Beveiligingsrisico’s OSV naar aanleiding van melding opgelost
Eind juni ontving de Kiesraad de melding dat er meerdere kwetsbaarheden zijn gevonden in de module Politieke Partijen van de Ondersteunende Software Verkiezingen (OSV2020). Deze melding werd gedaan door onafhankelijk beveiligingsexpert Maarten Boone van Zerocopter. De geconstateerde risico’s zijn inmiddels door de leverancier opgelost.
De kwetsbaarheden zijn ontdekt in de installer, de software waarmee de software wordt geïnstalleerd op computers. In de installer zijn inloggegevens gevonden van de leverancier. Ook was in de installer het pad te vinden naar de private sleutel op het interne netwerk van de leverancier plus de gebruikersnaam en het wachtwoord hiervan. Deze gevonden kwetsbaarheden samen leveren een risico op voor de integriteit van de software. De kwetsbaarheden zijn verholpen voordat politieke partijen de software konden downloaden ten behoeve van de Tweede Kamer verkiezingen op 22 november.
Voorzitter Kiesraad Wim Kuijken: “De Kiesraad neemt dit soort meldingen zeer serieus. De Kiesraad is Maarten Boone dan ook erkentelijk voor zijn melding. Er is geen indicatie dat dit het functioneren van andere modules van OSV2020 heeft beïnvloed.” Zerocopter heeft hier inmiddels een blogpost over geschreven waarin de meer technische aspecten van deze melding worden beschreven.
De software OSV2020 is ondersteunend aan het verkiezingsproces. In Nederland is het papieren verkiezingsproces leidend. Ook worden de via de software gegenereerde documenten handmatig gecontroleerd. De module Politieke Partijen wordt gebruikt door politieke partijen om hun kandidatenlijsten op te stellen en vervolgens in te dienen bij de Kiesraad. De Kiesraad stelt deze software beschikbaar van zijn website. Partijen zijn niet verplicht gebruik te maken van de software.
Penetratietest OSV2020 -PP HackDefence
De Kiesraad heeft de beveiliging van de software waarmee kandidatenlijsten worden opgesteld, Ondersteunende Software Verkiezingen Politieke Partij, voor de aankomende Tweede Kamerverkiezing ook laten testen door een onafhankelijke partij, HackDefence. Deze organisatie concludeert dat er duidelijk aandacht is besteed aan de veiligheid van de software en is over het geheel genomen positief over de beveiliging van de applicatie. De eerder gevonden kwetsbaarheden doen zich niet meer voor. Wel zijn er drie bevindingen, met risico hoog, midden en laag. De Kiesraad heeft deze drie bevindingen door de leverancier van de software laten oplossen. Lees hier het rapport.