Misschien heeft u er wel wat van mee gekregen, maar de afgelopen tijd is er veel aandacht geweest voor de verkiezingssoftware van de Kiesraad, de instantie verantwoordelijk voor o.a. het vaststellen van de verkiezingsuitslag van de aankomende Tweede Kamerverkiezing. Naar aanleiding van de mogelijke Russische (of toch van de CIA) hacks gedurende de Amerikaanse verkiezingen, is de Nederlandse overheid (minister Plasterk) bang geworden voor een soortgelijk probleem in Nederland. Wat doet de verkiezingssoftware eigenlijk en waarom deugt die volgens sommigen niet?
De verkiezingssoftware, ook wel Ondersteunende Software Verkiezingen (OSV) genoemd, ondersteunt de kandidaatstelling en de berekening en vaststelling van de uitslag. Het berekenen van de totaaluitslag van de verkiezingen verloopt in vier stappen. De eerste stap is de handmatige telling door de stembureaus van de papieren stembiljetten. De uitkomst van deze handmatige telling wordt op papier gezet en overgebracht naar de gemeente. Bij de tweede stap worden alle tellingen van de stembureaus voor de gehele gemeente bij elkaar opgeteld en het resultaat daarvan wordt overgebracht naar de (20) hoofdstembureaus. Daarop volgt de derde stap, waarbij de hoofdstembureaus voor de kieskring het totaal bepalen en dat vervolgens weer overbrengen naar de Kiesraad (centraal stembureau). Als laatste komt de Kiesraad dan met een totaaluitslag voor heel Nederland. De OSV-software werd tot nu toe alleen gebruikt in stap twee tot en met vier.
Afgelopen 30 januari begon de onrust naar aanleiding van een nieuwsbericht van RTL Nieuws, waarin werd gemeld dat onderzoeksjournalisten hadden ontdekt dat de software zo lek was als een mandje en de Kiesraad al 6 jaar op de hoogte was van dit probleem. Dit laatste volgens een masterscriptie uit 2011 van een student van de Radboud Universiteit Nijmegen. Deze oordeelde dat de software verouderd was en dat er onvoldoende validatieprocessen en echtheidskenmerken waren om fraude met verkiezingsuitslagen op te merken. De verkiezingsuitslagen worden namelijk binnen OSV geaggregeerd vastgelegd in een XML-bestand. Na het vaststellen van de uitslag wordt er binnen OSV op de niveaus 2 t/m 4 een proces-verbaal aangemaakt met daarop een (onbeschermde) hashcode van het XML-bestand.
Zowel het proces-verbaal als het XML-bestand werden na vaststelling van de uitslag door één persoon van de gemeente vervoerd naar het hoofdstembureau (en vervolgens weer naar het centraal stembureau) en beide konden volgens de student tussentijds eenvoudig met een tekstverwerker en printer worden gewijzigd. Van het gemanipuleerde XML-bestand kon namelijk een nieuwe hashcode berekend worden. Als deze gemanipuleerde verkiezingsuitslag wordt ingeleverd bij het hoofdstembureau of bij het centraal stembureau zijn er volgens de student onvoldoende middelen om fraude met verkiezingsuitslagen op te merken. Een bijkomend probleem vond hij de beperkte echtheidskenmerken van processen-verbaal, waardoor het voor kwaadwillenden eenvoudig is om gegevens op het proces-verbaal zoals hashcodes en verkiezingsuitslagen te manipuleren.
Het persbericht van RTL Nieuws resulteerde hoofdzakelijk in een onrustige minister van Binnenlandse Zaken, die na vrij recentelijk nog gezegd te hebben dat de verkiezingssoftware niet gehackt kon worden, het gebruik van de software na publicatie van het artikel per direct afkeurde. “Nu er internationaal ook aanwijzingen zijn dat bijvoorbeeld de Russen interesse zouden kunnen hebben in het verkiezingsproces moeten we, even voor de komende verkiezingen, terugvallen op het goede oude papier.” Gemeenten mogen ‘hoogstens een rekenmachine‘ gebruiken bij het tellen van de stemmen, aldus minister Plasterk tegenover RTL Nieuws.
De Kieswet en het Kiesbesluit stellen wel degelijk eisen aan het gebruik van verkiezingssoftware, zo zijn er onder andere in artikel P 1 en P 2 van het Kiesbesluit voorwaarden opgenomen waar het centraal stembureau (de Kiesraad) aan moet voldoen bij het gebruik van software om de uitslag te berekenen. Zo moet de software door een onafhankelijke instantie worden getoetst en wordt de uitkomst van deze toets openbaar gemaakt. Dat is de afgelopen jaren ook meerdere keren gebeurd, zo valt op de website van de Kiesraad te lezen. E.e.a. is verder uitgewerkt in de Kies- en referendumregeling. De ontwikkelingen in Amerika waren voor de Kiesraad reden om Fox-IT, een gerenommeerd cybersecuritybedrijf gespecialiseerd in het voorkomen, onderzoeken en beperken van serieuze cyberdreigingen, te vragen onderzoek te doen naar de veiligheid van OSV. Het onderzoeksrapport is op donderdag 2 maart 2017 aan de Kiesraad aangeboden, die het rapport op 3 maart vervolgens toezond aan de minister van Binnenlandse Zaken en Koninkrijksrelaties en die stuurde het nog diezelfde dag door naar de Tweede Kamer..
Ook dit rapport is uiteraard kritisch over het totale validatieproces. Wel komt Fox-IT met enkele constructieve aanbevelingen om de integriteit van de vaststelling van de verkiezingsuitslag te kunnen waarborgen en objectief controleerbaar te maken:
· Maak papieren processen-verbaal onafhankelijk van OSV. Uit het onderzoek blijkt dat de exclusieve aggregatie van stemtotalen op papier foutgevoelig is en de exclusieve digitale aggregatie van stemtotalen kwetsbaar is voor doelbewuste manipulatie door gesofisticeerde aanvallers. Door separate en onafhankelijke papieren en digitale gegevensstromen te hanteren, in combinatie met een verbetering van de uitgevoerde controles, kan een aggregatieproces worden ingericht dat uitzonderlijk weerbaar is tegen zowel onbedoelde fouten als bewuste manipulaties. Als het niet mogelijk blijkt beide stromen in volledigheid plaats te laten vinden binnen de gestelde (of te stellen) kaders, dan wordt geadviseerd om naast een digitale gegevensstroom ten minste op ieder niveau een onafhankelijke handmatige optelling van stemtotalen op lijstniveau uit te voeren.
· Verhoog de transparantie van het verkiezingsproces. Transparantie is één van de waarborgen waar het verkiezingsproces aan behoort te voldoen. Transparantie kan daarnaast een buitengewoon krachtige maatregel zijn om inbreuken op de integriteit van het verkiezingsproces en de vaststelling van de verkiezingsuitslag te detecteren. Het op een toegankelijke wijze publiceren van de volledige digitale en de papieren gegevensstromen kan daardoor zowel dienen als waarborg voor de integriteit van de verkiezingsuitslag, alsook de beoogde functie van het verkiezingsproces in de democratische rechtstaat borgen.
· Verbeter de beveiliging van de digitale hulpmiddelen. De beveiliging van de gebruikte digitale hulpmiddelen (waaronder OSV) dient verbeterd te worden. Om verbeteringen te realiseren, is een versteviging nodig van de mate van controle over de beveiliging van de gebruikte IT-infrastructuur en systemen. Dit kan onder andere plaatsvinden door hulpmiddelen die veilig zijn ingericht te verstrekken aan ieder stembureau op de verschillende niveaus en door eenduidige en dwingende richtlijnen op te stellen voor het gebruik daarvan. Daarnaast behoort de beveiliging van OSV verbeterd te worden, onder andere wat betreft het leunen op verouderde software, ontoereikende integriteitscontroles en het ontbreken van versleuteling.
· Pas consequent het vier-ogen-principe toe. Op meerdere momenten is het proces dat leidt tot de vaststelling van de verkiezingsuitslag afhankelijk van de handelingen van individuele personen, waarbij het vier-ogen-principe niet consequent wordt toegepast. Dit betreft bijvoorbeeld de wijze waarop gegevens getransporteerd worden alsook de wijze waarop gegevens kunnen worden ingevoerd in OSV. Het verdient aanbeveling om op alle doorslaggevende momenten de handelingen door twee personen uit te laten voeren, of de door één persoon uitgevoerde handelingen door een tweede persoon te laten controleren.
In een brief aan de Tweede Kamer (3 maart 2017) liet minister Plasterk weten dat toch (deels) gebruik kon worden gemaakt van OSV. Gezien de uitkomsten van Fox-IT onderzoek kan volgens de minister wel de rekenfunctie van dat programma door gemeenten als rekenhulpmiddel worden gebruikt. Er gelden echter ‘strikte voorwaarden’ voor het gebruik van het rekenhulpmiddel. Die voorwaarden zijn: gebruik van de rekenhulp alleen op een computer die niet aan internet is aangesloten (stand alone); bij iedere stap controle volgens het vier ogen principe; handmatige invoer van de uitkomsten bij iedere stap; transparantie door inzage in processen-verbaal. Bovendien moet in alle stappen het totaal van de uitgebrachte stemmen per partij handmatig worden uitgerekend.
Hiermee is volgens de minister invulling gegeven aan de afspraken van 14 februari jl. gemaakt met de Kiesraad, de Vereniging van Nederlandse Gemeenten (VNG) en de Nederlandse Vereniging voor Burgerzaken (NVVB): geen gebruik van digitale gegevensdragers bij het overbrengen van de optelresultaten en het papieren proces is leidend.
Minister Plasterk heeft in diezelfde brief aangegeven dat de huidige verkiezingen zullen worden geëvalueerd. Daarmee wordt begonnen zodra de verkiezing van de leden van de Tweede Kamer is gehouden. Het resultaat van deze evaluatie zal onder meer worden betrokken bij de verdere standpuntbepaling over de inzet van programmatuur voor het vaststellen van de uitslag van de verkiezingen. Wellicht dat hierbij dan meteen nagedacht kan worden over reeds bestaande technologie die uitstekend geschikt is voor het verkiezingsproces. Denk bijvoorbeeld aan het beveiligde overheidsnetwerk of beveiligde stemcomputers.
Sommige IT-specialisten denken nu bij zichzelf, hashcode, validatie, manipulatie? Dat klinkt als een probleem voor blockchain technologie. Het huidige verkiezingsproces lijkt in die zin al behoorlijk veel op het blockchain proces. Echter, in plaats van alle blockchaingebruikers (stemgerechtigde) te laten valideren, kiest de overheid ervoor kunnen om de hashcode slecht te verstrekken aan één of twee gemeenteambtenaren. Verstuur je het XML-bestand en proces-verbaal direct via blockchain vanaf het stembureau naar alle burgers in Nederland (en dus ook hoofd en centraal stembureau), dan heb je meteen 16,8 miljoen mensen die kunnen valideren of het resultaat wel of niet gemanipuleerd is. Als ik kijk naar de aanbevelingen van Fox-IT en specifiek naar het aspect transparantie, dan lijkt mij dit een uitermate geschikt systeem voor onze verkiezingsproces. In ieder geval verdient het nadere bestudering.