< Nieuwsberichten

9 november 2020

Persbericht: Uitslag Tweede Kamerverkiezingen kwetsbaar voor hackers

Door:
Webmaster

De verkiezingsuitslag van de komende Tweede Kamerverkiezingen in maart 2021 is te manipuleren door hackers en inlichtingendiensten en daardoor kwetsbaar. Dat stellen veertien hoogleraren cybersecurity, en een groep cybersecurity specialisten en ethisch hackers in een brandbrief (pdf). De experts luiden de noodklok en willen dat de minister nog voor de verkiezingen actie onderneemt.

De verkiezingsuitslag van de komende Tweede Kamerverkiezingen in maart 2021 is te manipuleren door hackers en inlichtingendiensten en daardoor kwetsbaar. Dat stellen veertien hoogleraren cybersecurity, en een groep cybersecurity specialisten en ethisch hackers. De experts luiden de noodklok en willen dat de minister nog voor de verkiezingen actie onderneemt.

De betrouwbaarheid en geloofwaardigheid van de verkiezingsuitslag is volgens de experts in het geding, omdat de uitslag blind wordt toevertrouwd aan optelsoftware en er achteraf geen onafhankelijke controle over wordt toegepast. Volgens Herbert Bos, hoogleraar systeembeveiliging aan de Vrije Universiteit Amsterdam zijn de verkiezingen hierdoor te manipuleren:

“Vijandige buitenlandse inlichtingendiensten, waaronder die van Rusland, China, Iran en Noord-Korea, hebben de technische mogelijkheden om Nederlandse gemeentes te hacken. We zien in het buitenland dat inmenging van statelijke actoren in verkiezingsprocessen regelmatig gebeurt.”

Het stemmen in Nederland gebeurt sinds 2009 weer met potlood en papier, omdat stemcomputers gehackt en afgeluisterd kunnen worden. In het stembureau worden alle stemmen handmatig geteld en op het gemeentehuis ingevoerd in een computer met optelsoftware, genaamd Ondersteunende Software Verkiezingen (OSV). OSV telt de stemtotalen per politieke partij en per voorkeurskandidaat van verschillende stembureaus bij elkaar op, en berekent vervolgens de uitslag in een gemeente.

Niet waterdicht
Beveiligingsonderzoeker en ethisch hacker Sijmen Ruwhof toonde ruim drieënhalf jaar geleden aan dat de gebruikte optelsoftware vol beveiligingslekken zat. De Kiesraad huurde toen beveiligingsbedrijf Fox-IT in die de bevindingen bevestigde. Hoewel hij ziet dat er in de afgelopen jaren verbeteringen zijn doorgevoerd, is het grootste probleem echter niet aangepakt:

“De afgelopen jaren is het bewustzijn bij de Kiesraad enorm gestegen dat de optelsoftware onveilig en aan vervanging toe is. De software is inmiddels op allerlei punten wel ietsjes beter beveiligd. Maar nog altijd berekent een computer de definitieve verkiezingsuitslag, zonder dat onafhankelijk wordt gecontroleerd of de software niet gehackt is. Software is altijd te hacken als een aanvaller fysieke toegang heeft tot een computer. Een verkiezingsproces hoort zo weerbaar te zijn dat zelfs de zittende macht niet met de uitslag mag kunnen frauderen.”

Een van de kwetsbaarheden die in de afgelopen jaren is aangepakt, is dat gemeentes nu duidelijk de instructie krijgen dat de computers niet op internet mogen worden aangesloten. De optelsoftware controleert nu voor het eerst of dat ook het geval is. Volgens Bos is dit niet genoeg: 

“Het is voor een land als Rusland niet moeilijk om een paar weken of maanden voor de verkiezingen een aantal pc’s bij gemeentes te hacken. Dan maakt het niet meer uit dat deze niet op het internet staan aangesloten. En anders koop je een systeembeheerder om, of iemand anders die toegang heeft tot de computer.”

Maatregelen
Minister Kajsa Ollongren van Binnenlandse Zaken is verantwoordelijk voor het organiseren van verkiezingen. De rol van gemeenten daarbij is wezenlijk. Zij runnen de tienduizend stembureaus en bepalen de gemeentelijke uitslag. De groep experts wil dat de minister nog voor de komende Tweede Kamer verkiezingen maatregelen neemt om er zeker van te zijn dat de verkiezingen niet kunnen worden gemanipuleerd, waardoor het democratisch proces in gevaar zou kunnen komen.

“Eén van de voorgestelde oplossingen is eigenlijk heel eenvoudig. De minister moet gemeentes gaan opdragen dat ambtenaren op partijniveau zelf handmatig stemtotalen per stembureau bij elkaar gaan optellen. Deze uitslag kan dan vergeleken worden met de door de optelsoftware berekende uitslag. Als beide uitslagen overeenkomen, dan heb je een bijzonder betrouwbaar proces neergezet. De optelsoftware controleert of er geen menselijke optelfouten zijn gemaakt, en andersom wordt gecontroleerd of de optelsoftware niet is gehackt.”

Om dit te realiseren moet volgens Ruwhof ook de Kieswet worden aangepast:

“Gemeentes staan nu onder grote druk om binnen anderhalve dag de uitslag vast te stellen, waardoor er eigenlijk geen tijd is om handmatig stemtotalen bij elkaar op te tellen, en dus wordt alleen software gebruikt hiervoor. Wanneer gemeentes één tot twee dagen extra de tijd krijgen, dan kunnen ze wel alles goed en zorgvuldig handmatig bij elkaar optellen. Beide voorgestelde maatregelen gaan hand in hand.”

Zelfs als handmatig tellen te bewerkelijk wordt gevonden, zijn er andere oplossingen volgens Bos. Sinds 2019 zijn gemeentes verplicht de originele papieren uitslagen van stembureaus in te scannen en op hun website te zetten. Met een kleine uitbreiding zou je hiermee al een krachtig controle mogelijk maken. 

“Presenteer op het web direct naast de gescande papieren ook de uitslagen in digitale vorm en onderteken beide met een digitale handtekening zodat ze niet kunnen worden veranderd. Iedereen kan dan zien dat de cijfers op de webpagina overeenkomen met de uitslagen op de gescande formulieren, ze downloaden en zelf in een spreadsheet optellen. De overheid moet alleen nog regelen dat deze onafhankelijke controle ook daadwerkelijk gebeurt in elke verkiezing.”

Kosten
Het handmatig optellen van stemtotalen hoeft echter helemaal niet veel te geld te kosten volgens Bos: 

“Voor één tot twee miljoen euro zou de overheid wel alles bij elkaar op moeten kunnen tellen. Dat is maar twee tot vier procent van de totale kosten van een verkiezing. We zijn verbaasd dat deze maatregel nooit is genomen.”

Gevolgen
Het frauderen met een verkiezingsuitslag kan in veel opzichten interessant zijn volgens Bos:

“Het zou voor andere landen als Rusland of China interessant kunnen zijn om een politieke partij te bevoordelen die weinig op heeft met de Europese Unie, om het Europese handels- en machtsblok te verzwakken. Of misschien zelfs alleen maar om onrust en verdeeldheid te veroorzaken, door twijfel te zaaien over de betrouwbaarheid van de verkiezingsuitslag. Populisten zouden daar ook mee aan de haal kunnen gaan.”

Om de betrouwbaarheid en geloofwaardigheid van de democratie te behouden heeft Ruwhof de Stichting Tegen Hackbare Verkiezingen opgericht, waar Bos inmiddels medebestuurslid van is: 

“We willen dat Nederland een democratie blijft. Met de stichting luiden we de noodklok om daar aandacht voor te vragen, zodat maatregelen genomen kunnen worden om onze democratie op tijd veilig en robuust te maken.”

D66 en VVD Kamerleden vragen minister om opheldering
D66-Kamerlid Kees Verhoeven wil dat de minister maatregelen neemt:

“Buitenlandse staten hebben hun pijlen al vaker op Nederland gericht, zoals rond het MH17-proces. Risico’s op inmenging in ons verkiezingsproces moeten we kosten wat kost beperken. Digitaal stemmen is nog niet veilig genoeg. Als een extra controletelling met de hand het risico op fraude door computertelling verkleint, dan wil D66 dat dit gebeurt. Onveilige verkiezingen kunnen we hier niet accepteren.”

VVD-Kamerlid Jan Middendorp sluit zich hierbij aan:

''Het is goed dat experts daar nu hun twijfels over uiten. De minister moet de juiste maatregelen treffen, zodat het proces transparant en de uitslag boven alle twijfels verheven is.”

Reactie van Kiesraad
De Kiesraad laat in een reactie aan Stichting Tegen Hackbare Verkiezingen weten:

“De Kiesraad hecht sterk aan een goede procedure voor de vaststelling van betrouwbare uitslagen. Het gebruik van software brengt altijd kwetsbaarheden met zich mee. Daarom wordt de optelsoftware bij elke verkiezing getest op beveiligingsaspecten en steeds verbeterd. Ook gelden er voorwaarden voor het gebruik van de software. De uitslagen worden gepubliceerd en zijn voor iedereen beschikbaar om te controleren. De kans dat een significante fout in de optelsoftware niet wordt gedetecteerd, achten wij zeer klein. Dat neemt niet weg dat wij het raadzaam vinden om deze uitslagen nog (handmatig) te controleren. De Kiesraad heeft dit daarom altijd al gedaan voor de uitslagen die door de Kiesraad als centraal stembureau worden vastgesteld. Het is goed dat die controles ook op het niveau van gemeenten worden gedaan. Bij de herindelingsverkiezingen zal de Kiesraad hen daarin ondersteunen. Mede op basis hiervan wordt bezien hoe die extra controles van gemeentelijke uitslagen ook kunnen worden gedaan bij de Tweede Kamerverkiezing.”

Reactie van Binnenlandse Zaken
Het ministerie van Binnenlandse Zaken laat aan Stichting Tegen Hackbare Verkiezingen weten dat het proces van de uitslagberekening transparant en controleerbaar is. Het ministerie geeft aan dat de Kiesraad recent extern onderzoek heeft laten uitvoeren en dat daar geen grote kwetsbaarheden bij zijn aangetroffen. Er is daarnaast op dit moment een spoedwet in de maak om de termijn voor het vaststellen van de uitslag te verruimen van acht naar dertien dagen vanwege de bijzondere omstandigheden rondom het coronavirus. Het ministerie geeft verder aan dat de Kiesraad bij de eerstvolgende herverdelingsverkiezingen extra controles gaat uitvoeren, en dat op basis daarvan kijkt hoe extra controles bij de Tweede Kamerverkiezingen kunnen worden uitgevoerd.

Hoe werkt het stemproces?
Burgers kunnen hun stem met potlood op papier vastleggen. Aan het eind van de dag worden alle stemmen in het openbaar geteld door stembureauleden. Van deze telling en daarmee stembureau-uitslag wordt een papieren proces-verbaal opgemaakt en ondertekend door de stembureauleden. Deze wordt vervolgens door de stembureauvoorzitter naar een centrale plek gebracht in de gemeente, waar alle stemtotalen per stembureau bij elkaar worden opgeteld.

Daar zit een team klaar die vervolgens alle ontvangen processen-verbaal overtypen in een computerprogramma, genaamd Ondersteunende Software Verkiezingen (OSV2020-U). Als twee personen hetzelfde proces-verbaal exact overtypen (vier-ogen principe) dan worden de stemtotalen van het stembureau definitief in de database opgeslagen. Een paar dagen later drukt een ambtenaar op een knop en OSV2020-U telt alle stemtotalen per partij en voorkeurskandidaat bij elkaar op en rekent vervolgens de uitslag uit. Die wordt geprint en ondertekend door burgemeesters en uiteindelijk de Kiesraad. Als de Tweede Kamer de door de Kiesraad berekende uitslag accepteert, dan wordt de verkiezingsuitslag onherroepelijk.

Het hele onderzoek is hier te lezen.

Websites die over ons onderzoek geschreven hebben:

  1. NOS.nl: 'Extra controle nodig bij stemmen tellen Tweede Kamerverkiezingen'
  2. NPOradio1.nl 09-11-20: 'Kunnen de Nederlandse verkiezingen gehackt worden?'
  3. NPOradio1.nl 12-11-20: 'Als we niet ingrijpen zijn de Tweede Kamerverkiezingen te hacken'
  4. Kiesraad.nl: 'Extra controles op vaststelling uitslagen verkiezingen'
  5. TweedeKamer.nl: 'Plenair verslag Tweede Kamer, 22e vergadering, dinsdag 10 november 2020'
  6. Nu.nl: 'Handmatige controle telsoftware bij herindelingsverkiezingen op 18 november'
  7. Tweakers.net: 'Kiesraad past stemtellingsproces aan vanwege kritiek op verkiezingssoftware'
  8. Security.nl 09-11-20: 'Kiesraad gaat resultaten optelsoftware verkiezingen extra controleren'
  9. Security.nl 11-11-20: 'CDA, SP en VVD wil opheldering over inzet optelsoftware bij verkiezingen'
  10. Security.nl 16-11-20: 'Poll: Een verkiezingsuitslag berekenen met alleen software is onverantwoord en onacceptabel?'
  11. RD.nl: 'Extra controle op uitslag raadsverkiezingen volgende week' 
  12. ND.nl: 'Extra check uitslag raadsverkiezingen'
  13. AGconnect.nl: 'Beveiligingsexperts uiten zorgen over volledig digitale stemmentelling'
  14. ICTmagazine.nl: 'Extra controle nodig bij telling verkiezingsuitslag Kamerverkiezingen'
  15. Gemeente.nu: 'Kiesraad: briefstemmen alleen op aanvraag, extra controles en controleprotocol'
  16. VPNgids.nl: 'Kiesraad gaat extra controles uitvoeren bij verkiezingen na kritiek op OSV'
  17. HartVanNederland.nl: 'Cyberexperts luiden noodklok: uitslag Tweede Kamerverkiezingen kwetsbaar voor hackers'
  18. HartVanNederland.nl: 'Helft Nederlanders is niet bang voor hackers bij Tweede Kamerverkiezingen'
  19. Shownieuws.nl: 'Cyberexperts luiden noodklok: uitslag Tweede Kamerverkiezingen kwetsbaar voor hackers'
  20. CyberCrimeInfo.nl: 'Tweede Kamerverkiezingen 2021 met behulp van "niet" hackbaar OSV systeem?'
  21. DagelijkseStandaard.nl: 'Vergeet Amerika! Experts slaan alarm over gebrekkige veiligheid van Nederlandse verkiezingen'

Stichting Tegen Hackbare Verkiezingen

Bevordert en verdedigt integere, gecontroleerde en transparante verkiezingen in Nederland.
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram