Fox-IT rapport: noodzaak nieuwe software

In opdracht van de Kiesraad heeft cyber security bedrijf Fox-IT een onderzoek uitgevoerd naar de beveiliging van de Ondersteunende Software Verkiezingen (OSV). Deze software wordt gebruikt voor de optelling van de stemtotalen en de zetelverdeling, op basis van de op papier uitgebrachte én handmatig getelde stemmen in de stemlokalen.

De veiligheid van het verkiezingsproces is de laatste jaren een steeds groter punt van aandacht en zorg geworden, in het licht van mogelijke manipulatie van stemtotalen door ‘statelijke actoren’ of andere kwaadwillenden. De Kiesraad is zich hiervan bewust en is dan ook al langere tijd voorstander van de ontwikkeling van geheel nieuwe verkiezingssoftware ter ondersteuning van het tellen van de stemtotalen en de berekening van de zetels. De rapportage van Fox-IT is een bevestiging van deze conclusie. De Kiesraad en de minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK) bereiden zich daarom momenteel voor op een geheel herzien digitaal hulpmiddel voor de uitslagberekening. Dat betreft niet alleen de programmatuur en computers waarop dit wordt gebruikt, maar ook: procedures, beheer, wetgeving, alsook eisen.

Context vaststelling uitslag: techniek, instructies én controle

Voor de weerbaarheid van het verkiezingsproces, valt in het rapport van Fox-IT te lezen, is van belang dat gekeken wordt naar de context van de vaststelling van de verkiezingsuitslag: niet alleen techniek, maar ook instructies voor gebruik van OSV, én de mogelijkheid tot controle op en detectie van onverhoopte fouten of manipulaties. Fox-IT concludeert dat de al doorgevoerde aanpassingen van OSV en de overige getroffen maatregelen de waarschijnlijkheid van manipulatie reduceren en de waarschijnlijkheid van detectie van een eventuele manipulatie verhogen. Alles bij elkaar vormt het integrale systeem van vaststelling van de uitslag wat betreft de Kiesraad een verantwoorde basis voor het vaststellen van de uitslag.

Vervanging software

Fox-IT identificeert in het rapport enkele kwetsbaarheden in OSV, en verduidelijkt hoe het verkiezingsproces beter beschermd kan worden tegen eventuele manipulatie van stemtotalen. Geadviseerd wordt om de huidige OSV-oplossing te vervangen vóór de Tweede Kamerverkiezing van 2021. De Kiesraad kan zich hierin vinden, en stemt in met de conclusies en aanbevelingen van het rapport van Fox-IT.

Instructies en overdracht tellingen

Door de Kiesraad alsook het ministerie van Binnenlandse Zaken is ingezet op goede instructies voor veilig gebruik van OSV door gemeenten. Zo is voorgeschreven dat de software draait op computers die niet met het internet zijn verbonden, om externe beïnvloeding te voorkomen, en worden de optellingen separaat door twee personen ingevoerd (‘vier-ogenprincipe’). Alhoewel de digitale overdracht van stemtotalen van de gemeenten naar hoofd- en centrale stembureaus volgens Fox-IT ook voordelen heeft, heeft de minister van BZK net als in 2017 besloten dat er bij de komende verkiezingen geen tellingen meer digitaal worden doorgegeven.

Transparantie en controle

Bij de komende verkiezingen zullen gemeenten de processen-verbaal met de handmatig berekende uitslagen van de stembureaus direct online zetten. Op die manier kan een ieder die dat wil controleren of de optellingen kloppen.