Telsoftware voor uitslag verkiezingen weer onveilig
Het ministerie van Binnenlandse Zaken heeft stilzwijgend veiligheidsmaatregelen rond de verkiezingen teruggedraaid. De Tweede Kamer eist opheldering.
Dat blijkt uit onderzoek van RTL Nieuws. De uitslag is daardoor niet veilig, volgens IT-experts. Het gaat om maatregelen die vorig jaar werden genomen, nadat uit onderzoek van RTL Nieuws was gebleken dat de software waarmee stemmen worden opgeteld vol lekken zat. Hackers hebben door de onveilige software de mogelijkheid om de verkiezingsuitslag te beïnvloeden.
Teruggedraaid
Toenmalig minister van Binnenlandse Zaken Ronald Plasterk kwam in actie. Alles wat gebeurde rond het tellen van stemmen moest voortaan in aanwezigheid van minimaal twee personen en alle stemmen werden niet alleen met de computer, maar ook handmatig opgeteld. Die maatregelen draait huidig minister Kajsa Ollongren nu terug.
De gedachte achter die beslissing is dat de nieuwe versie van de software volgens haar voldoende beveiligd is tegen hackers en dat altijd twee mensen betrokken zijn bij de invoer van aantallen stemmen. Bovendien mag de computer met de telsoftware niet meer op het internet aangesloten zijn, wat tijdens het Oekraïne-referendum in 2016 nog wel mocht.
Software niet veilig
Experts die de vernieuwde software op verzoek van RTL Nieuws onderzochten zeggen dat van veiligheid geen sprake is. "Het is nog steeds slecht beveiligde software," zegt onafhankelijk expert en ethisch hacker Sijmen Ruwhof. Hij vond meer dan 50 veiligheidsproblemen (.pdf), waarvan een 'kritiek' en tien met een 'hoog risico'.
Ruwhof vindt het ongelooflijk dat kwaadwillenden in de database van de software stemmenaantallen kunnen invullen. "De software gelooft alles. Er zit geen integriteitscontrole in, geen fraudedetectie en geen inbraakdetectie: de verkiezingssoftware vindt alles prima."
Onvoldoende gedaan
"Er is wel wat vooruitgang geboekt ten opzichte van vorig jaar", zegt ethisch hacker Ger Schinkel. "Maar er had meer kunnen gebeuren, het valt tegen. Het programma gebruikt verouderde Java-software, terwijl van Java bekend is dat als je het een gatenkaas is, als je het niet up to date houdt." Volgens Schinkel zijn de aanbevelingen van Fox-IT onvoldoende opgevolgd.
Nederlands bekendste hacker en oprichter van XS4all Rop Gonggrijp vindt het ‘schokkend’ dat weer op onveilige software wordt vertrouwd. “10 jaar geleden hebben we al aangetoond dat je niet kunt vertrouwen op stemcomputers. 10 jaar later gebeurt het weer. De fouten zijn nog steeds niet gefixed. Het heeft geen urgentie. Dat gaat me echt aan het hart,” zegt Gonggrijp.
En dat computers met de software niet aangesloten mogen zijn op internet, maakt voor het gevaar niet uit, zegt veiligheidsexpert Arjen Kamphuis. "Dat wij op de 21ste verkiezingen hebben, is al een halfjaar bekend. Een slimme aanvaller kan natuurlijk ook alle gemeentecomputers een maand van tevoren hacken, als ze nog wel op internet zijn."
Risico's beperkt
De Kiesraad erkent de kwetsbaarheden, maar is er nog steeds van overtuigd dat de huidige software en maatregelen voldoende zijn om veilige en betrouwbare verkiezingen te organiseren. "We moeten het nu eenmaal met deze software doen en als gemeenten zich aan de richtlijnen houden zijn de risico's beperkt," zegt secretaris-directeur Melle Bakker van de Kiesraad in een reactie (.doc).
Bovendien is gemeenten gevraagd om alle uitslagen online te publiceren. "Oplettende burgers of kandidaten kunnen na de verkiezingen alsnog aan de bel trekken", zegt Bakker. Hij heeft begrip voor het schrappen van het handmatig berekenen van de uitslag. "Dat verliep dramatisch tijdens de vorige verkiezingen. Het moest soms wel vier keer opnieuw, omdat er steeds foutjes werden gemaakt."
Controle achteraf
Omdat handmatig tellen tot extra fouten leidt, wordt volgens een woordvoerder van het ministerie controle achteraf dus mogelijk gemaakt. Mensen die de uitslag willen controleren, krijgen de mogelijkheid om documenten en bestanden na afloop van de verkiezingen op te vragen. Bij het invoeren van de aantallen zijn nog steeds minstens twee personen aanwezig.
Fox-IT wil geen oordeel geven over de genomen maatregelen. "We hebben vorig jaar aanbevelingen gedaan en het is aan de klant wat die er mee doet", zegt een woordvoerder.
Tweede Kamer wil opheldering
De Tweede Kamer eist opheldering van minister Kajsa Ollogren. Regeringspartij CDA wil nog voor het weekend tekst en uitleg van de minister. "Het is onbestaanbaar dat de software een jaar na dato nog steeds niet goed beveiligd is," zegt CDA-Kamerlid Harry van der Molen. "Het beeld dat nu wordt geschetst onderstreept de zorgen die wij al langer hadden. Graag horen wij in hoeverre dit beeld klopt. De gemeenteraadsverkiezingen staan voor de deur. Voor het CDA is het belangrijk dat iedere stem ook daadwerkelijk telt."
Niet alleen het CDA is bezorgd. Ook GroenLinks, SP en D66 willen opheldering. "Voor het vertrouwen van de kiezers in de democratie is het van het grootste belang dat de verkiezingsuitslag op een eerlijk en veilige manier wordt vastgesteld," laat Nevin Özütok van GroenLinks weten.
SP-Kamerlid Ronald van Raak: "Democratie gaat om vertrouwen. We hebben in het verleden niet voor niets ingegrepen en verregaande maatregelen genomen om elke mogelijkheid van hacken en manipuleren van de uitslag te voorkomen. Het is niet goed dat de minister maatregelen terugdraait, zonder de Tweede Kamer daarover te informeren."
Zorgen serieus nemen
D66-Kamerlid Kees Verhoeven zegt dat zijn partij de zorgen van de IT-experts serieus neemt. Het zou volgens hem 'goed zijn als de minister regeert op hun belangrijkste zorgen'. "Elk risico op manipulatie moet worden weggenomen. Veilige verkiezingen zijn in ieders belang dus moeten we het zekere voor het onzekere nemen."
VVD-Kamerlid Sven Koopmans 'vertrouwt erop dat hij de minister goed zorg draagt voor de betrouwbaarheid van de verkiezingen'. "Wel moeten we het systeem verder moderniseren zodat we op termijn elektronisch kunnen stemmen. Uiteraard moet daarvoor de veiligheid onbetwijfeld zijn."
Lees eerder:
Lekke telsoftware verkiezingen geschrapt