Je verwacht het niet, maar een stukje IT-gerelateerde materie bij de overheid gaat niet helemaal lekker. Het blijkt namelijk kinderlijk eenvoudig om een partij naar keuze extra of juist minder zetels toe te bedelen tijdens de komende verkiezingen.
‘Maar hoe werkt dat dan?’ hoor ik jullie massaal vragen. Als volgt: Stemmen worden in Nederland met de hand geteld, maar daarna worden ze per onbeveiligde USB stick (!) naar één van de twintig kieskringen gebracht. Vanuit die kieskringen gaan de USB-sticks naar het centraal stembureau. Nu is dit al een onwaarschijnlijk onveilige manier van het overdragen van het aantal getelde stemmen, maar het wordt nog gekker. De stemmen op de betreffende USB sticks worden namelijk eerst verwerkt in software uit 1864, genaamd “Ondersteunende Software Verkiezingen“. Deze software mag van de kiesraad gewoon op een Windows XP-machine geïnstalleerd worden. Er worden letterlijk geen eisen gesteld aan het systeem waarop deze software moet draaien. Pietje of Klaasje van de gemeente mag daarvoor gewoon een ouwe quake-server uit de voorraadkast trekken en deze op de Internets aansluiten. Om vervolgens met dit ouwe barrel de uitgebrachte stemmen van de gemeente in kwestie te tellen.
Zeker wanneer dit op een Windows XP machine gebeurt, is het doodeenvoudig om er een stukje malware van buitenaf op te jassen. XP krijgt immers al sinds 2014 geen beveiligingsupdates meer. Met die malware kan een hackert zich toegang verschaffen tot de machine om vervolgens de stemresultaten te manipuleren:
De software werkt met een simpele cijferlijst, een soort Excel-bestand, dat tijdens het invoeren tijdelijk wordt opgeslagen. Dit bestand is niet beveiligd en de OSV-software waarschuwt niet als de cijfers worden gemanipuleerd. De uiteindelijke uitdraai van de gefraudeerde resultaten oogt legitiem, ook voor de volgende partij die de resultaten weer inlaadt.
Maarten Engberts, die in 2011 aan de Radboud Universiteit afstudeerde op deze software, heeft destijds de kiesraad al op de hoogte gesteld van dit lek. Maar in plaats van dat de kiesraad iets met zijn bevindingen heeft gedaan, zijn ze als een stelletje pedante horken met Engberts in discussie gegaan (WAAROVER DAN?). Engberts had zelfs de indruk dat de kiesraad niet wilde dat hij zijn scriptie zou publiceren, uit angst voor het bekend worden van de uitkomst van zijn onderzoek.
De scriptie is uiteraard wel gewoon gepubliceerd (pdf-alert), maar de kiesraad heeft vervolgens zes jaar lang zitten duimendraaien, want er is helemaal niets met de bevindingen van Engberts gedaan.
Wij voorspellen alvast een dusdanige monsterzege voor de PVV, dat zelfs Donald Trump onder de indruk zal zijn.
Het probleem is niet zozeer dat het moeilijk is een onkraakbaar stemsysteem te maken. Gebruik een stemcomputer met zeer eenvoudig OS en versleutel de data met een one-time-pad.
Vervolgens kun je de stemresultaten over onbeschermde lijnen opsturen naar kieskring of direct naar het centraal stembureau. Maakt niet uit. Stuur tevens een kopie naar alle landelijke dagbladen en maak de dag na verwerking je one-time-pads ook openbaar zodat iedereen alles kan controleren.
Print tijdens het stemmen een regel die de stemmer zelf kan zien. Bij twijfel is simpel een hertelling mogelijk. Doe sowieso steekproefgewijs een aantal hertellingen
Nee, het probleem is dat de personen die voor de controle van het stemproces verantwoordelijk zijn volledig incapabel en a-technisch zijn. Dan wordt het lastig iets fatsoenlijks op poten te zetten. Het resultaat kan alleen maar een duur, complex en dus oncontroleerbaar slecht systeem zijn.
Gewoon op papier stemmen, met de hand tellen en de resultaten ook weer op papier via kieskring naar centraal stembureau brengen. Duurt wat langer, maar dan heeft Herman de schermman tenminste weer een hele nacht de aandacht.
Bijna. Je wil ook de stemhistorie opslaan, zodat je eenvoudig een hertelling kan doen. De oplossing hiervoor bestaat en heet blockchain.
Dat blijft een IT oplossing; Ik stelde voor zodra de persoon stemt een regeltje op een rol papier te printen; Dat zie je dan 5 seconden ter controle in een venstertje; vervolgens doet de printer een linefeed en is de stem voor de volgende stemmer niet meer te zien.
De papierrol is achteraf hard bewijs bij problemen of steekproef.
Of stemmen op simpele stand alone apparaten die zoveel mogelijk hardware geprogrammeerd zijn. Probeer je voor te stellen dat je een ouderwetse digitale wekker probeert te hacken, dat kan helegaar niet, niet zonder een schroevendraaier, wat tangetjes en een soldeerbout. En daar kan je op controleren. De uitkomst dan op papier uitdraaien en het optellen met de hand doen (of met een willekeurig geselecteerde rekenmachine ofzo, als je zowel lui als paranoide bent).
Qua toekomstmuziek is stemmen gekoppeld aan je digID misschien nog wel aardig, maar het lastige is dat het absoluut niet traceerbaar mag zijn wie wat gestemd heeft, dus dat zal niet voor de komende 30 jaar zijn, de overheid die dat ICT project werkend krijgt.
Ik ga er vanuit dat er sowieso gefraudeerd gaat worden, maar dan niet om de PVV de grootste te maken, integendeel!
Ik vraag me nog steeds af hoe het kan dat de PvdA in 2012 van 14 zetels in de peiling een reuzensprong maakte naar 38 zetels bij de verkiezingen 5/6 weken later! Ten koste van de PVV, van 24 naar 12 zetels en de SP die ook zo’n tien zetels zakte!