Dat heeft minister Ronald Plasterk (Binnenlandse Zaken) vrijdagmiddag geschreven in een brief aan de Tweede Kamer. In eerste instantie werd besloten dat de software niet zou worden gebruikt, nadat RTL Nieuws had onthuld dat er grote beveiligingslekken in zaten.
Beveiligingsbureau Fox-IT deed in opdracht van het ministerie onderzoek naar de software en concludeert in een rapport van 90 pagina’s dat er inderdaad forse beveiligingsproblemen aanwezig waren in de Ondersteunende Software Verkiezingen (OSV).
Zo wordt er geen beveiligde verbinding gebruikt, worden wachtwoorden onveilig opgeslagen, wordt onvoldoende gecontroleerd of de gebruikte bestanden ongemanipuleerd zijn en worden “verschillende gangbare maatregelen die te maken hebben met beveiligingshygiëne” niet ingezet. Ook vertrouwt het programma op verouderde versies van de softwarepakketten Java en Jboss, die hun eigen kwetsbaarheden met zich mee kunnen brengen.
Rekenhulpmiddel
Toch denkt Plasterk dat de OSV nog kan worden gebruikt als “rekenhulpmiddel” bij de verkiezingen, naast een papieren telling. Daarbij moet het papieren proces wel leidend zijn, zegt de minister. Ook moet elke stap worden gecheckt door minstens twee mensen, om fouten en manipulatie te voorkomen.
Volgens ethisch hacker Sijmen Ruwhof, die samen met RTL Nieuws aan het licht bracht dat de software niet veilig is, toont de Kiesraad hiermee aan geen backupplan te hebben. “Ze zeggen wel dat het papieren proces leidend is, maar dat blijkt dus niet te kloppen. Gemeenten en Kiesraad hebben geen idee wat ze moeten doen als de software wegvalt.”
De software is volgens Ruwhof prima te gebruiken, maar alleen ter controle. “Als Plasterk bedoelt dat OSV gebruikt wordt om de resultaten van het papieren telproces te controleren, dan is dat prima. Ik zou zeggen: doen. Maar de software moet op geen enkel moment leidend zijn.”
Vorige maand stelde Plasterk dat gemeenten wel gebruik zouden mogen maken van spreadsheets om uitslagen bij elkaar op te tellen, maar dat de speciale verkiezingssoftware buiten gebruik zou blijven. Vrijdag schrijft Plasterk dat het gebruik van Excel-spreadsheets eigen problemen met zich meebrengt, omdat gemeenten die zelf moeten opstellen en daar fouten bij gemaakt kunnen worden.
Internet
De computers die worden gebruikt als rekenhulpmiddel mogen niet verbonden zijn met internet. Ook wordt geen gebruik meer gemaakt van USB-sticks om stemmentellingen over te brengen. Elke keer dat ze worden doorgegeven, moeten ze handmatig opnieuw worden ingevuld.
Er worden ook stappen gemaakt om de telling transparanter te maken. De processen-verbaal van alle stembureaus zullen bij gemeentes in te zien zijn, en de processen-verbaal van hoofdstembureaus en het centraal stembureau worden ook op internet gepubliceerd.
In het rapport adviseert Fox-IT om de beveiliging van OSV en andere digitale hulpmiddelen te verbeteren. Plasterk schrijft in zijn brief niet of en wanneer dat zal gebeuren. Volgens de onderzoekers moet de overheid meer controle krijgen over de computers en IT-systemen die worden gebruikt door de stembureaus.