Zijn misinformatie en fake news niet veel belangrijkere problemen?
Dat zijn inderdaad ook belangrijke problemen, maar een stuk lastiger op te lossen dan de problemen van kwetsbare optelcomputers. Het probleem met optelcomputers is eenvoudig op te lossen en het maakt onze verkiezingen een stuk betrouwbaarder.
Landen als Rusland en China kunnen toch altijd iemand omkopen bij een stembureau?
Waarschijnlijk wel, maar manipulatie in één of enkele stembureaus is relatief kleinschalig en zal nooit tot een zetelverschuiving leiden. Het probleem van hacks is dat ze veel schaalbaarder zijn. Kort gezegd: als één optelcomputer gehackt kan worden, dan kunnen met relatief weinig moeite ook tientallen andere optelcomputers gehackt worden.
Geven jullie nu kwaadwillenden niet juist de munitie om de uitslag van onze verkiezingen in twijfel te trekken?
Goed punt. Hier hebben we onderling veel over gesproken. Doordat we een kwetsbaarheid in de openbaarheid brengen, zou het kunnen dat iemand bij de volgende verkiezingen onrust gaat zaaien door te roepen dat er gehackt is. Aan de andere kant: dit moet gefixt worden. Het is ook geen onbekende kwetsbaarheid. We hebben het probleem in 2017 ook gemeld en toen is het niet (voldoende) opgelost. Met andere woorden, deze informatie is al lang beschikbaar, maar er is weinig mee gedaan. Omdat het hier gaat om een kwetsbaarheid in de kern van het democratische proces, is het belangrijk dat er snel iets verandert - stilhouden is dan geen optie. Daarnaast heeft de overheid nu nog ruim vier maanden de tijd om de voorgestelde maatregelen door te voeren, waardoor de verkiezingsuitslag niet meer te hacken is.
Als we de optelcomputers wegdoen, dan duurt het een stuk langer voor we de uitslag weten?
Optelcomputers zijn prima geschikt om snel de voorlopige uitslag te bereken. Dan weet je nog steeds op de dag na het stemmen wat de zetelverdeling zal zijn. Maar om die uitslag definitief te maken, moet er nog een controle uitgevoerd worden. Aangezien hacken vrijwel onmogelijk wordt gemaakt, zal die eigenlijk altijd dezelfde uitslag geven als de voorlopige. En als dat niet zo is, zou je dat dan niet willen uitzoeken?
Overigens gaat het in Duitsland ook zo. De voorlopige uitslagen worden eerst bekend gemaakt en een paar weken later de definitieve.
Waarom zou iemand het optelproces willen beÏnvloeden?
Als iemand het optelproces wil beïnvloeden gaat het ofwel om de beïnvloeding van de verkiezingsuitslag door de zetelverdeling te veranderen, ofwel om twijfel te zaaien over de betrouwbaarheid van verkiezingen. Voor het zaaien van twijfel zijn relatief weinig, maar goed zichtbare incidenten nodig. Om de zetelverdeling te beïnvloeden moeten voldoende uitslagen gemanipuleerd worden.
Het stemproces vindt decentraal plaats in 10.000 stembureaus. Manipulatie op een enkel stembureauniveau zal niet snel tot zetelwisselingen leiden. Een stembureau vertegenwoordigt namelijk gemiddeld 1.000 stemmen. Om een zetel in het parlement te behalen zijn ongeveer 65.000 stemmen nodig. Manipulatie wordt interessanter als alle stemtotalen bij elkaar opgeteld worden, want dan kan bij grote gemeentes of op Kieskring-niveau wel degelijk met genoeg stemmen geschoven worden om zetels frauduleus te claimen.
Dit is waar hacken een rol kan spelen. De schaalbaarheid van fraude met stemmen is vele malen groter als dit in de software bij het optellen plaatsvindt dan wanneer wordt gefraudeerd in een stembureau.
Wie zouden de optelcomputers kunnen hacken?
Een verkiezing kan kwetsbaar zijn voor manipulatie. Dit wil niet zeggen dat er altijd daadwerkelijk misbruik van wordt gemaakt. Daarvoor moet er ook een dreiging zijn. Deze dreiging kan van meerdere kanten komen. In het geval van de optelcomputers kunnen statelijke actoren en andere organisaties de hardware en software van de computersystemen hacken. Hetzelfde geldt voor de gemeentelijke systeembeheerder. Wat betreft motivatie geldt dat buitenlandse overheden baat kunnen hebben bij het manipuleren van Nederlandse verkiezingen.
Ook kan het in het belang zijn van binnenlandse en buitenlandse actoren om alleen al twijfel te zaaien over de betrouwbaarheid en daarmee de geloofwaardigheid van de verkiezingsuitslag.
De volgende actoren vormen een extra dreiging en risico bij de betrouwbaarheid van de verkiezingsuitslag:
- Frauderende gemeentelijke systeembeheerders
- Vijandige buitenlandse inlichtingendiensten
- Personen die vanuit hun functie toegang hebben tot vergaderruimte waar optelcomputers staan
- OSV-invoerders
- Activisten
- Individuele hackers
- Ervaren hackersgroep
- Optelsoftwareleverancier
Lees de rapportage voor
een uitgebreide toelichting per actor waarom deze de optelsoftware zou willen en kunnen hacken.
Wat is de kans dat iemand onze verkiezingen hackt?
De kans dat onze verkiezingen worden gehackt is klein, maar de impact van zo’n hack is gigantisch. Niet alleen ontstaat dan onrust in de maatschappij, maar ook is het vertrouwen in de democratische processen beschadigd, en waarschijnlijk voor langere tijd.
Bovendien zijn er voorbeelden genoeg van pogingen om verkiezingen te hacken of te beïnvloeden. Een inmiddels bekend voorbeeld is de Russische inmenging en beïnvloeding in de Amerikaanse verkiezingen in 2016 . In 2014 hackte een Russische hackersgroep genaamd CyberBerkut de website van de Oekraïense centrale stemcommissie en wijzigde de uitslagen die later zouden worden gepubliceerd. Ook in 2020 waren volgens Microsoft hackers gelinkt aan Rusland, Iran en China betrokken bij pogingen de Amerikaanse presidentsverkiezingen te beïnvloeden.
Moeten we nu niet gaan twijfelen aan de uitslagen van alle vorige verkiezingen?
In de woorden van Douglas Adams: Don’t Panic. Hoewel we nooit 100% zekerheid zullen hebben, is het onwaarschijnlijk dat onze verkiezingsresultaten in het verleden zijn gemanipuleerd door middel van hacks. We moeten er alleen voor zorgen dat dat in de toekomst ook niet gebeurt.
Wat is de huidige stand van zaken omtrent
OSV2020-U?
De status op 9 november 2020 is als volgt: In opdracht van de Kiesraad voerde HackDefense een beveiligingsonderzoek uit op de veiligheid van de verkiezingssoftware (OSV2020-U). Het rapport dat zij opstelde werd in oktober 2020 openbaar gemaakt. Dit was het derde veiligheidsrapport dat over OSV werd opgesteld. Fox-IT heeft in 2017 en 2019 ook een rapportage geschreven. HackDefense is vrij positief over de veiligheid van de software, maar de evaluatie is niet erg diepgaand en voornamelijk het resultaat van analyses door standaardtools toe te passen op de programmacode zelf en de webomgeving van OSV. Een diepe, handmatige (regel-voor-regel) evaluatie van de veiligheid van de software maakte geen deel uit van de opdracht. Desalniettemin vond HackDefense aanwijzingen voor kwetsbaarheden in functionaliteit die weliswaar momenteel niet gebruikt wordt tijdens Nederlandse verkiezingen, maar wel duidelijk suggereren dat de software als geheel zwakheden bevat.
De broncode van OSV is inmiddels online gezet, maar nog niet in een vorm die het mogelijk maakt om zelf de uitvoerbare optelsoftware te genereren zodat geverifieerd kan worden of de aan de gemeentes beschikbaar gestelde cd-roms overeenkomen met de gepubliceerde broncode.
Hoeveel kost het per gemeente om handmatig op te tellen?
Voor een gemeente als Utrecht zou één ambtenaar met behulp van pen, papier en een (accountants) rekenmachine (geen mobiele telefoon of Excel), bovenstaande controle wel in drie dagen uit moeten kunnen voeren. Het betreft het invoeren van 3.060 getallen uit 180 processen-verbaal op een rekenmachine. De inschatting van drie dagen is overigens geen luxe, en zeker niet als het voor het eerst moet gebeuren. Als Gemeente Utrecht vijf ambtenaren één dag vrijmaakt die alle vijf 20% van de stemtotalen van alle 180 processen-verbaal laat optellen, dan zouden binnen één dag al handmatig alle stemtotalen op partijniveau bij elkaar opgeteld moeten kunnen worden.
Stel dat een medewerker € 400 per dag kost, dan zou het de gemeente Utrecht € 1.200 tot 1.600 kosten om eenmalig alles op te laten tellen. Als de opteller ruim de tijd krijgt voor de klus, zeg vijf dagen, dan kost het ongeveer € 2.000. Er zijn 355 gemeentes in Nederland. Veel kleine gemeentes hebben weinig stembureaus en zijn daarmee ook zo klaar met optellen. Natuurlijk moet je extra tijd rekenen voor het napluizen van mogelijke onregelmatigheden en extra budget voor het regelen van veilige ruimtes, maar voor één tot twee miljoen euro zou de overheid alles wel bij elkaar op moeten kunnen tellen. Het organiseren van een verkiezing kost ongeveer
vijftig miljoen euro per keer.
Hoe kan een computer gehackt worden die niet op internet is aangesloten?
Computers bestaan uit veel onderdelen. Al die onderdelen hebben eigen aansturingssoftware. Inlichtingendiensten hebben mogelijkheden ontdekt om spionagesoftware in de firmware van bijvoorbeeld een moederbord of harde schijf te plaatsen. Het formateren/wissen van een harde schijf helpt daar niet tegen. Omdat verkiezingen niet elk jaar plaatsvinden, hergebruiken gemeentes vaak opnieuw geïnstalleerde computers waar ambtenaren jarenlang mee op internet hebben gewerkt.
Een inlichtingendienst kan maanden van tevoren gemeentecomputers hacken, of heel gericht gemeentelijke systeembeheerders digitaal aanvallen om precies mee te kijken hoe, wanneer en welke computers gebruikt gaan worden in een verkiezing.
Daarnaast geldt in cybersecurity de wetmatigheid dat als iemand fysieke toegang heeft tot een computer, het vrijwel altijd game-over is qua veiligheid. Tenzij onafhankelijke verificatie wordt georganiseerd, zoals de stichting bepleit. Dat betekent dat iedereen die toegang heeft tot de hopelijk afgesloten vergaderruimte waar de verkiezingsopstelling staat, met de computers of het netwerk kan rommelen.
In een grote gemeente kunnen zeven OSV2020-U-invoercomputers gebruikt worden die in een offlinenetwerk met elkaar verbonden zijn. Hiervoor worden niet echt beveiligingsstandaarden of eisen gesteld, noch wordt softwarematig gecontroleerd of besturingssystemen up-to-date zijn, draadloze netwerken uitstaan, etc.
- Er zijn hackgadgets van een paar centimeter groot die een simkaart bevatten . Zo zou iemand met fysieke toegang via 4G toch kunnen inbellen op het air-gapped verkiezingsnetwerk waar de optelsoftware op draait.
- Er zijn hardware keyloggers met simkaart om wachtwoorden te achterhalen.
- Door een hackgadget op het offlinenetwerk aan te sluiten kunnen de computers mogelijk gehackt worden via een zwakheid in het besturingssysteem of OSV2020-U.
- Een aanvaller met meer tijd en zonder medestanders kan de harde schijf uit de computer halen en malware erop zetten of het wachtwoord achterhalen als de harde schijf niet is versleuteld.
- De vergaderruimte zal niet in alle gevallen een sterk slot bevatten en dus zal dit voor een geoefende lockpicker ongezien binnen enkele minuten te openen moeten zijn. Bovendien zal de ruimte in veel gevallen niet 24/7 fysiek bewaakt en bemand worden. Mogelijk wel een ingebouwd alarmsysteem voor als het gebouw op slot gaat 's nachts. Daarnaast zou een gemeente ad-hoc cameratoezicht met alarmfunctie kunnen installeren op eigen initiatief in de vergaderkamer.
Bekijk de ANT catalogus van de NSA voor een veel meer hardware-implantaten die de Amerikaanse-inlichtingendiensten gebruiken om air-gapped netwerken te hacken.
En betere crypto? Of een virusscanner? Blockchain?
Zie hierboven: computers en software bevatten altijd kwetsbaarheden.
Wat vinden andere experts hiervan?
Alle hoogleraren, hackers en experts die we gevraagd hebben (en dat zijn er nogal wat), steunen ons en vinden net als wij dat de huidige situatie niet acceptabel is en dat de uitkomst van optelsoftware geverifieerd moet worden.
Kunnen we niet gewoon met DigiD stemmen?
DigiD is handig voor allerlei doeleinden (zoals belastingaangiftes), maar niet geschikt voor verkiezingen. DigiD geeft je, de naam zegt het al, de mogelijkheid om je te identificeren. Hierdoor wordt een heel belangrijk principe in verkiezingen niet gewaarborgd:
het stemgeheim.
Daarnaast gaat het erom wat er gebeurt binnen de computer wanneer je hebt gestemd en de stemmen moeten worden opgesteld. Geeft de computer de juiste totalen weer, of de totalen die een hacker heeft gemanipuleerd? En hoe kom je daar achter?
