Op 20 maart 2019 zijn gelijktijdig de Provinciale Staten en Waterschapsverkiezingen. De uitslagen van de Provinciale Staten verkiezingen worden op enig moment tussen 22 en 27 maart bekendgemaakt door de provincies.
Nu twee jaar later na aangetoond te hebben hoe onze verkiezingen gehackt kunnen worden sinds 2009, is óók dit jaar het weer mogelijk om ongezien met de uitslag te frauderen. Gemeenten nemen niet de moeite om de door de onveilige en verouderde optelsoftware berekende verkiezingsuitslag na te rekenen.
Optelsoftware zit vol met beveiligingslekken
In 2017 vond ik tientallen beveiligingslekken in de optelsoftware, wat door meerdere beveilingsonderzoekers bevestigd werd. De Kiesraad heeft cyber-security bedrijf Fox-IT in 2017 gevraagd de optelsoftware te onderzoeken. Fox-IT rapporteerde dat de verkiezingsuitslag gemakkelijk zou kunnen worden gemanipuleerd. Vorig jaar vond ik zelf nog 47 beveiligingslekken in de optelsoftware en processen eromheen. De beveiliging is dit jaar weliswaar iets opgeschroefd, maar volstrekt onvoldoende gezien het huidige dreigingslandschap.
Kiesraad: optelsoftware voldoet niet meer
De Kiesraad is inmiddels wel bewust van de problemen, maar heeft geen directe oplossing voor handen. Dat staat in hun net gepubliceerde jaarverslag over 2018 (pdf). De Kiesraad stelt daarin dat de bijna tien jaar oude optelsoftware (OSV):
- “[..] mede door veranderende inzichten over beïnvloeding van verkiezingen door statelijke actoren aan vervanging toe is. Het beveiligings- en software-concept waarop de OSV-programma’s is gebaseerd, moet dan ook worden herzien. [..]”
Minister Ollongren heeft aangekondigd te streven naar ontwikkeling van nieuwe software in 2021. De Kiesraad stelt daarbij de kanttekening:
- “[..] dat de Kiesraad die nieuwe programmatuur graag al eerder had willen hebben, is het van het grootste belang snel de hiervoor benodigde stappen te zetten. Dat kan de Kiesraad niet alleen. [..]”
Geen compenserende maatregelen
Volgens de Kiesraad en minister Ollongren zullen we het tot die tijd maar met die onveilige optelsoftware moeten doen. Er worden geen compenserende maatregelen genomen.
Oplossing: handmatig stemtotalen optellen
De oplossing ligt voorhanden: gemeentes zullen alle stemtotalen op partijniveau handmatig bij elkaar moeten optellen en deze uitkomst vergelijken met wat de optelsoftware heeft berekend. Zo kan er niet meer gehackt worden, en controleert de software ook of handmatig correct is opgeteld.
In Duitslands vertrouwt men optelsoftware niet om de definitieve uitslag op te baseren. Daar wordt het alleen gebruikt om de voorlopige uitslag te berekenen.
Er is gelukkig nog tijd om alles goed in goede banen te regelen voor komende verkiezingen. De Tweede Kamer moet dan wel snel ingrijpen en minister Ollongren erop aanspreken.
Zelf verkiezingsuitslag narekenen
Tot die tijd kunnen bezorgde burgers en politici sinds dit jaar zelf de processen-verbaal (N10 en N11) downloaden van gemeentesites en controleren of de optelsoftware (OSV) niet gehackt is.
Continue reading →