De uitslagen van de gemeenteraadsverkiezingen van volgende week woensdag zijn wellicht niet veilig. Het ministerie van Binnenlandse Zaken draaide namelijk stilzwijgend belangrijke veiligheidsmaatregelen terug. Die waren vorig jaar juist genomen naar aanleiding van onderzoek van RTL Nieuws.
Daaruit bleek dat er lekken zaten in de software die wordt gebruikt om stemmen bij elkaar op te tellen. Via de lekken kunnen hackers toegang krijgen tot de uitslagen en deze zo beïnvloeden.
Het probleem dat RTL vorig jaar aan de kaak stelde, leidde ertoe dat alle stemmen niet alleen door de computer werden opgeteld maar ter controle ook met de hand. Dat tellen mocht alleen gebeuren als er minstens nog twee personen bij aanwezig waren.
Stilzwijgend
De huidige minister Kajsa Ollongren draaide die maatregelen echten stilzwijgend terug. Ze stelt dat de gebruikte software inmiddels veilig genoeg is. Alleen de verplichte twee aanwezige controleurs blijven gehandhaafd.
Verder stelt ze dat de computer met telsoftware niet meer aangesloten mag zijn op het internet en dat dat voldoende waarborgen voor veiligheid biedt. Twee jaar geleden, ten tijde van het Oekraïne-referendum werden tellingen gedaan met computers die wel toegang tot internet hadden.
Kritiek
Experts die RTL Nieuws verzocht de software nog eens goed te testen, hekelen echter het standpunt van de minister. “Het is nog steeds slecht beveiligde software,” zegt onafhankelijk expert en ethisch hacker Sijmen Ruwhof op de site van het nieuwsprogramma van RTL. Ruwhof vond bij de test meer dan 50 veiligheidsproblemen. Een bestempelde hij als ‘kritiek’ en tien hadden volgens de ethisch hacker een ‘hoog risico’.
Ruwhof concludeert vooral dat de gebruikte software grote problemen heeft met de integriteitscontrole. Er is geen fraudedetectie en zelfs geen inbraakdetectie. Ruwhof zag in zijn onderzoek dat de meeste kwetsbaarheden die in 2016 waren aangetroffen nog altijd bestaan. Zestien waren gewoon niet verbeterd. Negen aangetroffen kwetsbaarheden zijn slechts deels gerepareerd. Ruwhof stelt dat de broncode zo slecht is geschreven dat hij beter helemaal kan worden afgeschaft.
Een tweede ethische hacker is iets milder in zijn conclusies, maar is niettemin kritisch. Tegen RTL stelt hij dat er een beetje vooruitgang in zit ten opzichte van de versie de ten tijde van het referendum rond de Oekraïne draaide. Probleem is volgens hem nog wel dat gebruik wordt gemaakt van verouderde Java-software. “Dit terwijl van Java bekend is dat als het een gatenkaas is, als je het niet up to date houdt,” stelt hij op de site.
Gonggrijp
Ook ethisch hacker en oprichter van internetprovider XS4all Rop Gonggrijp zegt het schokkend te vinden dat de overheid ondanks eerder incidenten weer vertrouwt op aantoonbaar onveilige software. Gonggrijp was in 2006 oprichter van de actiegroep ‘Wij vertrouwen stemcomputers niet’.
Gonggrijp vindt het onbegrijpelijk dat de problemen van meer dan tien jaar geleden in essentie nog steeds spelen.
De Kiesraad stelt op haar site dat het meeste tellen inmiddels met de hand gebeurt. “In Nederland wordt sinds 2009 (alleen nog) handmatig gestemd,” stelt de Kiesraad in een uitleg op de site. “Ook het tellen van de stemmen in de stembureaus gebeurt handmatig. De uitkomsten van die tellingen worden in persoon, op papier, naar de gemeenten gebracht. Daar kunnen gemeenten software gebruiken om de uitslagen van de stembureaus in te voeren en op basis hiervan de zetelverdeling te berekenen. De meeste gemeenten gebruiken hiervoor Ondersteunende Software Verkiezingen (OSV).”
De Kiesraad heeft inmiddels aan alle gemeenten gevraagd om de uitslagen van de gemeenteraadsverkiezingen op internet te zetten. Nog niet bekend is welke gemeenten daar gehoor aan geven.
De Tweede Kamer heeft naar aanleiding van alle commotie de minister om opheldering gevraagd.
