Kiesraad: Huidige verkiezingssoftware moet vervangen worden
De verkiezingssoftware OSV die bij de aankomende gemeenteraadverkiezingen wordt gebruikt is aan vervanging toe, zo stelt de Kiesraad naar aanleiding van een onderzoek dat gisteren door beveiligingsonderzoeker Sijmen Ruwhof openbaar werd gemaakt. Ruwhof publiceerde op zijn blog een analyse van de verkiezingssoftware, waarin verschillende kwetsbaarheden aanwezig zijn.
In totaal zijn er 25 'open beveiligingsrisico's', aldus Ruwhof. Ten opzichte van de vorige beveiligingstest is er niet veel verbeterd, merkt de onderzoeker op. Verder stelt hij dat de verkiezingssoftware gedateerde en onveilige technologie van tien jaar geleden gebruikt en geraffineerde of opportunistische aanvallers de verkiezingsaanslagen waarschijnlijk ongemerkt kunnen beïnvloeden. Ruwhof adviseert in zijn analyse om de uitvoer van de verkiezingssoftware dan ook niet te vertrouwen.
Volgens de Kiesraad verdienen de bevindingen van de onderzoeker nuance en is er geen rekening gehouden met de context waarin de verkiezingssoftware wordt gebruikt. Zo mogen gemeenten OSV uitsluitend installeren op computers die niet zijn verbonden met het internet, om het risico op externe manipulatie tegen te gaan. Daarnaast is OSV ondersteunende software. "In de stembureaus wordt handmatig geteld en het resultaat daarvan wordt neergelegd in papieren processen-verbaal. De inhoud daarvan wordt vervolgens ingevoerd in de computer met behulp van OSV", laat de Kiesraad weten.
De Kiesraad zegt ervan overtuigd te zijn dat gemeenten zich bewust zijn van hun verantwoordelijkheid en zullen handelen conform de door de Kiesraad en de minister van Binnenlandse Zaken aangegeven voorschriften. Het openbaar maken van de stembureau-uitslagen en het beschikbaar stellen van de elektronische bestanden aan wie daar om vraagt moet daarnaast helpen bij de transparantie en het vinden van manipulaties.
"Dit alles neemt niet weg dat de huidige software aan vervanging toe is", merkt de Kiesraad op. "Dat is niet nieuw. De Kiesraad is zich dat zeer wel bewust en is dan ook voorstander van de ontwikkeling van nieuwe verkiezingssoftware, liefst op zo kort mogelijke termijn. Dat proces zal moeten beginnen met het in wet- en regelgeving formuleren van nieuwe, scherpere eisen waaraan de software zal moeten voldoen. Hiervoor zijn nu als eerste regering en parlement aan zet."
Afsluitend stelt de Kiesraad dat bij de komende gemeenteraadsverkiezing en het raadgevend referendum de uitslag niet digitaal wordt overdragen. De Kiesraad zelf zal de definitieve uitslag van het referendum ook handmatig vaststellen. "Al met al is de Kiesraad van oordeel dat het gebruik van OSV bij de komende raadsverkiezingen en bij het raadgevend referendum verantwoord is. Kijkend naar de context waarin OSV in de praktijk door gemeenten wordt gebruikt, zijn de risico's klein en beheersbaar."
Het kan inderdaad beter, het kan altijd beter. Maar voor mij lijkt het erop dat Sijmen alleen maar kwetsbaarheden of zwakheden wil zien en niet de risico's (kans maal impact) en tegenmaatregelen die er wel zijn in het proces. Dus voor mij is het pure stemmingmakerij, hou er nou eens over op en ga op een andere manier inzet regelen voor je eigen bedrijfje.
Ik geef de kiesraad geen ongelijk voor het standpunt dat het tijd is voor wat nieuws, maar dan wel graag op goede argumenten, en niet door de verwijzen naar dat suggestieve rapport van Sijmen.
Ik denk dat Sijmen dat oplevert, waar de Kiesraad, als opdrachtgever, om vraagt (wat vrij logisch is). Verder heb jij toegang tot het *publieke* rapport. Terwijl er ongetwijfeld ook nog een uitgebreider *confidential* rapport is, voor de opdrachtgever. Sommige zaken wil je niet publiek maken, omdat je het criminelen anders wel heel gemakkelijk maakt.
Blame the messenger ?
Jij verwijt het dus dat hij, in opdracht van de Kiesraad, de software van de Kiesraad heeft onderzocht ? Deze publicatie is verder hoe dan ook besproken met de Kiesraad; indien dit niet het geval zou zijn, dan zou hij namelijk aangeklaagt worden voor schending van de geheimshoudings overeenkomst.
Ben je spijkers op laag water aan het zoeken ?
Het kan inderdaad beter, het kan altijd beter. Maar voor mij lijkt het erop dat Sijmen alleen maar kwetsbaarheden of zwakheden wil zien en niet de risico's (kans maal impact) en tegenmaatregelen die er wel zijn in het proces. Dus voor mij is het pure stemmingmakerij, hou er nou eens over op en ga op een andere manier inzet regelen voor je eigen bedrijfje.
Ik geef de kiesraad geen ongelijk voor het standpunt dat het tijd is voor wat nieuws, maar dan wel graag op goede argumenten, en niet door de verwijzen naar dat suggestieve rapport van Sijmen.
Een van de punten van kritiek is juist de check and balances. Er wordt volledig geleund op de betrouwbaarheid van de uitkomst in OSV. ("The printed election result becomes official and trusted ‘paper that is in the lead’. It will not be manually validated by civil servants as OSV is trusted to be unhackable again.")
Als ik de critical en high risks in het rapport naast de oordeelsvorming over de IT beveiliging van een willekeurige gemeente leg (https://www.rijnmond.nl/nieuws/153656/Rapport-Rekenkamer-veegt-vloer-aan-met-gemeentelijke-ICT-beveiliging) kun je niet stellen dat de kans nihil is.
Sterker nog, wat te denken van volgend risk: "The file \jboss-4.2.3.GA\server\osv\deploy\derby-ds.xml on the OSV server contains the database login credentials of the Derby database server that is used by OSV P4 and P5:"
Ik wil het niet promoten, maar een uitgelezen kans voor wanabee hackers om eens op onderzoek uit te gaan.
Of dat je dan dus die roedel "coders" moet meerekenen in je onderhoudskosten, wat betekent dat je jaarlijkse ontwikkelkosten gelijk gaan zijn aan je onderhoudskosten. Waarna daarop toch weer bezuinigd gaat worden want het is wel erg veel geld, en vervolgens blijken er lekken ongepatcht te blijven. Goh. Leer ons middle management kennen.
Vergelijk de argumenten tegen de stemcomputer, die nog steeds onweerlegd zijn want op vergelijkbare manier onweerlegbaar. En de uitspraak van het Duitse constitutionele hof dat een vergelijkbare conclusie trok. Je zou zeggen, daarmee is de kous wel af, maar niet voor de Nederlandse overheid. Als je zo hard niet leren wil.... Tsja.
Goed zo, je hebt het dus wel begrepen. Daar gaat het om bij beveiliging.
Je moet niet zo emotioneel reageren en kijken naar de feiten.
'Meester, er zijn weer kritische geluiden over de software. Vrij technisch rapportje met veel rode en paarsen kleurtjes.'
'Gewaardeerde confrère, waar stond in de wet dat de software veilig moest zijn? En wat is veilig?'
'De kritiek wekt de indruk dat er te vermijden risico is op manipulatie van de uitslag.'
'Zolang onze voorschriften aan de wet voldoen gaan we niets aanpassen. Reageer maar dat de wet moet veranderen als ze andere software willen.'
'Fair. Maar dan ligt het over een paar jaar weer aan ons als we die wet volgen. Onze lijn is om dat bij te sturen naar de gemeenten.'
'Ach waarachtig, glad vergeten door al dat technische security gezeur waar ik niets van snap. Juist, de gemeenten. Fijne plannen om de kiezers betrokken te houden maar door die makkelijke software komt de kritiek bij ons. Blijf uitleggen dat de gemeenten verantwoordelijk zijn om de procedures te volgen.'
'Alsof ze dat doen.'
'Dat is niet ons probleem maar het probleem voor de kiezers die kritiek hebben. Moeten ze maar beter opletten als de telling met de software gaat en niet met de pen.'
Het is niets meer dan een veredelde Excelsheet. Alles komt aan op de integriteit van degene achter de pc.
Single point of failure is dus menselijk en geen standalone computer die toch al (lokaal) te hacken is of met een hardware usb plug / gemodificeerd keyboard of muis met WiFi of Bluetooth module. Dat hebben ze niet gechecked........
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.