Het Nederlandse kiessysteem, waarbij handmatig ingevulde en getelde stemmen achter de schermen worden opgeteld door software, is zo lek als een mandje. Het zou voor bijvoorbeeld Russische of Chinese hackers dan ook een koud kunstje zijn om de uitslag van de verkiezingen te manipuleren. Dat meldt RTL Nieuws naar aanleiding van onderzoek door beveiligingsexperts en een hoogleraar.
In Nederland worden stemmen handmatig geteld in het stembureau, waarna de resultaten op een onbeveiligde usb-stick worden gezet en ingeleverd bij bij een regiopunt. Een computer telt alle stemmen uiteindelijk bij elkaar op. Hetzelfde geldt voor de uitslagen van de twintig kieskringen en uiteindelijk het centraal stembureau. De software waarmee die stemmen geteld worden is echter sterk verouderd en op allerlei punten lek, zo constateren experts.
Stemcomputers Hacker Rop Gonggrijp legde tien jaar geleden al de kwetsbaarheden van stemcomputers bloot, met als resultaat dat het rode potlood werd heringevoerd. Die onveilige stemcomputers blijken echter te zijn ingeruild voor een computer die stemmen telt, aldus Gonggrijp.
Beveiligingsonderzoeker Sijmen Ruwhof, die de software onderzocht, gaat nog een stap verder:
“De gemiddelde iPad is beter beveiligd dan het Nederlandse verkiezingssysteem.”
Beveiligingsonderzoeker Ger Schinkel noemt de huidige gang van zaken ‘onverantwoord’ en ‘een groot risico voor de democratie’.
Herbert Bos, hoogleraar Systems & Network Security aan de Vrije Universiteit Amsterdam, voegt daaraan toe:
“Als een student dit programma bij mij inlevert krijg hij een hele dikke onvoldoende. Het is dramatisch.”
Malware Het systeem stelt geen eisen aan de computer waarop de OSV (Ondersteunende Software Verkiezingen) draait. Stembureaus krijgen een cd-rom opgestuurd en mogen het programma op wat voor computer ze ook gebruiken installeren. Indien dat een verouderd exemplaar met internetverbinding is, dan is het eenvoudig om – via een internetaanval of onbeveiligde usb-stick – malware te installeren, waarmee hackers de stemresultaten kunnen aanpassen. RTL schrijft:
“De software werkt met een simpele cijferlijst, een soort Excel-bestand, dat tijdens het invoeren tijdelijk wordt opgeslagen. Dit bestand is niet beveiligd en de OSV-software waarschuwt niet als de cijfers worden gemanipuleerd. De uiteindelijke uitdraai van de gefraudeerde resultaten oogt legitiem, ook voor de volgende partij die de resultaten weer inlaadt.”
Plasterk Minister Ronald Plasterk van Binnenlandse Zaken zei vorige week nog dat het stemproces niet te hacken is, D66 wil zo snel mogelijk een debat over de kwestie.
De Kiesraad laat naar aanleiding van bovenstaande weten dat de beveiliging van het OSV-programma door cybersecuritybedrijf Fox-IT wordt onderzocht. Sinds de ingebruikname van de software werd er niet eerder een dergelijk onderzoek uitgevoerd.