image

Kiesraad overweegt alternatief voor versturen verkiezingssoftware op cd-rom

donderdag 15 juni 2023, 12:37 door Redactie, 12 reacties
Laatst bijgewerkt: 16-06-2023, 15:36

De software die gemeenten, politieke partijen en de waterschappen bij de verkiezingen in Nederland gebruiken wordt nu nog vanwege veiligheidsoverwegingen op cd-roms per post verzonden, maar de Kiesraad kijkt naar een alternatieve distributiemethode. Dat staat in de vandaag verschenen evaluatie van de laatste Provinciale Staten- en waterschapsverkiezingen.

De Ondersteunende Software Verkiezingen 2020 (OSV2020) wordt door politieke partijen, gemeenten en centraal stembureaus gebruikt bij het aanmaken en vaststellen van kandidatenlijsten, het optellen van verkiezingsuitslagen en het berekenen van de zetelverdeling. Gemeenten die OSV2020 gebruiken voor het vaststellen van de uitslag moeten zich aan bepaalde procedures en voorwaarden houden bij het gebruik van de software.

Zo worden de computers gebruikt in een af te sluiten ruimte. En zijn de computers waarop het programma wordt gebruikt niet aangesloten op internet of het gemeentelijk netwerk. Als er een verbinding wordt geconstateerd sluit het programma automatisch af. Het is de bedoeling om OSV2020 door nieuwe verkiezingssoftware te vervangen, maar de softwareleverancier die was gekozen kon dit niet op tijd en met voldoende kwaliteit doen. Daardoor blijft OSV2020 langer in gebruik.

In de vandaag verschenen evaluatie komt ook het gebruik van de software voorbij. Die werd dit jaar relatief laat aangeleverd bij de gemeentelijke stembureaus, de hoofdstembureaus en de centraal stembureaus, namelijk één week voor de dag van stemming. "Dat komt doordat OSV2020 pas volledig ingericht kon worden na vaststelling van de definitieve kandidatenlijsten, en doordat wij vanuit veiligheidsoverwegingen de software op cd-roms per post verzenden", aldus de Kiesraad.

Gemeenten en waterschappen zouden volgens de Kiesraad graag meer tijd krijgen om het gebruik van de software te kunnen testen. Daar komt bij dat niet elke computer tegenwoordig nog geschikt is voor cd-roms. "Wij zoeken in overleg met onze ketenpartners naar verbeteringen", zo staat in de evaluatie. Zo wordt er gekeken naar een stapsgewijze aanlevering van de software, zodat gemeenten en waterschappen al een deel van de software kunnen testen vóór vaststelling van de kandidatenlijsten.

"Ook beraden wij ons op een alternatieve distributiemethode. Het doel hiervan is om de verkiezingssoftware zowel veilig als tijdig aan te leveren", stelt de Kiesraad verder. Wat deze distributiemethode inhoudt staat niet in de evaluatie vermeld. Security.NL heeft de Kiesraad om verdere informatie gevraagd.

Update

"We onderzoeken mogelijkheden om de software op een andere manier te distribueren zodat dit beter aansluit bij de processen van partijen in de uitvoering (zoals gemeenten), waarbij we oog houden voor het waarborgen en kunnen controleren van de integriteit en authenticiteit van de software", zo laat een woordvoerder van de Kiesraad tegenover Security.NL weten.

Reacties (12)
15-06-2023, 14:37 door Anoniem
Encrypted USB stick met wachtwoord via een ander kanaal? Lijkt me zelfs beter dan CD-ROM.
15-06-2023, 14:52 door Anoniem
Het is naar mijn mening absoluut essentieel dat de distributie op een WORM-medium blijft plaatsvinden.

https://en.wikipedia.org/wiki/Write_once_read_many

CD-ROM, DVD of Blueray is misschien ouderwets, maar wel erg moeilijk om te manipuleren omdat het niet herschreven kan worden. Eigenlijk is het gek dat er niet een moderner alternatief bestaat. Uiteraard is niets 100% veilig, maar ik ben wel benieuwd naar het alternatief waaraan gedacht wordt.

Het argument 'geen CD-rom drive beschikbaar' lijkt mij flauwekul, want je kunt nog steeds losse CD-rom drives kopen.
15-06-2023, 14:54 door Anoniem
Politieke partijen gebruiken OSV2020 niet, dat doet alleen de overheid.
15-06-2023, 15:14 door Anoniem
Door Anoniem: Politieke partijen gebruiken OSV2020 niet, dat doet alleen de overheid.

"Het programma OSV2020 is recent technisch vernieuwd en ondersteunt politieke partijen, gemeenten en centraal stembureaus bij het aanmaken en vaststellen van kandidatenlijsten, het optellen van verkiezingsuitslagen en het berekenen van de zetelverdeling.

....

Politieke partijen kunnen hun kandidatenlijsten opstellen en de bijbehorende documenten aanmaken met behulp van OSV2020. Zij leveren de kandidatenlijsten en bijbehorende documenten op papier en digitaal in bij het centraal stembureau. Bij verschillen tussen de papieren en digitale versie van de documenten is het papieren document leidend."

https://www.kiesraad.nl/verkiezingen/osv-en-eml

"Bij de verkiezing voor de Eerste Kamer kunnen politieke partijen en het centraal stembureau gebruikmaken van Ondersteunende Software Verkiezingen (OSV2020)."

https://www.kiesraad.nl/verkiezingen/eerste-kamer/ondersteunende-software-verkiezingen-osv
15-06-2023, 15:37 door Anoniem
Het wordt dus hoogtijd voor WORM usb devices.
USB-PROM.... Oid. Af fabriek eenmalig te beschrijven.
15-06-2023, 17:46 door Anoniem
Door Anoniem: Encrypted USB stick met wachtwoord via een ander kanaal? Lijkt me zelfs beter dan CD-ROM.

Tenzij de organisatie waar je werkt standaard alle usb-poorten blokkeert.

:-)
15-06-2023, 20:07 door Sofie753
Door Anoniem: Het is naar mijn mening absoluut essentieel dat de distributie op een WORM-medium blijft plaatsvinden.

https://en.wikipedia.org/wiki/Write_once_read_many

CD-ROM, DVD of Blueray is misschien ouderwets, maar wel erg moeilijk om te manipuleren omdat het niet herschreven kan worden. Eigenlijk is het gek dat er niet een moderner alternatief bestaat. Uiteraard is niets 100% veilig, maar ik ben wel benieuwd naar het alternatief waaraan gedacht wordt.

Het argument 'geen CD-rom drive beschikbaar' lijkt mij flauwekul, want je kunt nog steeds losse CD-rom drives kopen.

Ergens snap ik je, maar anderzijds denk ik dat de waarde van WORM media ook niet moet worden overschat. Het risico bestaat namelijk ook dat iemand de media (in dit geval cd-rom) onderschept, een kleine aanpassing doet en een nieuwe CD maakt die sprekend/niet te onderscheiden is van het origineel. Beter lijkt me een fatsoenlijke instructie opstellen zodat bij ontvangst wordt gecontroleerd of de inhoud van de ontvangen media overeenkomt met wat het zou moeten zijn. Mbt van een hash kan dat in luttele minuten bepalen. Dan ga je van 'vertrouwen' op de veiligheid van WORM media naar 'controleren'. Een stuk veiliger als je het mij vraagt!
15-06-2023, 21:02 door Anoniem
Door Anoniem: Het is naar mijn mening absoluut essentieel dat de distributie op een WORM-medium blijft plaatsvinden.

https://en.wikipedia.org/wiki/Write_once_read_many

CD-ROM, DVD of Blueray is misschien ouderwets, maar wel erg moeilijk om te manipuleren omdat het niet herschreven kan worden. Eigenlijk is het gek dat er niet een moderner alternatief bestaat. Uiteraard is niets 100% veilig, maar ik ben wel benieuwd naar het alternatief waaraan gedacht wordt.

Dat _het originele_ WORM medium niet gemanipuleerd kan worden is mooi, maar dan verzin je er eigenlijk bij dat je wel een origineel medium kunt herkennen.
Gewoon een gebrande (write once) CD kan ik ook maken.

Een CD persen met een stel hologrammen kan - alleen dan heb je een stuk meer kosten, en stuk langere doorlooptijd tussen definitieve versie inleveren, en distributie.
En zoals beschreven kan die tijd niet heel lang zijn, omdat de definitieve kandidatenlijsten tot kort voor de verkiezingen nog gewijzigd kunnen worden .

"Ook beraden wij ons op een alternatieve distributiemethode. Het doel hiervan is om de verkiezingssoftware zowel veilig als tijdig aan te leveren",

Bij distributie van fysieke media per post is dat best een lastige combinatie.
Zeker het 'tijdig' ,maar ook het 'veilig' . (en, ik zou zeggen : betrouwbaar qua aflevering)

Voor wat betreft je argument 'gewoon een (externe) CD aansluiten' - men zit hier (terecht) in de behoorlijk paranoide stand qua risico's - dan is zomaar een removable device aansluiten (drivertje met auto update van internet ?) niet meteen een optie .
Het is misschien werkbaar te maken, maar niet 'vanzelf' als dat in een meer situatie met meer relaxte eisen.
Zouden ze werken met gestandaardiseerde OS images ?
15-06-2023, 21:28 door Anoniem
Tot voor kort gebruikten de Amerikanen 8 inch floppies voor hun nucleaire raketten. Bron: https://nos.nl/artikel/2107337-nucleaire-wapens-vs-draaien-op-floppy-disks.

Zelf heb ik een aantal jaren terug denk ik mijn laatste spindel met brandbare DVD's gekocht en het is ondertussen ook vrijwel onmogelijk geworden om een computerkast te kopen met een 5 1/4 inch externe drivebay.

Zelf heb ik meerdere S-ATA DVD writers in bezit. Deze gebruik ik ook onregelmatig. Vooral voor bootable images voor linux en als backup. Volgens mij is een gebrande CD/DVD langer houdbaar als een modern flash device. En over een paar jaar bestaat er alleen nog USB C en gebruikt niemand nog USB A. Je ziet het nu al bij laptops waar het zoeken is naar een vrije poort voor een USB A muis.
15-06-2023, 23:27 door Anoniem
Door Anoniem: Het is naar mijn mening absoluut essentieel dat de distributie op een WORM-medium blijft plaatsvinden.
Als de software met een privésleutel van de overheid ondertekend wordt dan hoeft alleen maar de bijbehorende publieke sleutel op een betrouwbare manier verspreid te worden naar de kiesdistricten om zeker te kunnen zijn van de integriteit van de software. Zou PKIOverheid daar misschien een rol in kunnen spelen? Die sleutels kunnen, mits goed beheerd, moeilijker vervalst worden dan een WORM-medium zonder digitale ondertekening.
20-06-2023, 10:59 door Anoniem
Door Anoniem: Tot voor kort gebruikten de Amerikanen 8 inch floppies voor hun nucleaire raketten.

Voor de besturing van de Amerikaanse kernwapens wordt een IBM Series/1-computer van > 40 jaar oud gebruikt.

https://www.security.nl/posting/472479/Hacker%3A+floppydisks+voor+kernwapens+geen+probleem
31-07-2023, 18:08 door Anoniem
Het wordt tijd dat eerst alle ict principes (afgelopen 23 jaar) inclusief eens centraal door de kiesraad worden gepubliceerd! Een seperate website zou hierbij van toegevoegde waarde kunnen zijn.
Als ik het bovenstaande initiatief lees dan het principe air-gapped niet helemaal meer centraal, want door usb of ethernet voor plaatsing van de osv wordt dat hoe je het went of keert doorbroken. CD-Rom is de methode die air-gapped als read-only medium makkelijk verifieerbaar benaderd. Bij usb sticks weet je niet wat er allemaal op partitie niveau aan narigheid buiten beeld kan zijn bijgeplaatst. Je weet dan niet wat de computer na verkiezinggereedmaken allemaal ondergaat. De kans op infecties via s-ata verbinding ed is veel kleiner. Oftewel, dmv cd-rom kan je een computer beter 2 maanden air-gapped houden dan dmv usb-sticks.
Zie ook eisen op pagina 9 over zo veilig mogelijk gebouwde digitale hulpmiddel https://www.kiesraad.nl/binaries/kiesraad/documenten/woo-besluiten/2023/6/16/beoordeling-woo-verzoek-aanbesteding-verkiezingssoftware-deel-2/Plan+van+aanpak+DHV+V1.0.pdf

Bijkomend, als ik pagina 7 van dat PvA erop nasla dan zie ik zero-trust als onwrikbaar principe. Vertrouw geen enkel netwerk
Kijk ik echter bij de kwaliteitsdocumenten die daarna door Bruin zijn gepubliceerd dan zie ik tot mijn dat ze opeens de eis om ip-adressen te gaan white-listen die als uitzondering moeten werken op de in de OSV ingebouwde principe dat de software niet bediend kan worden zodra er een netwerkverbinding wordt gemaakt! Dat is dus alles behalve air-gapped en zero-trust.

Het heeft er dus alle schijn van dat er steeds van bovenaf wordt getoornd aan de hoogste (digitale) verkiezing standaarden. Die worden niet voor niets steeds opnieuw aan de orde gesteld. Het slaat natuurlijk nergens op als je op meerdere van die overduidelijke en logische principes intrepetaties op los gaat laten cq met alternatieve uitleg over borging aan komt zetten.
Voor iets als zero-trust eisen is comply or explain principe bijvoorbeeld ongeschikt.
De inbreuken op dergelijke eisen zoals hier aangehaald kan alleen plaatsvinden met kwaliteitborging die relatief ten opzichte van elkaar(het vaststellen van de uitslag moet van drammende (media?)krachten steeds sneller) wordt uitgelegd in plaats van een doortimmerd geheel van sluitende eisen en invulling daarvan.
Let wel, de eisen die we aan verkiezingen stellen zijn hoog.
Denk aan de wet- en regelgeving, OVSE bevindingen wereldwijd, al die verkiezingwaarnemers en tal van reflecties op verkiezingen.
Dan moeten we qua ICT en kwaliteitsmanagement niet op dergelijke punten de boel niet gaan verwateren.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.