Kiesraad: Huidige verkiezingssoftware moet vervangen worden
De verkiezingssoftware OSV die bij de aankomende gemeenteraadverkiezingen wordt gebruikt is aan vervanging toe, zo stelt de Kiesraad naar aanleiding van een onderzoek dat gisteren door beveiligingsonderzoeker Sijmen Ruwhof openbaar werd gemaakt. Ruwhof publiceerde op zijn blog een analyse van de verkiezingssoftware, waarin verschillende kwetsbaarheden aanwezig zijn.
In totaal zijn er 25 'open beveiligingsrisico's', aldus Ruwhof. Ten opzichte van de vorige beveiligingstest is er niet veel verbeterd, merkt de onderzoeker op. Verder stelt hij dat de verkiezingssoftware gedateerde en onveilige technologie van tien jaar geleden gebruikt en geraffineerde of opportunistische aanvallers de verkiezingsaanslagen waarschijnlijk ongemerkt kunnen beïnvloeden. Ruwhof adviseert in zijn analyse om de uitvoer van de verkiezingssoftware dan ook niet te vertrouwen.
Volgens de Kiesraad verdienen de bevindingen van de onderzoeker nuance en is er geen rekening gehouden met de context waarin de verkiezingssoftware wordt gebruikt. Zo mogen gemeenten OSV uitsluitend installeren op computers die niet zijn verbonden met het internet, om het risico op externe manipulatie tegen te gaan. Daarnaast is OSV ondersteunende software. "In de stembureaus wordt handmatig geteld en het resultaat daarvan wordt neergelegd in papieren processen-verbaal. De inhoud daarvan wordt vervolgens ingevoerd in de computer met behulp van OSV", laat de Kiesraad weten.
De Kiesraad zegt ervan overtuigd te zijn dat gemeenten zich bewust zijn van hun verantwoordelijkheid en zullen handelen conform de door de Kiesraad en de minister van Binnenlandse Zaken aangegeven voorschriften. Het openbaar maken van de stembureau-uitslagen en het beschikbaar stellen van de elektronische bestanden aan wie daar om vraagt moet daarnaast helpen bij de transparantie en het vinden van manipulaties.
"Dit alles neemt niet weg dat de huidige software aan vervanging toe is", merkt de Kiesraad op. "Dat is niet nieuw. De Kiesraad is zich dat zeer wel bewust en is dan ook voorstander van de ontwikkeling van nieuwe verkiezingssoftware, liefst op zo kort mogelijke termijn. Dat proces zal moeten beginnen met het in wet- en regelgeving formuleren van nieuwe, scherpere eisen waaraan de software zal moeten voldoen. Hiervoor zijn nu als eerste regering en parlement aan zet."
Afsluitend stelt de Kiesraad dat bij de komende gemeenteraadsverkiezing en het raadgevend referendum de uitslag niet digitaal wordt overdragen. De Kiesraad zelf zal de definitieve uitslag van het referendum ook handmatig vaststellen. "Al met al is de Kiesraad van oordeel dat het gebruik van OSV bij de komende raadsverkiezingen en bij het raadgevend referendum verantwoord is. Kijkend naar de context waarin OSV in de praktijk door gemeenten wordt gebruikt, zijn de risico's klein en beheersbaar."
Het kan inderdaad beter, het kan altijd beter. Maar voor mij lijkt het erop dat Sijmen alleen maar kwetsbaarheden of zwakheden wil zien en niet de risico's (kans maal impact) en tegenmaatregelen die er wel zijn in het proces. Dus voor mij is het pure stemmingmakerij, hou er nou eens over op en ga op een andere manier inzet regelen voor je eigen bedrijfje.
Ik geef de kiesraad geen ongelijk voor het standpunt dat het tijd is voor wat nieuws, maar dan wel graag op goede argumenten, en niet door de verwijzen naar dat suggestieve rapport van Sijmen.
Ik denk dat Sijmen dat oplevert, waar de Kiesraad, als opdrachtgever, om vraagt (wat vrij logisch is). Verder heb jij toegang tot het *publieke* rapport. Terwijl er ongetwijfeld ook nog een uitgebreider *confidential* rapport is, voor de opdrachtgever. Sommige zaken wil je niet publiek maken, omdat je het criminelen anders wel heel gemakkelijk maakt.
Blame the messenger ?
Jij verwijt het dus dat hij, in opdracht van de Kiesraad, de software van de Kiesraad heeft onderzocht ? Deze publicatie is verder hoe dan ook besproken met de Kiesraad; indien dit niet het geval zou zijn, dan zou hij namelijk aangeklaagt worden voor schending van de geheimshoudings overeenkomst.
Ben je spijkers op laag water aan het zoeken ?
Het kan inderdaad beter, het kan altijd beter. Maar voor mij lijkt het erop dat Sijmen alleen maar kwetsbaarheden of zwakheden wil zien en niet de risico's (kans maal impact) en tegenmaatregelen die er wel zijn in het proces. Dus voor mij is het pure stemmingmakerij, hou er nou eens over op en ga op een andere manier inzet regelen voor je eigen bedrijfje.
Ik geef de kiesraad geen ongelijk voor het standpunt dat het tijd is voor wat nieuws, maar dan wel graag op goede argumenten, en niet door de verwijzen naar dat suggestieve rapport van Sijmen.
Een van de punten van kritiek is juist de check and balances. Er wordt volledig geleund op de betrouwbaarheid van de uitkomst in OSV. ("The printed election result becomes official and trusted ‘paper that is in the lead’. It will not be manually validated by civil servants as OSV is trusted to be unhackable again.")
Als ik de critical en high risks in het rapport naast de oordeelsvorming over de IT beveiliging van een willekeurige gemeente leg (https://www.rijnmond.nl/nieuws/153656/Rapport-Rekenkamer-veegt-vloer-aan-met-gemeentelijke-ICT-beveiliging) kun je niet stellen dat de kans nihil is.
Sterker nog, wat te denken van volgend risk: "The file \jboss-4.2.3.GA\server\osv\deploy\derby-ds.xml on the OSV server contains the database login credentials of the Derby database server that is used by OSV P4 and P5:"
Ik wil het niet promoten, maar een uitgelezen kans voor wanabee hackers om eens op onderzoek uit te gaan.
Of dat je dan dus die roedel "coders" moet meerekenen in je onderhoudskosten, wat betekent dat je jaarlijkse ontwikkelkosten gelijk gaan zijn aan je onderhoudskosten. Waarna daarop toch weer bezuinigd gaat worden want het is wel erg veel geld, en vervolgens blijken er lekken ongepatcht te blijven. Goh. Leer ons middle management kennen.
Vergelijk de argumenten tegen de stemcomputer, die nog steeds onweerlegd zijn want op vergelijkbare manier onweerlegbaar. En de uitspraak van het Duitse constitutionele hof dat een vergelijkbare conclusie trok. Je zou zeggen, daarmee is de kous wel af, maar niet voor de Nederlandse overheid. Als je zo hard niet leren wil.... Tsja.
Goed zo, je hebt het dus wel begrepen. Daar gaat het om bij beveiliging.
Je moet niet zo emotioneel reageren en kijken naar de feiten.
'Meester, er zijn weer kritische geluiden over de software. Vrij technisch rapportje met veel rode en paarsen kleurtjes.'
'Gewaardeerde confrère, waar stond in de wet dat de software veilig moest zijn? En wat is veilig?'
'De kritiek wekt de indruk dat er te vermijden risico is op manipulatie van de uitslag.'
'Zolang onze voorschriften aan de wet voldoen gaan we niets aanpassen. Reageer maar dat de wet moet veranderen als ze andere software willen.'
'Fair. Maar dan ligt het over een paar jaar weer aan ons als we die wet volgen. Onze lijn is om dat bij te sturen naar de gemeenten.'
'Ach waarachtig, glad vergeten door al dat technische security gezeur waar ik niets van snap. Juist, de gemeenten. Fijne plannen om de kiezers betrokken te houden maar door die makkelijke software komt de kritiek bij ons. Blijf uitleggen dat de gemeenten verantwoordelijk zijn om de procedures te volgen.'
'Alsof ze dat doen.'
'Dat is niet ons probleem maar het probleem voor de kiezers die kritiek hebben. Moeten ze maar beter opletten als de telling met de software gaat en niet met de pen.'
Het is niets meer dan een veredelde Excelsheet. Alles komt aan op de integriteit van degene achter de pc.
Single point of failure is dus menselijk en geen standalone computer die toch al (lokaal) te hacken is of met een hardware usb plug / gemodificeerd keyboard of muis met WiFi of Bluetooth module. Dat hebben ze niet gechecked........
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
