa qualidade para impressão de dados, com duração por um período maior. Porque não se pode emitir um comprovante de votação? Não vejo dificuldades e nem problemas. Seria uma questão de adequação, segurança e transparência.

  6. Cezar Sales disse:

    Interessante a matéria. Sempre tive dúvidas pois, atrás da máquina há um ser humano e onde está o homem está também o erro.
    É bom recordar o caso dos anões do orçamento e os cartões premiados da loteria esportiva.
    O Senado aprovou projeto para que os Bancos e outras empresas usem papel de boa qualidade para impressão de dados, com duração por um período maior. Porque não se pode emitir um comprovante de votação? Não vejo dificuldades e nem problemas. Seria uma questão de adequação, segurança e transparência.

  7. Se o TSE não permite auditoria independente, dá para desconfiar do óbvio: que tem gente vendendo cargos eletivos mediante fraude nas urnas e que o TSE faz da nossa democracia uma piada. Que tal as urnas emitirem um protocolo e o TSE divulgar o resultado voto a voto ligado ao protocolo na Internet para que o eleitor saiba como foi computado o seu voto?

  8. Se o TSE não permite auditoria independente, dá para desconfiar do óbvio: que tem gente vendendo cargos eletivos mediante fraude nas urnas e que o TSE faz da nossa democracia uma piada. Que tal as urnas emitirem um protocolo e o TSE divulgar o resultado voto a voto ligado ao protocolo na Internet para que o eleitor saiba como foi computado o seu voto?

  9. claudio disse:

    Acho que deveria ser emitido um comprovante de votação, não vejo qual a dificuldade dessa falta.

  10. claudio disse:

    Acho que deveria ser emitido um comprovante de votação, não vejo qual a dificuldade dessa falta.

  11. Não basta emitir um comprovante de votação, pois a urna pode emitir o comprovante correto, mas computar internamente de outro modo o voto do eleitor. Um protocolo que permita identificar como o voto foi apurado no conjunto total de votos publicado na Internet é o que garantiria a qualquer cidadão poder ter acesso a todos os votos sem saber qual o título de eleitor de quem deu o voto e ainda identificar pelo protocolo o seu voto para saber se foi computado corretamente. Isto sim garantiria transparência total no processo de apuração.

  12. Não basta emitir um comprovante de votação, pois a urna pode emitir o comprovante correto, mas computar internamente de outro modo o voto do eleitor. Um protocolo que permita identificar como o voto foi apurado no conjunto total de votos publicado na Internet é o que garantiria a qualquer cidadão poder ter acesso a todos os votos sem saber qual o título de eleitor de quem deu o voto e ainda identificar pelo protocolo o seu voto para saber se foi computado corretamente. Isto sim garantiria transparência total no processo de apuração.

  13. Fernão Vale disse:

    o mínimo do mínimo é a impressão do voto para conferência, e depois disso o depósito na urna

  14. Fernão Vale disse:

    o mínimo do mínimo é a impressão do voto para conferência, e depois disso o depósito na urna

  15. Adolfo Neto disse:

    Excelente iniciativa de diulgar este trabalho. Os autores são pessoas sérias.

  16. Adolfo Neto disse:

    Excelente iniciativa de diulgar este trabalho. Os autores são pessoas sérias.

  17. O melhor sistema seria o emprego de uma cédula eleitoral do tipo largamente utilizados nas loterias esportivas, com rubrica no verso de 2 mesários e 1 fiscal porventura presente na abertura dos trabalhos que, depois de preenchida, seria colocada em uma máquina que faria a leitura dos votos e apresentaria, na tela, a foto dos candidatos escolhidos. Após a confirmaçâo pelo eleitor, a própria máquina que efetuou a leitura remeteria a cédula para a urna de lona. Com as rubricas no verso, seria impossível o sistema fraudar as eleiçôes e, posteriormente, emitir uma nova leva de cédulas eleitorais para confirmarem a fraude forjada pelo programa inserido na referida máquina.

  18. O melhor sistema seria o emprego de uma cédula eleitoral do tipo largamente utilizados nas loterias esportivas, com rubrica no verso de 2 mesários e 1 fiscal porventura presente na abertura dos trabalhos que, depois de preenchida, seria colocada em uma máquina que faria a leitura dos votos e apresentaria, na tela, a foto dos candidatos escolhidos. Após a confirmaçâo pelo eleitor, a própria máquina que efetuou a leitura remeteria a cédula para a urna de lona. Com as rubricas no verso, seria impossível o sistema fraudar as eleiçôes e, posteriormente, emitir uma nova leva de cédulas eleitorais para confirmarem a fraude forjada pelo programa inserido na referida máquina.

  19. Rodrigo disse:

    Silvio,

    você poderia “bounce back” por favor. Queria lhe perguntar algo em pvt e não tenho seu email.

  20. Rodrigo disse:

    Silvio,

    você poderia “bounce back” por favor. Queria lhe perguntar algo em pvt e não tenho seu email.

  21. Carlos Rocha disse:

    Transparência e auditoria nas eleições brasileiras
    ————————————————————————-
    Parabéns! Mostra-se essencial um amplo debate aberto sobre o tema, com a participação de especialistas em segurança da informação e auditoria de sistemas.

    O TSE deve publicar todo o processo de auditoria de sistemas e os procedimentos realizados para garantir a transparência e a segurança da informação na automação eleitoral brasileira.

    Hoje, em tese, um eleitor pode inserir um voto, a urna imprimir e registrar uma informação diferente, e o sistema de totalização no TSE registrar outra informação diferente do resultado de várias urnas.

    Portanto, a mera impressão do voto não garante qualquer segurança ao processo eleitoral. Além de lembrar que o Brasil apresenta alto grau de analfabetismo funcional em mais de 50% do eleitorado.

    Só uma auditoria técnica independente de todo o sistema, antes, durante e depois das eleições, poderá garantir que o voto inserido pelo eleitor terá seu conteúdo armazenado e computado corretamente pelos programas que rodam na urna eletrônica, e ao final, corretamente totalizado nos sistemas do TSE.

    A auditoria de sistemas para garantir a segurança da informação é tecnologia conhecida e amplamente documentada e deve ser aplicada a todo o processo eleitoral.

    Os processos da automação eleitoral brasileira deveriam ser certificados nas normas internacionais de segurança da informação ISO27000 http://www.27000.org/.

    Uma auditoria técnica realizada pela BRISA http://www.brisa.org.br/, há alguns anos, mostrou que o TSE não tinha processos conformes do ponto de vista de segurança da informação.

    O TSE sempre entendeu que seus processos não devem ser auditados por outro órgão. Trata-se, apenas, de desinformação aliada ao excesso de auto preservação. Há uma confusão entre a saudável auditoria para o aperfeiçoamento contínuo – a identificação e a solução de falhas de processo, o receio da interferência de terceiros, e a eventual suspeita de improbidade, irregularidade, ou coisa parecida.

    Em qualquer empresa organizada, há certificações e auditoria de sistemas, de segurança, contábil, de governança, sempre realizadas por entidades independentes de quem opera os processos.

    Um bom passo será um curso conceitual em segurança da informação para altos executivos, a ser ministrado aos Ministros do TSE, e aos Presidentes do Senado e da Câmara dos Deputados, usualmente feito por presidentes de grandes empresas.

    Nota: ISO/IEC 27001 é um padrão para sistema de gerência da segurança da informação (ISMS – Information Security Management System) http://pt.wikipedia.org/wiki/ISO_27001

  22. Carlos Rocha disse:

    Transparência e auditoria nas eleições brasileiras
    ————————————————————————-
    Parabéns! Mostra-se essencial um amplo debate aberto sobre o tema, com a participação de especialistas em segurança da informação e auditoria de sistemas.

    O TSE deve publicar todo o processo de auditoria de sistemas e os procedimentos realizados para garantir a transparência e a segurança da informação na automação eleitoral brasileira.

    Hoje, em tese, um eleitor pode inserir um voto, a urna imprimir e registrar uma informação diferente, e o sistema de totalização no TSE registrar outra informação diferente do resultado de várias urnas.

    Portanto, a mera impressão do voto não garante qualquer segurança ao processo eleitoral. Além de lembrar que o Brasil apresenta alto grau de analfabetismo funcional em mais de 50% do eleitorado.

    Só uma auditoria técnica independente de todo o sistema, antes, durante e depois das eleições, poderá garantir que o voto inserido pelo eleitor terá seu conteúdo armazenado e computado corretamente pelos programas que rodam na urna eletrônica, e ao final, corretamente totalizado nos sistemas do TSE.

    A auditoria de sistemas para garantir a segurança da informação é tecnologia conhecida e amplamente documentada e deve ser aplicada a todo o processo eleitoral.

    Os processos da automação eleitoral brasileira deveriam ser certificados nas normas internacionais de segurança da informação ISO27000 http://www.27000.org/.

    Uma auditoria técnica realizada pela BRISA http://www.brisa.org.br/, há alguns anos, mostrou que o TSE não tinha processos conformes do ponto de vista de segurança da informação.

    O TSE sempre entendeu que seus processos não devem ser auditados por outro órgão. Trata-se, apenas, de desinformação aliada ao excesso de auto preservação. Há uma confusão entre a saudável auditoria para o aperfeiçoamento contínuo – a identificação e a solução de falhas de processo, o receio da interferência de terceiros, e a eventual suspeita de improbidade, irregularidade, ou coisa parecida.

    Em qualquer empresa organizada, há certificações e auditoria de sistemas, de segurança, contábil, de governança, sempre realizadas por entidades independentes de quem opera os processos.

    Um bom passo será um curso conceitual em segurança da informação para altos executivos, a ser ministrado aos Ministros do TSE, e aos Presidentes do Senado e da Câmara dos Deputados, usualmente feito por presidentes de grandes empresas.

    Nota: ISO/IEC 27001 é um padrão para sistema de gerência da segurança da informação (ISMS – Information Security Management System) http://pt.wikipedia.org/wiki/ISO_27001

  23. Carlos Rocha disse:

    Sugestões simples para auditar o processo eleitoral
    ———————————————————————————
    1. Funcionamento adequado das urnas eletrônicas – Serão definidas, por sorteio, amostras de lotes de urnas, válidas estatisticamente, para a realização de uma eleição controlada, com resultados previamente definidos por um sistema independente. Ao final do dia, o boletim impresso emitido por cada urna será comparado ao documento emitido pelo sistema de auditoria no início do processo.

    2. Validação estatística dos resultados de cada urna: faz-se uma análise estatística dos resultados de cada urna em relação aos resultados das urnas de uma mesma região (zona eleitoral, bairro, município).

    3. Auditoria estatística da totalização, através da impressão em cada boletim de urna dos resultados em Código de Barras em 2D, usando QR Code, por exemplo, cuja imagem pode ser capturada com uma câmera de telefone celular e transmitida a uma central de auditoria independente.

    A Nokia explica como ler o código de barras bidimensional com um telefone celular: Scan and decode mobile codes http://mobilecodes.nokia.com/scan.htm

  24. Carlos Rocha disse:

    Sugestões simples para auditar o processo eleitoral
    ———————————————————————————
    1. Funcionamento adequado das urnas eletrônicas – Serão definidas, por sorteio, amostras de lotes de urnas, válidas estatisticamente, para a realização de uma eleição controlada, com resultados previamente definidos por um sistema independente. Ao final do dia, o boletim impresso emitido por cada urna será comparado ao documento emitido pelo sistema de auditoria no início do processo.

    2. Validação estatística dos resultados de cada urna: faz-se uma análise estatística dos resultados de cada urna em relação aos resultados das urnas de uma mesma região (zona eleitoral, bairro, município).

    3. Auditoria estatística da totalização, através da impressão em cada boletim de urna dos resultados em Código de Barras em 2D, usando QR Code, por exemplo, cuja imagem pode ser capturada com uma câmera de telefone celular e transmitida a uma central de auditoria independente.

    A Nokia explica como ler o código de barras bidimensional com um telefone celular: Scan and decode mobile codes http://mobilecodes.nokia.com/scan.htm

  25. geber ramalho disse:

    “O problema reside nas urnas (enquanto hard e sistema) ou na impossibilidade de auditoria independente? ”

    As duas coisas. Como profisoinal da área poss aformar que não existe,por definição, um sistema 100% em informática. Logo, é preciso que ele possa ser continuamente auditado de forma que que se corrija erros na medida em que aparecem.

    Sem discutir qual é a mlhor solução para este ou aquele problema, é importante reconhecer o óbvio: uma mesma entidade não pode “normatizar, administrar e auditar” um sistema. É um contrassenso. A auditoria temde ser independente.

  26. geber ramalho disse:

    “O problema reside nas urnas (enquanto hard e sistema) ou na impossibilidade de auditoria independente? ”

    As duas coisas. Como profisoinal da área poss aformar que não existe,por definição, um sistema 100% em informática. Logo, é preciso que ele possa ser continuamente auditado de forma que que se corrija erros na medida em que aparecem.

    Sem discutir qual é a mlhor solução para este ou aquele problema, é importante reconhecer o óbvio: uma mesma entidade não pode “normatizar, administrar e auditar” um sistema. É um contrassenso. A auditoria temde ser independente.

  27. nivea jaketa disse:

    a auditoria tem que ser independente , chega ser ironico pensar o contrario

  28. nivea jaketa disse:

    a auditoria tem que ser independente , chega ser ironico pensar o contrario

  29. Adolfo Neto disse:

    Ron Rivest (http://people.csail.mit.edu/rivest/), em palestra que escutei no meu MP3 Player, fala que em eleições todos podem ser considerados “adversários” do sistema.

    Isto é, todos, inclusive TSE, políticos, eleitores, partidos, etc. devem ser considerados como possíveis fraudadores dos resultados.

    Um bom sistema de votações (não necessariamente eletrônico) tem que ser capaz de prevenir/identificar tentativas de fraudes por parte de qualquer um desses autores.

    Isto acontece no sistema brasileiro? Não. Se o TSE quiser fraudar ninguém conseguirá impedi-lo, pois o sistema não é auditável externamente. Portanto, é um sistema falho que deve ser abandonado.

  30. Adolfo Neto disse:

    Ron Rivest (http://people.csail.mit.edu/rivest/), em palestra que escutei no meu MP3 Player, fala que em eleições todos podem ser considerados “adversários” do sistema.

    Isto é, todos, inclusive TSE, políticos, eleitores, partidos, etc. devem ser considerados como possíveis fraudadores dos resultados.

    Um bom sistema de votações (não necessariamente eletrônico) tem que ser capaz de prevenir/identificar tentativas de fraudes por parte de qualquer um desses autores.

    Isto acontece no sistema brasileiro? Não. Se o TSE quiser fraudar ninguém conseguirá impedi-lo, pois o sistema não é auditável externamente. Portanto, é um sistema falho que deve ser abandonado.

  31. Prezado Sílvio, duas coisas.
    Gostaria de poder reproduzir seu post em meu blog. Se puder, algum procedimento especial?
    Só para lembrar, o que você expôs de forma excelente, o velho Brizola morreu falando. Ele, que quase perde o governo do Rio na fraude do Proconsult/Globo, sabia bem até que ponto se vai nesse país para não perder o poder [depois ele ganhou, mas no melhor estilo lacerdista ‘se tomar posse não deve governar’, a própria Globo iniciou a longa jornada de desgastar a imagem do Rio de Janeiro.
    Um abraço, Cláudio

  32. Prezado Sílvio, duas coisas.
    Gostaria de poder reproduzir seu post em meu blog. Se puder, algum procedimento especial?
    Só para lembrar, o que você expôs de forma excelente, o velho Brizola morreu falando. Ele, que quase perde o governo do Rio na fraude do Proconsult/Globo, sabia bem até que ponto se vai nesse país para não perder o poder [depois ele ganhou, mas no melhor estilo lacerdista ‘se tomar posse não deve governar’, a própria Globo iniciou a longa jornada de desgastar a imagem do Rio de Janeiro.
    Um abraço, Cláudio