Como anunciado pelo anterior Ministro da Administração Interna de Portugal, José Luís Carneiro, nas próximas eleições europeias de 9 de junho, os eleitores poderão votar em qualquer uma das 13.500 mesas de voto disponíveis em todo o país, graças à introdução de cadernos eleitorais desmaterializados. Esta medida, que faz parte de um regime excecional aprovado para reduzir a abstenção, elimina a necessidade de inscrição prévia e permite a votação em mobilidade, tanto no território nacional quanto no estrangeiro. A desmaterialização dos cadernos eleitorais envolveu um investimento de 48 milhões de euros e a aquisição de cerca de 29.000 computadores. Mas levanta uma série de questões de cibersegurança e, consequente, de confiabilidade no processo eleitoral.

As eleições europeias, como outros eventos políticos significativos, estão frequentemente sujeitas a riscos cibernéticos, e há preocupações particulares em relação às atividades apoiadas pelo regime de Vladimir Putin na Rússia. Os riscos cibernéticos criados ou potencializados pelo regime russo vão desde:
1. Campanhas de desinformação: A Rússia tem sido frequentemente acusada de utilizar operações de desinformação para influenciar eleições e opiniões públicas em outros países. Estas campanhas visam polarizar debates políticos e semear a desconfiança nas instituições democráticas europeias dando, simultaneamente, força aqueles partidos que no PE melhor representam os interesses russos.
2. Ataques de phishing e spear phishing: Estes ataques visam roubar credenciais de acesso ou instalar malware nos sistemas de indivíduos ou organizações. Em contextos eleitorais, podem ser dirigidos a partidos políticos, candidatos ou mesmo órgãos eleitorais, com o objetivo de roubar informações sensíveis ou manipular resultados. No caso concreto da desmaterialização dos cadernos eleitorais portugueses para as Eleições Europeias de 2024 pode ser atacada a rede, os utilizadores dos 29 mil computadores que estarão nas mesas de voto ou as áreas técnicas que farão serviço de backoffice sejam elas do Ministério da Administração Internet ou das várias empresas de outsourcing e dos técnicos que serão especialmente contratados e treinados para dar apoio a 6 de junho.
3. Ataques a infraestruturas críticas: A Rússia tem capacidades avançadas em cibersegurança e pode tentar ataques contra infraestruturas críticas que suportam processos eleitorais, neste caso poderá atacar as comunicações inundando os servidores de VPN (rede privada da RNSI) com ataques DDoS como aqueles que lançaram a partir de botnet contra diversas empresas portuguesas em março de 2024. Após uma intrusão nesta rede será possível a agentes do regime de Putin adulterar as bases de dados de eleitores consultadas pelas mesas de voto, criando desordem, invalidando resultados e colocando em causa a legitimidade das eleições europeias.
4. Operações de hack and leak: Estas operações envolvem o hacking de sistemas de comunicação ou bases de dados, seguido pela divulgação selectiva de informações privadas ou sensíveis, muitas vezes fora de contexto, para influenciar a opinião pública ou embaraçar adversários políticos. Neste contexto são de menor probabilidade mas podem ser conduzidas para alimentar operações futuras.
5. Interferência via redes sociais: Além de campanhas de desinformação, é provável que estejam já, neste momento, a haver esforços para manipular discussões e tendências em plataformas de redes sociais através de contas falsas ou automatizadas (bots), ampliando mensagens específicas ou fomentando discórdia. Este tipo de operações parecem ser relativamente difíceis de conduzir (actualmente) no facebook mas via dos últimos e diversos relaxamentos no X/twitter podem estar a passar para esta rede social. Neste caso concreto, há que estar atentos a posts e campanhas nas redes sociais que visem diminuir a credibilidade do processo de desmaterialização dos cadernos de voto.

Para enfrentar esses riscos, os países da União Europeia têm trabalhado para reforçar a segurança cibernética e a resiliência dos seus sistemas eleitorais, além de promover a conscientização sobre a desinformação e fortalecer a cooperação entre as agências de inteligência e cibersegurança. A colaboração internacional também é crucial para identificar e responder a ameaças cibernéticas transnacionais.

Segundo o quadro legal que sustenta esta primeira tentativa de desmaterialização dos cadernos:

“2 – Os equipamentos informáticos disponíveis nas mesas de voto para acesso aos cadernos eleitorais desmaterializados são dedicados a esta finalidade e com acesso exclusivo às aplicações e funcionalidades diretamente relacionadas com o processo de votação.”
> E qual será o seu destino findo o acto eleitoral de 6 Junho? Ficarão à guarda de quem e como se garanta que – se forem usados nas próximas eleições – não lhe será introduzido software malicioso?

“3 – As comunicações dos equipamentos informáticos com a base de dados central são asseguradas através de redes privadas virtuais, acesso de dados móveis ou circuitos dedicados ao processo eleitoral.”
> Comunicações portanto, apenas por VPN (?): terão utilizadores locais? Será possível arrancar esses equipamentos com esses utilizadores (via cache accounts?): não é desejável que assim seja mas que o arranque seja feito primeiro pela VPN (no Windows 10/11, as DLLs responsáveis por configurar VPNs durante o processo de boot, antes de carregar o perfil do utilizador, são parte do serviço de “Always On VPN”, proporcionando uma experiência mais integrada e segura).

“4 – É permitida, a pedido do presidente da mesa, a intervenção de um técnico informático de suporte à utilização dos equipamentos eletrónicos que disponibilizam o acesso aos cadernos eleitorais desmaterializados, pelo tempo estritamente indispensável à prestação do apoio solicitado.”
> Como se certifica que o técnico é que este diz efectivamente ser? Este técnico será indirectamente suportado por alguma equipa de 2ª ou 3ª linha?

“6 – As operações de suporte técnico não permitem acesso aos cadernos eleitorais desmaterializados, sendo vedada qualquer operação que interfira com a votação.”
> O que dificulta grande parte das operações de despiste de anomalias.
> Se um dos dois equipamentos (computadores) nas mesas estiver avariado ou, na pior das hipóteses, se ambos estiverem avariados o que há como opções? Aplicar um master clone? O técnico terá esta imagem? E se não ou se a avaria for de hardware quantos equipamentos estão em stock e onde?

“7 – A administração eleitoral da SGMAI implementa um plano de contingência que assegure a continuidade da votação em caso de indisponibilidade pontual do sistema ou dificuldade de acesso por parte das mesas de voto, através de acesso telefónico a um sistema de atendimento automático com o nível de segurança e de funcionalidades equivalentes ao dos cadernos eleitorais desmaterializados, garantindo a gravação da chamada e a identificação do membro da mesa com recurso ao código de credenciação respetivo.”
> Um solução que parece bem pensada mas coloca a questão de saber como se obtêm e garante a segurança dos “códigos de credenciação”: onde estão? Quem os conhece? Como são mantidos e feito os seus resets em caso de perda?

Todo este sistema parece depender da aquisição de 29 mil portáteis (a cerca de 460 euros cada) num investimento total que ascende a mais de 13 milhões de euros. O valor é significativo e levanta algumas questões dado tratarem-se (segundo o caderno de encargos) de computadores portáteis Windows 11:
a) Se o acesso que estas máquinas farão à rede RNSI será através de browser porque não se optaram por Chromebooks ou Laptops correndo Android ou Linux? Haveria poupanças e uma menor superfície de ataque já que a maioria dos exploits e vulnerabidades são, precisamente, sobre o Microsoft Windows.
c) Se estamos perante computadores que pertencem a um Windows Domain (AD) que tipo de GPOs são aplicadas? As portas USB estão habilitadas e, sobretudo, qual é o licenciamento associado e se estas redes estarão segregadas da rede principal onde estão os cadernos eleitorais (estas máquinas parecem, felizmente, aceder a uma réplica desta base de dados e não há base de dados principal).
d) Todo o software: desde o sistema operativo, às aplicações que correm por detrás do acesso via browser e a própria VPN deviam ter em código aberto por forma a poderem ser devidamente auditadas pela comunidade.
e) Os laptos adquiridos permitirão a substituição de bateria se não houver tomadas perto do equipamento ou serão selados impedindo a substituição por não-técnicos? Os técnicos poderão abrir estes equipamentos e substituir os discos por discos adulterados?

Desmaterializar os cadernos eleitorais pode também aumentar os riscos de cibersegurança de várias maneiras:
1. Exfiltração de dados: Dado que os cadernos eleitorais estão digitalizados, há um risco maior de exfiltração de dados pessoais dos eleitores, especialmente se não forem implementadas medidas de segurança adequadas. Não é nítido, nem público, que medidas especiais foram tomadas neste sentido.
2. Manipulação de dados: Hackers podem tentar aceder e manipular os dados dos cadernos eleitorais para alterar os resultados das eleições, adicionando ou removendo eleitores, por exemplo. Há que garantir a consistência em tempo real entre a cópia da bases de dados a ser acedida pelas mesas de votos e a base de dados central.
3. Ataques de negação de serviço (DDoS): Os sistemas de desmaterialização podem ser alvos de ataques de negação de serviço, que visam tornar os serviços indisponíveis para os eleitores no dia da eleição. Isto pode acontecer tanto ao nível da VPN (há uma rede? com redundância, controlo geográfico, balanceamento de carga e, sobretudo, com autenticação por multiplo factor que parece ausente do caderno de encargos: e não devia estar).
4. Ataques de phishing: Os funcionários envolvidos na gestão dos cadernos eleitorais podem ser alvos de ataques de phishing, visando obter acesso não autorizado às suas credenciais de acesso. Isto pode ser prevenido através de campanhas de simulação recorrentes, com formações obrigatórias e eventuais processos disciplinares a recorrentes e com bons antivirus (cuja presença também está ausente do caderno de encargos).
5. Fraude eleitoral: Esta desmaterialização dos cadernos eleitorais pode facilitar a fraude eleitoral, permitindo que os invasores acedam e manipulem os registos eleitorais. Esta é a ameaça mais improvável mas dada a sua gravidade deve ser prevenida pelas formas que mais acima viemos sugerindo, ponto a ponto.

É crucial implementar medidas robustas de segurança cibernética e garantir a conformidade com regulamentações de proteção de dados para mitigar esses riscos. A Iniciativa CpC: Cidadãos pela Cibersegurança acredita que a desmaterialização dos cadernos eleitorais para as eleições europeias em Portugal traz consigo potenciais riscos de cibersegurança que devem ser cuidadosamente considerados e mitigados.

A este respeito e – sobretudo – quanto aos aparentes problemas de incapacidade de lidar com a carga do teste de 1 junho:
https://cidadaospelaciberseguranca.com/2024/06/01/eleicoes-europeias-de-2024-algumas-notas-preliminares-em-actualizacao-pontos-bem-mais-ou-menos-e-mal/