Beveiligingsbedrijf Fox-IT heeft zijn onderzoek naar de veiligheid van de OSV-verkiezingssoftware gepubliceerd. Daarin concludeert het dat manipulatie van de uitslag tot de mogelijkheden behoorde. In een brief laat minister Plasterk weten de rekenfunctie van de software toch in te zetten.
De Kiesraad heeft vrijdag het uitgevoerde onderzoek gepresenteerd. Daarin schrijft het Nederlandse beveiligingsbedrijf dat 'de in het onderzoek geïdentificeerde technische en procedurele kwetsbaarheden maken dat een manipulatie in potentie ongemerkt plaats kan vinden'. Daarbij is de mate van invloed afhankelijk van de grootte van de stembureaus en kieskringen, maar 'kan aanmerkelijk zijn en tot zetelverschuivingen leiden' in het geval van de kieskringen. De gebrekkigheid van de software, die eind januari al aan het licht kwam, wordt daarmee door het rapport bevestigd. De OSV-software wordt sinds 2009 gebruikt.
Zo kwamen enkele problemen in risicocategorie 'hoog' naar voren. Daaronder valt het gebruik van verouderde software die daardoor kwetsbaar is, waaronder Java 1.6.0_45 en versie 4.2.3 van JBoss. Ook werd de integriteit van de eml-bestanden, met daarin onder andere de stemtotalen, onvoldoende geverifieerd. Zo werden alleen de eerste vier karakters van de hashwaarde gecontroleerd bij het importeren van deze bestanden. Dit maakt het voor een aanvaller eenvoudiger een vervalst bestand aan te leveren. Daarnaast bleek de integriteitscontrole van de OSV-software op cd-rom niet te deugen en was het mogelijk om kwaadaardige code in de software te verbergen.
Fox-IT doet in het rapport enkele aanbevelingen, zoals de verbetering van de beveiliging van de OSV-software, het toepassen van het 'vierogenprincipe' en de verhoging van de transparantie van het verkiezingsproces. In een Kamerbrief laat minister Plasterk weten dat hij kennis heeft genomen van de bevindingen en dat daaruit voort zou vloeien dat 'functionaliteiten van OSV wel bruikbaar zijn als rekenhulpmiddel mits, net als was voorzien voor het gebruik van een spreadsheet als rekenhulpmiddel, gewaarborgd is dat het papieren proces leidend is'. Daarmee komt de minister terug op het eerdere standpunt dat de software helemaal niet gebruikt zou worden.
In aanvulling op het gebruik van de software als rekenhulpmiddel wordt in alle stappen van het telproces het totaal aan stemmen handmatig geteld. Daarnaast gelden de veiligheidsmaatregelen die Plasterk twee weken geleden had aangekondigd, waaronder het werken onder 'vier ogen' en de eis dat de systemen voor de rekenhulpmiddelen niet aan het internet zijn aangesloten. Uit het onderzoek van Fox-IT blijkt op dat punt dat bijvoorbeeld de Kiesraad van een OSV-laptop gebruikmaakte, die onder meer voor updates met het internet werd verbonden.