Nog steeds software bij verkiezingen

Verkiezingssoftware

De Tweede Kamerverkiezingen liggen inmiddels alweer zover achter ons dat we bijna zouden vergeten dat we ooit een rood potlood vasthielden. Voor inwoners van een handvol Nederlandse gemeenten vindt volgende week een kleine herhalingsoefening plaats: gemeentelijke herindelingsverkiezingen. Daarbij wordt software gebruikt, net als vorig jaar landelijk, en daar zijn nog steeds zorgen over, net als vorig jaar landelijk. Inmiddels wordt gewerkt aan nieuwe software om de verkiezingen makkelijker te maken, maar experts zijn daar sceptisch over.

Op woensdag vinden in vier dorpen en steden verkiezingen plaats; inwoners kunnen stemmen op de nieuwe samenstelling van de gemeenteraad na de herindeling. Dat gebeurt in Uden, Boxmeer, Heerhugowaard en Purmerend. Het is de eerste Nederlandse verkiezing sinds de Tweede Kamerverkiezingen in maart en waarschijnlijk een van de laatste waarbij de veelbesproken Ondersteunende Software Verkiezingen wordt gebruikt. Tweakers schreef vorig jaar al een achtergrondartikel over die software. Al jaren, ook voor en tijdens de afgelopen verkiezingen, kleven er risico's aan deze digitale stemcomponent. Die risico's zijn er ook in de verkiezingen van woensdag.

FPA_stempotlood_2

Ondersteunende software

We vatten kort samen hoe het ook alweer zat met verkiezingssoftware. De beruchte stemcomputer die we aan het begin van de eeuwwisseling gebruikten, is uitgefaseerd, tot grote vreugde van critici. In plaats daarvan gebruiken we gewoon een rood potlood en een groeiend stembiljet. Die biljetten gaan in een kliko en worden die avond handmatig geteld door een groep stembureauvrijwilligers.

Tot zover verlopen verkiezingen analoog, maar om 21.00 uur op verkiezingsdag komt er alsnog software om de hoek kijken. De resultaten van een stembureau worden namelijk in een computer gestopt, doorgestuurd naar de gemeente en daar vervolgens in een andere computer gezet. Daarvoor wordt een programma genaamd Ondersteunende Software Verkiezingen 2020-U gebruikt, afgekort OSV of OSV2020-U, waarbij '2020' staat voor het jaar waarin deze software is opgeleverd.

Bij eerdere verkiezingen werden oudere versies van het programma ingezet, maar die bleken niet erg veilig. Beveiligingsbedrijf Fox-IT deed een audit op het programma en concludeerde dat 'ondanks de maatregelen die de Kiesraad genomen heeft om technische kwetsbaarheden op te lossen, de indruk bestaat dat de software naar hedendaagse maatstaf onvoldoende is gebaseerd op een proces voor de ontwikkeling van veilige software'. Daarop besloot de Kiesraad de software op termijn te vervangen, maar dat duurt even. Naar verwachting is de opvolger pas in 2023 klaar, ondanks de hoop die al in 2020 te kunnen inzetten. In de tussentijd is daarom OSV2020 gebouwd, een soort tussenoplossing die de belangrijkste problemen uit de OSV oplost.

De 'U' in OSV2020-U staat voor 'Uitslagvaststelling'. OSV2020 heeft namelijk drie onderdelen; naast U zijn dat OSV2020-PP (Politieke Partij) en OSV2020-KS (Kandidaatstelling). Die eerste wordt gebruikt door politieke partijen. Zij kunnen er hun kandidatenlijsten mee opstellen in het juiste formaat. De KS-software wordt gebruikt op stembureaus. Dat is vooral om kandidatenlijsten te kunnen verifiëren. De PP- en KS-pakketten worden niet gebruikt voor het vaststellen van de uitslag. Bij versie U is dat wel het geval.

Nieuwe software

Ondanks het afschaffen van de stemcomputer wordt bij verkiezingen dus nog steeds op grote schaal software gebruikt, zij het wat meer onder de radar. Inmiddels is dat zo ingeburgerd dat de overheid meer en betere wetgeving wil, die specifieker aangeeft wat wel en niet met de software mag. De Kiesraad is nu verantwoordelijk voor het laten ontwikkelen van de software en voor de verspreiding onder gemeenten. Tegelijk staan er in wetten rondom verkiezingen, zoals de Kieswet, weinig concrete regels voor het gebruik van de software. De wetten zijn opgesteld toen floppy's nog veel werden gebruikt en zijn sindsdien met amendementen en toevoegingen aangepast. Daardoor hangt de digitale component van de Kieswet van metaforisch plakband en nietjes aan elkaar. De wet bevat bijvoorbeeld geen specifieke voorschriften voor de beveiliging van de tools of eisen aan de software. Of, zoals de overheid het zelf zegt: "De huidige Kieswet en de daarop gebaseerde regelgeving bevatten een beknopte regeling over de uitslagprogrammatuur."

Kiesraad Dat moet anders, vindt de Rijksoverheid. Geholpen door het feit dat OSV2020 technologisch en beveiligingstechnisch achterhaald is, wordt gewerkt aan een nieuwe, meer allesomvattende wet die specifiek regelt hoe software in de verkiezingen wordt gebruikt. Dat is de Wet Programmatuur Verkiezingsuitslagen. Waar 'Wet' staat, moet je nog 'wetsvoorstel' lezen, want het plan is recent. Deze zomer werd voor het eerst een internetconsultatie geopend over de wet. Inmiddels is die consultatie gesloten. De Tweede Kamer moet het wetsvoorstel nu behandelen, maar het is niet bekend wanneer dat gebeurt.

Het wetsvoorstel moet een paar opvallende zaken regelen. In de eerste plaats moet de Kiesraad officieel 'de beheerder' worden van de software die wordt gebruikt voor het tellen van de stemmen. Daarnaast worden alle stembureaus, zowel de lokale als de gemeentelijke, verplicht de software te gebruiken als de Kiesraad dat eist. Een koppige gemeente kan dus niet besluiten de software niet te gebruiken of een alternatief in te zetten. Met de wet wordt ook de Kiesraad getransformeerd naar de Verkiezingsautoriteit. Die krijgt een aantal nieuwe bevoegdheden, vooral op het gebied van de inzet van software. De software waar het om gaat, is een essentieel onderdeel van de wet, want het gaat niet langer om de OSV die nu wordt gebruikt.

Opvolger

De overheid werkt al een tijd aan een opvolger voor de OSV. Dat wordt niet 'OSV2022' of 'OSV2.0' of iets in die geest, maar een compleet nieuw programma met de naam Digitaal Hulpmiddel Verkiezingen, of DHV. Het is nog niet bekend wie de software gaat ontwikkelen. Dat wordt vastgesteld met een aanbesteding die nu 'in een vergevorderd stadium is', zegt Regine Geleijns van de Kiesraad. Het is ook nog niet bekend hoe de software eruit komt te zien, maar in essentie gaat die hetzelfde doen als de OSV. Er zit echter één fundamenteel verschil tussen de twee pakketten: de OSV is decentraal; het DHV wordt centraal gebruikt en beheerd.

Dat levert allerlei nieuwe beveiligingsrisico's op. Het gebruik van de OSV is, zoals de naam al verklapt, vooral ondersteunend. De software telt resultaten op, maar die worden vervolgens op papier gezet en naar een gemeentekantoor gebracht. De veiligheidseisen van de OSV houden daar ook rekening mee. De software mag bijvoorbeeld alleen worden gebruikt op een airgapped computer. Dat maakt het een stuk moeilijker om op het systeem te komen en bijvoorbeeld met malware te gaan knoeien. Bij het DHV gaat dat anders. In plaats van een fysieke uitdraai naar het gemeentehuis te sturen gaat de uitslag die in het DHV wordt uitgerekend, via internet naar een gemeentelijke computer die al die uitslagen centraal beheert. Die wordt gehost door de Kiesraad zelf.

Stemcomputers zijn al jaren onveilig, maar software wordt alsnog gebruikt bij de verkiezingen.

Bij securityexperts gaan daarbij meteen alarmbellen af, maar volgens de Kiesraad is de centralisatie een bewuste keuze. "Door het decentrale karakter van de OSV is het ook niet mogelijk om het gebruik (centraal) te monitoren", staat in de Memorie van Toelichting van het wetsvoorstel. De Kiesraad erkent dat de switch naar centralisatie problemen kan opleveren. "De centrale ontsluiting lost risico’s (veroorzaakt door het huidige decentrale karakter) op, maar introduceert ook nieuwe risico’s", staat in de brief. In de memorie wordt daarom ook aandacht besteed aan de veiligheid van de software. Daar staat een security operations center centraal dat 'het functioneren en het gebruik van de uitslagprogrammatuur monitort'. Dat soc wordt niet beheerd door de Kiesraad zelf, maar door een derde partij. Wie dat is, is nog niet bekend, maar het wordt hoe dan ook niet de leverancier of de host van de DHV-software.

In de Memorie van Toelichting wordt opgesomd wat het soc precies doet om de veiligheid te garanderen. De meeste dingen lijken vooral reactief; genoemd worden monitoring, logging, een protocol voor het melden van incidenten en rapporteren. De Kiesraad zegt bij navraag dat er echter ook veel preventieve maatregelen worden opgenomen. "Dat zijn onder andere sterke netwerksegmentatie en compartimentering, het toepassen van het vierogenprincipe en het digitaal ondertekenen van resultaten", zegt Geleijns van de Kiesraad. Ook wordt 'de hostingomgeving verstevigd' en wordt overal tweetrapsauthenticatie ingezet.

Een laatste belangrijk beveiligingspunt is dat er alleen een verbinding wordt gelegd met de centrale software via Diginetwerk, een soort intranet voor overheidsdiensten dat wordt beheerd door overheids-ict-dienst Logius.

Beveiligingseisen

De meeste details over de software en specifiek de beveiliging ervan zijn nog niet bekend, omdat die nog verder worden uitgewerkt in de aanbesteding. Ook kan er tussen het wetsvoorstel en de uiteindelijke wettekst nog wat veranderen. Wel zegt Geleijns dat zowel de software als de hostingservers 'voor ingebruikname worden onderworpen aan diverse beveiligingsonderzoeken en pentests', maar de ontwikkeling is nog in een te vroeg stadium voor details.

De software gaat van decentralisatie naar centraal beheerOok op andere gebieden rondom de ontwikkeling ontbreken nog details, maar het ministerie en de Kiesraad noemen wel wat eisen rondom de ontwikkeling. "De beveiligingseisen voor het DHV zijn ontwikkeld aan de hand van zowel een risicoanalyse als verschillende richtlijnen en normen. Dat zijn bijvoorbeeld richtlijnen van het Nationaal Cyber Security Centrum, de baseline informatieveiligheid overheid en secure software-developmentrichtlijnen", zegt Geleijns. "De beveiligingseisen zijn vertaald in eisen en wensen voor de aanbesteding van de programmatuur en hosting. De beveiligingseisen worden in het vervolgtraject van de aanbesteding verder concreet uitgewerkt. Voor de oplevering van het DHV worden beveiligingsonderzoeken uitgevoerd en de beveiligingseisen getoetst. De onderzoeken worden gepubliceerd voordat de software in gebruik wordt genomen."

Uiteindelijk blijft het de Kiesraad, of beter gezegd de toekomstige Verkiezingsautoriteit, die de eindverantwoordelijkheid krijgt voor incidenten die door het security operations center worden opgemerkt. Dat betekent ook dat er bij de Kiesraad flink wat meer technische kennis moet komen. Dat gebeurt ook wel, zegt Geleijns. "Onderdeel van de transitie naar verkiezingsautoriteit is de uitbreiding van de organisatie van de Kiesraad, zodat de Kiesraad over de benodigde kennis beschikt en erop is ingericht om deze taak uit te voeren."

Kritiek

Op de consultatie van het DHV kwamen verschillende reacties. Niet iedereen was even positief over de nieuwe software. Neem de Vereniging van Nederlandse Gemeenten, die samen met de Nederlandse Vereniging voor Burgerzaken een uitgebreid advies schreef als reactie op het plan. Daarin staan kleine punten, zoals de hoop dat de software ruim op tijd beschikbaar komt voor de gemeente die een verkiezing organiseert. Opvallender is dat de VNG wil tornen aan een belangrijk onderdeel van de verkiezingen: de transparantie. De koepelorganisatie wil dat 'het publiek niet wordt toegelaten bij de invoer van gegevens in de uitslagprogrammatuur'. In het wetsvoorstel is opgenomen dat de uitslagen op een 'openbare zitting van het gemeentelijke stembureau' in de software worden gezet. De VNG raadt dat af, maar vooral om praktische redenen. Volgens de vereniging moeten gemeenten voor het invoeren een locatie beschikbaar stellen die 'beveiligd is en de adequate ict-omgeving heeft, met geschikte apparatuur'. "Dit lijkt onverenigbaar met het invoeren van de gegevens in een openbare zitting." Ook noemt de vereniging het invoeren van de resultaten in de software een 'heel secuur werk, waarvoor veel concentratie nodig is'.

Proces versus software

Stichting Hackbare Verkiezingen Andere critici weten nog niet goed wat ze van de plannen moeten vinden. Sijmen Ruwhof van de Stichting Tegen Hackbare Verkiezingen zegt bijvoorbeeld dat de stichting zich nog niet in de exacte plannen heeft verdiept, maar wel sceptisch is over het idee van centralisatie. De stichting was vorig jaar een van de fellere tegenstanders van de inzet van de OSV in het verkiezingsproces. Die kritiek ging niet specifiek over hoe de software werkt, maar over de manier waarop die in het proces werd gebruikt. De kern van het probleem was volgens de stichting dat de software werd gebruikt om te komen tot een definitieve uitslag in plaats van alleen een voorlopige. Met andere woorden: de uitslag die na het handmatig invoeren uit de OSV komt rollen, is meteen de uitslag zoals die wordt geratificeerd door de Kiesraad. De stichting stelt voor om de OSV-resultaten te gebruiken als voorlopige uitslag en dat die pas definitief wordt verklaard na een handmatige controle. "Het probleem is dat de politiek een snelle uitslag eist", zegt securityconsultant Ruwhof, die in het bestuur van de stichting zit, tegen Tweakers. Voor die snelle uitslag is een OSV-uitdraai makkelijker te gebruiken dan wanneer je tienduizend stembureau-uitslagen nog eens extra moet optellen.

In dat opzicht lijkt er met het DHV niet veel veranderd. De software verandert, de Kiesraad verandert, maar het proces blijft grotendeels hetzelfde. In de nieuwe Kieswet wordt niet opgenomen dat de digitale uitslag niet mag worden gevolgd.

Wel heeft de Kiesraad tijdens de verkiezingen in maart een paar veranderingen in het proces doorgevoerd. Zo werd steekproefgewijs gecontroleerd of de uitslagen in een proces-verbaal van een stembureau overeenkwamen met het resultaat dat vanuit OSV2020 was geteld. Dit was een direct gevolg van gesprekken die de Stichting Tegen Hackbare Verkiezingen met de Kiesraad en het ministerie van Binnenlandse Zaken had gevoerd. Hoe vaak is gecontroleerd en wat daarvan de uitslagen waren, is echter niet bekend. Een andere wijziging is dat processen-verbaal voortaan na afloop op de website van de Kiesraad worden gezet. Zo kunnen stembureauleden of burgers die het tellen hebben geobserveerd, na afloop hun uitslagen controleren met wat uiteindelijk bij de Kiesraad is ingediend. Het enige wat nog ontbreekt, zegt Ruwhof, zijn mensen die de resultaten daadwerkelijk verifiëren.

Over de nieuwe DHV-software zelf zegt Ruwhof minder te weten. "De software is gecentraliseerd. Daar ben ik wel sceptisch over, maar aan de andere kant betekent dat wel dat er betere monitoring is."

De duivel zit in de details, en die worden pas bekend als de DHV-aanbesteding rond is en de software tijdens aankomende verkiezingen wordt gebruikt. Waarschijnlijk gebeurt dat nog niet in maart volgend jaar tijdens de gemeenteraadsverkiezingen, maar mogelijk wel tijdens de Provinciale Statenverkiezingen in het jaar erna. Het rode potlood blijft dan, maar hoe de nieuwe software werkt, is de grote onbekende.

IT-banen

Reacties (28)

Skyaero 24 november 2021 08:43

"Hoe vaak is gecontroleerd en wat daarvan de uitslagen waren, is echter niet bekend."

Kijk, en daar zit dus de werkelijke angel in het verhaal. Het gebrek aan transparantie, openheid en open innovatie. Daarmee wordt het geheel steeds lastiger volgbaar, falsificeerbaar en controleerbaar door burgers en (onafhankelijke) derden. En juist dat is de basis van ons democratisch bestel.

In 2020 heeft de Kiesraad een toetsingsrapport laten opstellen over de OSV. Hoewel Tweakers hierover ook rapporteerde en de conclusie van de Kiesraad overnam dat er geen grote kwetsbaarheden te vinden zijn hadden zowel Tweaker-users alsook het toetsingsrapport zelf best wel wat serieuze kritiek.

De code staat vol met FIXME en TODO. Er wordt gecompileerd met een gesloten compiler van Amazon en implementatie van kritische functies is een zodanige puinzooi dat niet te volgen is wat er nu wordt gedaan. Om er eens wat uit te pikken.

En dat telt onze stemmen?

En ook in dit artikel zie je weer dat men ingaat op de symptomen, niet de oorzaak van het probleem: een volledige gebrek aan transparantie en falsifieerbaarheid. Geen observers bij de invoer, geen nacontrole door handmatige telling.

Als, en ik leg de nadruk op als, we een deel van het kiesproces willen digitaliseren/automatiseren, dan moeten de uitgangspunten open, transparant en falsifieerbaarheid zijn. Alle ontwerpbeslissingen die je neemt in het ontwerp, moeten deze uitgangspunten volgen. In het huidige proces zijn deze echter ondergeschikt, waardoor je een enorme puinzooi krijgt.

D_Jeff 24 november 2021 22:27

Iedere freaking keer als het om verkiezingen gaat, krijg ik een pook van mijn Schoonfamilie:
"He wat? Nog steeds naar vaste locaties moeten reizen om vervolgens een vakje in te kleuren. Leven jullie nog in 1980?"

Estiona, ook wel E-stonia genoemd.
Verkiezing? Gaat gewoon online, via een website. Of je nu in Timboektoe, de Rimboe of hier zit -- het maakt niet uit.

Tot zover ik het technische verhaal gezien bestaat dat uit het volgende:
>> Smartcard reader (in verschillende vormen en kleurtjes te verkrijgen) + de ID-kaart (deze is voorzien van een zichtbare chip, vergelijkbaar met de chip op een bankpas)
>> Software: Drivers voor de smartcard reader, software vanuit de overheid die ervoor zorgt dat certificaat chain op orde is (en certificaten worden soms sneller ongeldig verklaart dan de gemiddelde levensduur van een Let's Encrypt certificaat)
>> 3rd factor: Een mobiele telefoon: Mobil-ID of Bank-app als bevestiging van je stem

Het hele proces van een stem uitbrengen duurt ongeveer 15 mins bij een 56kbit/sec verbinding, korter naar gelang de connectie sneller is.
Nog zoiets: In de ochtend je stem uitgebracht, maar in de middag spijt je van je keuze? Sommige verkiezingen staan toe dat je je stem kan aanpassen (max 1 keer)

Auteur

TijsZonderH Nieuwscoördinator @D_Jeff • 25 november 2021 10:27

Het probleem met verkiezingen is dat je twee dingen haaks op elkaar zet: je moet mensen authenticeren als stemgerechtigd en dat ze één stem per keer uitbrengen, maar tegelijk moet je absolute anonimiteit garanderen dus al die identificatie-informatie weggooien.

In Estland gaat dat eerste prima via internet, maar dat betekent wel dat je inlevert op de anonimiteit. Die wordt door dat internetstemmen een stuk minder zeker. In Nederland is het stemgeheim voor 99,99% gewaarborgd, in Estland veel minder.

Online stemmen is technisch gezien relatief makkelijk en misschien ook wel veilig te regelen, maar dan moet je inleveren op het bijbehorende stemgeheim.

PjgV 24 november 2021 11:43

Wat echt belangrijk is: De stembiljetten worden per stembureau nog steeds met de hand geteld (en daar mag het publiek bij zijn).
Daarvan wordt een papieren procesverbaal opgemaakt. Van al die PV's samen wordt dan met de hand een totaalresultaat per gemeente bepaald. En die wordt op papier naar de Kiesraad gestuurd. Daar gaat tijd overheen en dus is er iets bedacht.
Vroeger was het zo dat de voorzitter van een stembureau op vaste tijden een voorlopig resultaat (ik dacht 3x of zo) doorbelde naar de gemeente. Die dat dan weer doorstuurde naar de Kiesraad en vandaar naar de media.
Toen is het OSV bedacht om diezelfde voorlopige informatie wat sneller bij de Kiesraad te krijgen.
Het OSV is en blijft niets anders dan een telhulpmiddel om sneller de eerste resultaten te kunnen publiceren. Dit trouwens vooral op dringend verzoek van de politieke partijen en de media!

Het OSV heeft dus geen enkele invloed op de werkelijk uitgebrachte stemmen. Knoeien met het OSV kan alleen leiden tot andere voorlopige resultaten die dan later alsnog worden rechtgetrokken, dus wat zou het nut daarvan zijn?

Ik snap alle ophef hierover niet zo bi de huidige wetgeving m.b.t. het stemmen.

beascob

@PjgV • 24 november 2021 13:13

23 mei 2019 verkiezingen.
Aan de hand van de uitslag van stembureau 14 in Deventer was dit een van de 3 door de kiesraad na gecontroleerde uitslagen.
Het bleek dat de hertelling op het gemeentehuis fouten bevatte.
Niet de PV van die dag. Ik was blij dat ik als voorzitter een foto van het proces-verbaal kon sturen.
Als stembureau-lid wil ik eigenlijk dat de gemeente naast openbaar maken van de resultaten , in een lijst van de stembureau's , deze per mail toezend , in ieder geval aan de voorzitters van ieder stembureau.
Zo wordt de basis van stemmen, persoonlijk, analoog en transparant gewaarborgd.

kodak

Nederland

@PjgV • 24 november 2021 18:38

Je redenatie over niet blijken van negatieve gevolgen lijkt gebaseerd op de aanname dat er voldoende controle is of de voorlopige digitale uitslag bij de oorspronkelijke gegevens klopt. Maar ik lees nergens bij je mening hoe blijkt dat die controle voldoende is.

Zoals je in het artikel kunt lezen is het uitgangspunt niet perse dat de digitale uitslag slechts voorlopig is.
Dit terwijl de originele handmatige uitslag handmatig omgezet zal zijn in de digitale uitslag, waarbij je niet zomaar uit kan gaan dat er geen fouten gemaakt worden.

Daarbij stelt het artikel nog dat er steekproeven worden gedaan, waarvan niet duidelijk is hoe veel dat er zijn en hoe men met de uitkomsten daarvan omging en hoe dat redelijk was.

Er lijkt (pas?) in 2020 advies aan het CBS te zijn gevraagd naar de betrouwbaarheid van steekproeven. De reactie ging over aannames als er geen fouten waren. Het is bij fouten uiteraard aan de kiesraad om zelf een beslissing te nemen over het representatief zijn van fouten. Neem het voorbeeld van @beascob (fouten bij 1/3 van de stemlokalen) en de keuze hoe daarmee om te gaan kan grote gevolgen hebben.

Skit3000

Nederland

@PjgV • 24 november 2021 12:24

Het OSV heeft dus geen enkele invloed op de werkelijk uitgebrachte stemmen.

Dit was niet helemaal waar. De uitslag die via OSV binnen kwam, werd bijvoorbeeld niet (zelfs niet als steekproef) geverifieerd bij de afzender. Ook andersom werden gemeenten niet gevraagd om de uitslag zoals deze uiteindelijk bij de Kiesraad bekend was, te controleren met hun papieren verbaal. Pas sinds de Tweede Kamerverkiezingen in 2017 werden de papieren verbalen door de gemeenten online gezet zodat *anderen* dit konden controleren. Tot die tijd kon knoeien met OSV dus onopgemerkt blijven.

Gropah 24 november 2021 09:12

Ook wordt 'de hostingomgeving verstevigd' en wordt overal tweetrapsauthenticatie ingezet

Dat is wel ongeveer het minste wat je kunt doen. Als dit zo expliciet vermeld word, dan ben ik er bang voor. Wat niet helpt is dat er nu een single point of failure/attack komt doordat het allemaal gecentraliseerd word.

Ik ben ook benieuwd of ze bij de kiesraad de ballen hebben om de software, zodra af, te laten testen op iets van een blackhat conference of defcon. Dat zou mij een stuk meer vertrouwen geven in het systeem.

Skit3000

Nederland

24 november 2021 10:58

De verkiezingssoftware vanaf een centraal systeem aanbieden lijkt mij voor gebruikers een goede stap. Het vereenvoudigt het doorgeven en berekenen van de uitkomst van verkiezingen enorm. Ook voorkomt het het huidige probleem, waarbij een stembureau de uitslag aan de gemeente doorgeeft, die het weer aan een hoofdkantoor doorgeeft, waar bij elke stap iemand met de cijfers kan knoeien.

Hoe het precies moet gaan werken is nog niet duidelijk, maar je kunt natuurlijk al snel de risico's zien. Wat als iemand (ongeoorloofd) toegang tot deze server krijgt en de uitslag kan aanpassen? Wat als iemand de verbinding tussen een gemeente en de centrale servers afluistert en zo de uitslag aanpast? Etc, etc.

Een oplossing zou zijn dat gemeenten twee verschillende computers moeten gebruiken. Eén die tijdens het gebruik niet aan een netwerk is gekoppeld en waarop de uitslag wordt ingevoerd en deze wordt ondertekend met een speciaal voor die computer afgegeven certificaat. Het resultaat daarvan zou dan uitgeprint moeten worden in een formaat dat zowel door computers te lezen is, als door mensen te controleren (dit kan bijvoorbeeld een serie QR-codes zijn waar in klare tekst de uitslag te lezen is, gevolgd door de digitale handtekening, of door een groot lettertype te gebruiken dat goed via OCR is te lezen), wat ze dan natuurlijk ook moeten doen voor ze verder gaan. De tweede computer leest dit in en haar doel is verder enkel en alleen om deze ondertekende uitslag door te sturen naar de centrale server, al zou deze ook al de handtekening die bij de uitslag zit kunnen controleren.

Hiermee ondervang je dat 1) de computer waar de uitslag op ingevuld wordt, is gemanipuleerd en opzettelijk een onjuiste uitslag naar de centrale server stuurt, 2) de computer die in verbinding staat met de centrale server met de uitslag kan rommelen, 3) dat iemand met controle over de centrale server de individuele uitslagen van gemeenten kan aanpassen.

Gemeenten kunnen de geprinte uitslag archiveren en desnoods publiceren door deze op de deur van het gemeentehuis te prikken. Iedereen kan dan later controleren dat de centrale server inderdaad deze uitslagen heeft gebruikt en niet uitslagen die misschien eerder of later met dezelfde sleutel zijn aangemaakt.

Het enige risico dat over blijft, is dat kwaadwillenden kunnen proberen te dwarsbomen dat de verkiezingsuitslag doorgegeven kan worden. Dat kunnen ze nu ook al doen door de auto van de burgemeester klem te rijden wanneer deze met een usb-stickje naar het hoofdstembureau gaat, maar in digitale vorm wordt het iets makkelijker om dat anoniem en zonder gepakt te worden voor elkaar te krijgen (waarmee het risico voor mensen om dit te doen ook omlaag gaat en je zou verwachten dat meer mensen dit gaan proberen).

CAPSLOCK2000

Nederland
Politiek en recht

24 november 2021 12:51

Hoe vullen jullie je tegenwoordig bij "airgapped" systemen?
In mijn ogen is dat steeds minder goede oplossing. Het principe dat je systeem veilig is als je er niet mee kan communiceren klopt op zich nog wel, maar we zijn van zoveel dingen afhankelijk van het netwerk dat je forse concessies moet doen om een systeem air-gapped te maken.
Neem bijvoorbeeld patches en updates. Zorgen dat alle (security)patches zijn geinstalleerd is toch wel het minimum wat je aan beheer moet doen. Dat is al lastig op een air-gapped systeem. Gelukkig is dat nog oplosbaar omdat er zoveel partijen last van hebben. Maar je moet er wel over nadenken en tijd voor inruimen want zo'n systeem kan niet mee in je reguliere beheer want dat gaat er ongetwijfeld van uit dat je netwerk hebt. De netste oplossing is dat je dan een aparte netwerk hebt met daarin alle benodigde infrastructuur om die systemen te onderhouden, maar in praktijk is dat veel te duur voor kleine partijen zoals en gemeente.
Vaak wordt dan voorgesteld om het systeem online in te richten en pas als alle patches geinstalleerd zijn de kabel er uit te trekken. Dan kan het al te laat zijn. Als je je zorgen maakt over een aanval via het netwerk dan is het risico het grootste voordat de patches zijn geinstalleerd. Misschien is er wel een virus geinstalleerd dat pas actief wordt tijdens de verkiezingen.
En dan is er nog zo iets als doorlooptijd. Je wil niet de avond voor de verkiezing je stemcomputers opnieuw installeren. Als er iets fout gaat heb je geen tijd meer om het op te lossen. Maar je kan ze ook niet 3 maanden van te voren installeren want dan loop je te ver achter op het moment dat we stemmen gaan tellen.
En je moet die systemen iedere verkiezing opnieuw vanaf de grond herinstalleren. Je kan ze niet tussendoor aan internet hangen om patches te installeren.

Dan heb ik het nog niet eens gehad over dat zaken als 'inloggen' en 'rechten controleren' of 'auditting' vaak afhankelijk zijn van het netwerk om soepel te functioneren. In theorie is voor alles een oplossing maar in praktijk kan/wil niemand dat betalen.

[Reactie gewijzigd door CAPSLOCK2000 op 23 juli 2024 08:20]

GekkePrutser 24 november 2021 16:17

"Het probleem is dat de politiek een snelle uitslag eist", zegt securityconsultant Ruwhof, die in het bestuur van de stichting zit, tegen Tweakers.

Diezelfde politiek die er meer dan een half jaar doet om een kabinet te vormen, wil geen nachtje slapen voor de stemmen geteld zijn.

Beetje vreemde prioritisering hier. Handmatig tellen duurt echt niet zo lang en is verifieerbaar. Er is gewoon geen reden om het zo snel te moeten hebben behalve ongeduldigheid. Om de veiligheid van het proces daarvoor op het spel te zetten vind ik een rare keuze.

[Reactie gewijzigd door GekkePrutser op 23 juli 2024 08:20]

Martijn033 @GekkePrutser • 25 november 2021 09:35

Die eis zit 'em natuurlijk vooral in de wens te kunnen juichen op primetime televisie, als jouw partij heeft gewonnen.

WillySis @gepebril • 24 november 2021 09:30

Het artikel gaat volledig over de gebruikte software, maar helaas niet over de totale procedure.
De uiteindelijke, officiële uitslag van de verkiezingen wordt niet op deze softwarematig verzamelde uitslagen bepaald. Na een telling wordt nog steeds een papieren proces-verbaal opgemaakt. Dat wordt ook netjes per post of koerier verzonden. Een afschrift blijft bewaard, samen met alle stembiljetten.
De officiële verkiezingsuitslag wordt pas na 10 tot 14 dagen na de verkiezingen vastgesteld en gepubliceerd. Dan kan men nog steeds bezwaar maken en om een hertelling vragen.
Hoewel de veiligheid van de gebruikte software niet optimaal is, verhoogt deze de zekerheid van een juiste verkiezingsuitslag wel. De uitslagen worden nu op twee verschillende manieren doorgegeven en uiteindelijk worden die ook met elkaar vergeleken. Bij een verschil wordt er een onderzoek ingesteld.

De oude manier waarop de eerste verkiezingsuitslagen werden doorgegeven was net zo gemakkelijk te "hacken". Dat ging namelijk per telefoon, telex of fax. Die resultaten werden dan weer handmatig op lijsten geschreven, of in een computer ingevoerd.

Een scheiding tussen geld en staat gaat er nooit komen. De staat heeft grote sommen geld nodig en heft daarvoor belastingen. Software kan tot minder bureaucratie leiden en zaken kunnen gemakkelijker centraal (goedkoper) worden geregeld. Met centralisatie creëer je ook weer posities met veel meer macht dan voorheen. Corruptie ligt dan wel op de loer, zeker wanneer er geen goede controle is.

Die verregaande centralisatie zonder voldoende controle is voor een deel ook de oorzaak waardoor de belastingdienst kon ontsporen. Door de hoge eisen (die door de politiek zijn opgelegd) heeft men intern regels en werkwijzen op kunnen stellen die niet aan de wet voldeden. Door de centralisatie werden die gelijk over heel Nederland toegepast en was er geen hoger orgaan waar ze eerst goedgekeurd moesten worden. Het ministerie heeft ook te veel vertrouwen in de top van de belastingen gehad en geen goede controle uitgevoerd.

De politiek is nog steeds net zo betrouwbaar als 50 jaar geleden, al zijn er wel een aantal partijen die het vertrouwen in de politiek onderuit proberen te halen. Helaas komen ze niet met concrete voorbeelden en al helemaal niet met voorstellen om zaken te verbeteren.

gepebril @WillySis • 24 november 2021 11:23

Een scheiding tussen geld en staat gaat er nooit komen.

Vroeger was dit de norm en bevatte geld/munten een bepaalde hoeveelheid edelmetalen.
Daarnaast is er nu al één land, El Salvador, waar het al gebeurd is. Meerdere landen hebben al interesse getoond hier in mee te gaan. Dit samen met Greshem's law zal het speelveld snel veranderen.

De politiek is nog steeds net zo betrouwbaar als 50 jaar geleden

50 jaar geleden stond het gezin centraal. Diende je getrouwd en op leeftijd te zijn. Toen was er een arbeiderspartij, een partij met christelijke normen en waarden en een partij voor liberalen. Nu zijn er enkel ESG en non ESG partijen. Als u dat betrouwbaar wil noemen. Dat kan toch geen afspiegeling zijn van de maatschappij? Wel van een perceptie die men ons wil doen geloven. Dus neen, ik ga niet in je stelling mee. Daarnaast werden er wel antwoorden op vragen gegeven in 2de kamer. Niet 3x, lul antwoord en uw beurt is voorbij.

[Reactie gewijzigd door gepebril op 23 juli 2024 08:20]

WillySis @gepebril • 24 november 2021 17:47

De hoeveelheid geld die nu in omloop is heeft een waarde die een veelvoud is van de totale waarde van goud en zilver. Terug naar een gouden standaard is met de huidige internationale handelsvolumes haast niet mogelijk, tenzij de waarde van het goud flink opgewaardeerd wordt.
De monetaire stelsels zijn nu gebaseerd op beurswaarden en vertrouwen. Dat zie ik niet snel veranderen. Alleen in landen met een kleine of slecht lopende economie kan men overschakelen naar een tegenwaarde in edelmetalen. Dat gebeurt meestal om een hyperinflatie te stoppen.

Het politieke systeem is in Nederland niet veranderd. Er zijn alleen veel meer partijen bijgekomen. De partijen voor de arbeiders, christelijken en liberalen bestaan nog steeds. Die partijen zijn alleen zover versnipperd dat bijna elke (sub)groepering een eigen partij in de kamer heeft. Het is een afspiegeling van de bevolking, maar het werkt niet echt goed. De (stem)procedures werken echter nog net zo betrouwbaar als 50 jaar geleden.

Ik schreef dat de kamer mede schuldig is door het stelsel van belastingen en toeslagen met allerhande aanpassingen zeer complex te maken. Over vragen vanuit de kamer heb ik niets opgemerkt. Die vragen zijn er geweest, maar (te) laat en de antwoorden waren op zijn zachts gezegd niet echt volgens de gehele waarheid. Door de gefragmenteerdheid van de tweede kamer is er ook geen partij die echt meer een vuist kan maken tegen de zittende regering. Zelfs een minderheidskabinet kan altijd wel voldoende vriendjes vinden om elke vorm van oppositie dood te slaan.
Die zelfde gefragmenteerdheid maakt dat verkiezingen niet meer het effect hebben dan voorheen.

no_way_today @gepebril • 24 november 2021 07:55

Waar kan ik lezen dat het politieke bestel gehackt is? Of bedoel je de stemsoftware?

[Reactie gewijzigd door no_way_today op 23 juli 2024 08:20]

Skit3000

Nederland

@no_way_today • 24 november 2021 08:45

Er is bij veel mensen het gevoel dat het dezelfde groep politici is die het al jaren voor het zeggen heeft. Dat is in grote lijnen ook zo, maar komt vooral doordat de 'nieuwe' politici zich op extremen richten in plaats van het politieke midden. Dan maak je gewoon minder kans om mee te regeren. Het houdt ook in dat de regering meer afspraken in een regeerakkoord zet want ze willen vooral dingen doen en niet voor elke euro met de hele Tweede Kamer in discussie.

Dat @gepebril er bureaucratie bij haalt begrijp ik niet helemaal en daar kan zij/hij misschien iets meer over vertellen? Dat lijkt mij namelijk niet een één op één gevolg, net als corruptie (behalve persoonlijke financiën van politici zijn vrijwel al hun inkomsten, uitgaven en aanbesteding openbaar).

gepebril 24 november 2021 09:10

Netjes verwoord!

henk717 24 november 2021 17:45

Ik ben hier enkel vertrouwen in zolang de wijziging die FVD voor elkaar gekregen heeft van kracht blijft, ik ben bij de tweedekamer verkiezingen namelijk gaan kijken bij het tellen. Heb daar gezien dat alles in orde was, en een foto gemaakt van de door hun opgeschreven uitslag. Door de wijziging worden standaard die uitslagen op de websites van de gemeentes gepubliceerd en zo kun je dus de schriftelijke tel uitslag zien, maar ook de export vanuit het digitale systeem. En je kunt op die manier dus ook zien dat alles klopt.

Hoe centraler het systeem wordt hoe belangrijker is dat wij dit kunnen controleren als burgers, dus ik vind dat ze in deze wet ook moeten opnemen wat we nu dus al doen om dat te verankeren. Namelijk het publiceren van alle ruwe data zowel de papieren als de computer versie. Op die manier kunnen burgers controleren en alarm slaan als zaken niet kloppen.

Er zijn altijd geruchten dat stem uitslagen gemanipuleerd worden, dat niet elke kiezer even zwaar mee telt en dat ineens statistieken veranderen met een druk op de knop. En centrale software maakt het extreem eenvoudig dergelijke aspecten te implementeren om zo een verkiezing te kapen. Maar de antidote hier voor is dus de volledige transparantie zoals bij de verkiezing de afgelopen keer.

Doordat ik deze informatie had, ik de telling had bijgewoond in mijn eigen stembureau en dit dus voor iedereen makkelijk te controleren was kon ik op social media bewijs leveren dat in ieder geval in mijn buurt de stemmen overeen kwamen met de landelijke uitslag. En op die manier de geruchten dat VVD en D66 door fraude zo groot waren geworden de wereld uit helpen.

Zouden ze in de toekomst een centraal systeem gebruiken zonder dat ik toegang heb tot dergelijke data zou ik er ook zelf absoluut geen vertrouwen meer in hebben. Want in dit geval als een uitslag onwaarschijnlijk lijkt kun je controleren of je stembureau overeen komt met de computer, en kan iemand die echt gemotiveerd is om verkiezingsfraude in de algoritmes op te sporen de data van alle gemeentes in zien en vergelijken met de daadwerkelijke uitslag.

Op die manier omzijl je de kwetsbaarheden van dergelijke software, en zolang dit staande houdt en wij zowel toegang hebben tot de schriftelijke als de digitale data heb ik zelf geen bezwaar dat het centraal en niet per onveilige USB stick gebeurt.

Martijn033 @A87 • 25 november 2021 09:36

Gelooft u dat werkelijk?

A87 @Martijn033 • 25 november 2021 14:06

https://www.ipsos.com/nl-...-hoe-hebben-we-het-gedaan
https://www.ipsos.com/nl-...rkiezing-2021-de-exitpoll

uitslag was al zo'n beetje voor stemmen bekend.
Avond van te voren

[Reactie gewijzigd door A87 op 23 juli 2024 08:20]

Martijn033 @A87 • 26 november 2021 11:42

Dat gaat over exitpolls, oftewel peilingen bij de uitgang van het stemlokaal. Die zijn doorgaans redelijk accuraat. Maar dat is dus niet de avond vantevoren. Dat is de avond van de verkiezingen. En het World Economic Forum heeft er al helemaal niets mee te maken.

Op dit item kan niet meer gereageerd worden.

Verkiezingssoftware

Ondersteunende software

Nieuwe software

Opvolger

Beveiligingseisen

Kritiek

Proces versus software

Lees meer

De overheid versus broncode

Digitaal stemmen kan hier niet

Meer technologie in de verkiezingen

IT-banen

Reacties (28)

Sorteer op:

Weergave: