Rapport beveiligingsonderzoek OSV2020 Module U
De Kiesraad heeft de beveiliging van de optelsoftware OSV2020, die wordt gebruikt bij de Tweede Kamerverkiezing van 2023 laten testen door een onafhankelijke partij, HackDefense. HackDefense concludeert dat er duidelijk aandacht is besteed aan de veiligheid van de software en is over het geheel genomen positief over de beveiliging van de applicatie.
Hackdefense heeft geen bevindingen gedaan die een verantwoord gebruik van de software in de weg staan. Er zijn zeven bevindingen gedaan in de categorie “midden” en drie in de categorie “laag”. De Kiesraad prioriteert de bevindingen om deze met de leverancier te gaan oplossen, zoals HackDefense aanbeveelt.
De bevinding dat een standaard wachtwoord in de installatiesoftware staat, is een bevinding die niet direct tot een beveiligingsprobleem leidt. Het gaat om een standaard wachtwoord, dat bij het eerste gebruik direct gewijzigd moet worden. Zonder wijziging van het wachtwoord werkt de software niet.
Wat betreft de bevindingen over de mogelijkheid toegang tot het internet te krijgen, kijkt de Kiesraad op korte termijn met de leverancier naar het aanscherpen van maatregelen om internettoegang uit te sluiten. Gemeenten die OSV2020 gebruiken voor het vaststellen van de uitslag, dienen zich te houden aan de voorwaarden voor gebruik van de software. De software wordt geacht uitsluitend te worden gebruikt in een geïsoleerde omgeving zonder verbinding met andere netwerken en zonder fysieke of logische toegang voor onbevoegden tot de server. Deze vereisten zijn opgenomen in de voorwaarden voor gebruik.