Politiek

Cyberexperts luiden noodklok: uitslag Tweede Kamerverkiezingen kwetsbaar voor hackers

De uitslag van de Tweede Kamerverkiezingen in maart volgend jaar is kwetsbaar omdat deze te manipuleren is door hackers en inlichtingendiensten. Dat stellen veertien hoogleraren cybersecurity, cyberspecialisten en ethisch hackers in een onderzoek van Shownieuws. De experts luiden de noodklok en willen dat het kabinet nog voor de stembusgang actie onderneemt.

Stemmen in Nederland gebeurt sinds 2009 weer met potlood en papier, omdat de stemcomputers die eerder werden gebruikt, konden worden gehackt en afgeluisterd. Na het sluiten van de stembureaus worden alle stemmen handmatig geteld en daarna op het gemeentehuis ingevoerd in een computer. De optelsoftware, genaamd Ondersteunende Software Verkiezingen (OSV), telt de stemtotalen per politieke partij en per kandidaat van verschillende stembureaus bij elkaar op, en berekent vervolgens de uitslag in een gemeente.

Lees ook: Helft Nederlanders is niet bang voor hackers bij Tweede Kamerverkiezingen

Betrouwbaarheid in het geding

De betrouwbaarheid en geloofwaardigheid van de verkiezingsuitslag is volgens de experts echter in het geding, omdat de uitslag blind wordt toevertrouwd aan OSV en er achteraf geen onafhankelijke controle over wordt toegepast. Volgens Herbert Bos, hoogleraar systeembeveiliging aan de Vrije Universiteit Amsterdam, zijn de verkiezingen hierdoor te manipuleren. “Inlichtingendiensten zoals die van Rusland, China, Iran, Noord-Korea of de Verenigde Staten hebben de technische mogelijkheden om Nederlandse gemeenten te hacken”, waarschuwt hij.

Beveiligingsonderzoeker en ethisch hacker Sijmen Ruwhof toonde bijna vier jaar geleden aan dat de gebruikte optelsoftware vol beveiligingslekken zat. De Kiesraad huurde toen beveiligingsbedrijf Fox-IT in die de bevindingen bevestigde. Hoewel hij ziet dat er in de afgelopen jaren verbeteringen zijn doorgevoerd, is het grootste probleem echter niet aangepakt. “Nog altijd berekent een computer de definitieve verkiezingsuitslag, zonder dat onafhankelijk wordt gecontroleerd of de software niet gehackt is”, aldus Ruwhof.

Lees ook: Coronamaatregelen ook bij Tweede Kamerverkiezingen volgend jaar

Niet aansluiten op internet

Een van de kwetsbaarheden die de afgelopen jaren is aangepakt, is dat gemeenten nu duidelijk de instructie krijgen om de computers niet op internet aan te sluiten. De optelsoftware controleert nu voor het eerst of dat ook echt het geval is. Maar wat Bos betreft is dat niet genoeg. “Het is voor een land als Rusland niet moeilijk om een paar weken of maanden voor de verkiezingen een aantal pc’s bij gemeentes te hacken. Dan maakt het niet meer uit dat deze computers niet op het internet staan aangesloten.”

De Kiesraad erkent dat het gebruik van software altijd kwetsbaarheden met zich meebrengt. “Daarom wordt de optelsoftware bij elke verkiezing getest op beveiligingsaspecten en steeds verbeterd.” Wel acht de raad de kans “zeer klein” dat “een significante fout in de optelsoftware niet wordt gedetecteerd”. Desondanks vindt de Kiesraad het raadzaam om deze uitslagen nog (handmatig) te controleren, ook op het niveau van gemeenten. “Bij de herindelingsverkiezingen zal de Kiesraad hen daarin ondersteunen. Mede op basis hiervan wordt bezien hoe die extra controles van gemeentelijke uitslagen ook kunnen worden gedaan bij de Tweede Kamerverkiezing.”

Experts willen maatregelen

Om de betrouwbaarheid en geloofwaardigheid van de democratie te behouden, heeft Ruwhof de Stichting Tegen Hackbare Verkiezingen opgericht, waar hoogleraar Bos inmiddels medebestuurslid van is. De groep experts wil dat verantwoordelijk minister Kajsa Ollongren van Binnenlandse Zaken nog voor de komende Tweede Kamerverkiezingen maatregelen neemt om er zeker van te zijn dat de uitslag niet kan worden gemanipuleerd, waardoor het democratisch proces in gevaar zou kunnen komen.

Een van die maatregelen zou volgens de experts moeten zijn dat de minister gemeenten opdraagt om ambtenaren de stemtotalen van politieke partijen per stembureau zelf handmatig bij elkaar op te laten tellen. “Deze uitslag kan dan vergeleken worden met de door de optelsoftware berekende uitslag”, legt Ruwhof uit. “Als beide uitslagen overeenkomen, dan heb je een bijzonder betrouwbaar proces neergezet. De optelsoftware controleert of er geen menselijke optelfouten zijn gemaakt, en andersom wordt gecontroleerd of de optelsoftware niet is gehackt.”

Om dit te realiseren, moet volgens de ethisch hacker de Kieswet worden aangepast. Volgens hem staan gemeenten nu onder grote druk om binnen anderhalve dag de uitslag vast te stellen, waardoor er eigenlijk geen tijd is om de stemtotalen handmatig bij elkaar op te tellen. “En dus wordt alleen software hiervoor gebruikt.” Het handmatig optellen hoeft echter helemaal niet veel te geld te kosten volgens Bos. “Voor één tot twee miljoen euro zou de overheid wel alles bij elkaar op moeten kunnen tellen. Dat is maar twee tot vier procent van de totale kosten van een verkiezing.”

Ministerie heeft geen zorgen

Het ministerie van Binnenlandse Zaken laat aan Shownieuws weten dat het proces van de uitslagberekening transparant en controleerbaar is. Het ministerie geeft aan dat de Kiesraad recent extern onderzoek heeft laten uitvoeren en dat daar geen grote kwetsbaarheden bij zijn aangetroffen. Er is daarnaast op dit moment een spoedwet in de maak om de termijn voor het vaststellen van de uitslag te verruimen van acht naar dertien dagen vanwege de bijzondere omstandigheden rondom het coronavirus.

Binnenlandse Zaken geeft verder aan dat de Kiesraad bij de herverdelingsverkiezingen van volgende week extra controles gaat uitvoeren, en dat op basis daarvan wordt bekeken hoe extra controles bij de Tweede Kamerverkiezingen kunnen worden uitgevoerd.

Het hele onderzoek is hier te lezen.